STARTTLSは、非常に簡単にダウングレードできるのになぜ使用されるのですか？

あなたが説明する問題は、STARTTLSの使用自体ではなく、STARTTLSのオプションの使用です。 TLSが必須になるようにメールシステムを設定できます。この場合、STARTTLSが失敗するか、ピアがサポートを提供しない場合、メールは配信されません。 EHLOのSTARTTLS。必要なSTARTTLSは、最初から必要なTLSと同じくらい安全です。

STARTTLSがほとんどのセットアップで必須ではない理由は、TLSをサポートしないシステムがまだ十分にあるためです。 現在の透明性レポート Googleからは、TLSによってGoogleから配信されたすべてのメールの90％しか表示されません。つまり、メールの10％がTLSをサポートしていないMTAに配信されます。

それとは別に、必須のTLSを使用しても、メールは十分に安全な方法で配信されません。 TLSは、メール配信中のさまざまなホップ間でのみ使用され、TLSがHTTPSで提供するエンドツーエンドのセキュリティを提供しません。つまり、パス上のすべてのメールサーバーはメールのプレーンテキストにアクセスでき、メールをPGPやS/MIMEなどのエンドツーエンドの保護でさらに保護しない限り、それを読み取って変更できます。

ダウングレード攻撃はアクティブな攻撃です

アクティブな攻撃は、パッシブな攻撃よりもはるかに検出が容易であり、通常は実行が困難です。

SMTPのオプションのSTARTTLSなどの日和見暗号化は、主にパッシブサーベイランスから保護します。トラフィックは、転送中に検出されないか、後で分析するために保存されます。日和見暗号化がアクティブな攻撃から保護されないことは完全に正しいことです。便宜的暗号化は、一般に、攻撃者が転送中のデータを変更する意思がある場合に、攻撃を防御しようとはしません。それは範囲外です。同様に、日和見主義のSTARTTLSは、データを第三者に渡す不正なメールサーバーから保護しません。それは範囲外です。

少なくとも一部のSMTPサーバー（かなり一般的な Postfixはその1つである ）は、メールの送信（ または受信 ）時にTLSを要求するように構成できます。 、グローバルに、または MXごとに手動で 送信メール用。このように構成した場合、STARTTLSが失敗するか利用できない場合（その理由にかかわらず）、ローカルに構成されたポリシーに基づいてSMTPセッションを拒否できます。

アクティブな攻撃は確かに発生しますが、パッシブなトラフィックモニタリングが今日のインターネットで広まっていると信じるのには十分な理由があります。 パーベイシブモニタリングは攻撃である であり、多くの場合、可能であれば確実に軽減する必要があります。

したがって、日和見暗号化がアクティブな攻撃者から保護するために何もしない場合でも、 それは勝利通信されているデータについて必要以上に学ぶことからの受動的なトラフィック監視と監視。同じ引数が 非認証HTTPS にも適用されます。すべての攻撃から保護するわけではありませんが、通信から完全に明確に通信することよりも改善されます。プライバシーの観点。

標準、 RFC 8461SMTP MTA Strict Transport Security（MTA-STS） があり、これを使用してメールサーバートラフィックを指定できます。特定のドメインにはTLSが必要です。その標準はまだかなり新しい（RFCの日付は2018年9月）ので、これに対するサポートはむらがあると思いますが、すべてが正しく設定されている限り、MTA-STSポリシーを公開すると、最悪の場合、通信のプライバシーは改善されません（MTA-STSを実装していないMTAは、MTA-STSポリシーがまったく公開されていないかのように動作するので、が実行するMTA MTA-STSを正しく実装すると、公開されたMTA-STSポリシーを考慮してポリシーを決定できます）。

さらに、標準トラックのSMTP拡張、 [〜＃〜] requiretls [〜＃〜] があり、トランスポート層セキュリティをメッセージよりも優先する必要があることを指定するために使用できます。配達。

純粋に日和見暗号化でダウングレード攻撃が可能であるとしても、それは純粋に日和見暗号化が無意味であることを意味しません。それは純粋に脅威があることを意味します日和見暗号化は対処しません。これは、required暗号化では対応できない脅威があるという事実と同じです。