Google đã thông báo rằng Gmail đã trở thành nhà cung cấp email lớn đầu tiên hỗ trợ hai tiêu chuẩn bảo mật mới, đó là Báo cáo MTA-STS và TLS. Cả hai đều là phần mở rộng của Giao thức chuyển thư đơn giản (SMTP - Simple Mail Transfer Protocol), giao thức mà tất cả các email được gửi hiện nay.
Mục đích của Báo cáo MTA-STS và TLS là giúp các nhà cung cấp dịch vụ email thiết lập các kết nối an toàn về mặt mật mã với nhau, với mục tiêu chính là ngăn chặn các cuộc tấn công trung gian của SMTP.
Các cuộc tấn công trung gian của SMTP là một vấn đề lớn đối với bối cảnh email ngày nay, nơi các nhà khai thác máy chủ email lừa đảo có thể chặn, đọc và sửa đổi nội dung email của mọi người.
Hai tiêu chuẩn mới sẽ ngăn chặn điều này bằng cách cho phép các nhà cung cấp email hợp pháp tạo ra một kênh an toàn để trao đổi email.
Báo cáo MTA-STS VÀ TLS LÀ GÌ?
Ví dụ: SMTP MTA-STS (Strict Transport Security) hoạt động bằng cách cho phép quản trị viên máy chủ email thiết lập chính sách MTA-STS trên máy chủ của họ. MTA viết tắt của từ Message transfer agent (tác nhân chuyển thư), đây là dịch vụ xử lý các tin nhắn trực tuyến. MTA thực hiện cả nhiệm vụ gửi tin và nhận thư trong giao thức truyền tin đơn giản
Chính sách này cho phép nhà cung cấp hợp pháp yêu cầu các máy chủ email bên ngoài xác minh tính bảo mật của kết nối SMTP (SMTP là một chuẩn truyền tải thư điện tử qua mạng Internet) trước khi gửi bất kỳ email nào.
Các yêu cầu tối thiểu, như buộc các máy chủ email bên ngoài phải xác thực bằng chứng chỉ công khai hợp lệ được mã hóa bằng TLS 1.2 trở lên, đảm bảo rằng các email được gửi đến máy chủ của công ty đi qua kênh bắt buộc và được mã hóa đúng cách.
Ngoài ra, tiện ích mở rộng của Báo cáo TLS SMTP thiết lập một cơ chế báo cáo mà qua đó một máy chủ email hợp pháp có thể yêu cầu báo cáo hàng ngày từ các máy chủ email khác về sự thành công hay thất bại của các email đã được gửi đến miền của máy chủ hợp pháp.
Cả hai, khi được kết hợp, sẽ ngăn chặn hoặc giúp quản trị viên máy chủ email xác định các cuộc tấn công trung gian của SMTP chống lại lưu lượng email của họ.
Google, Microsoft và Yahoo đã làm việc nhiều năm trên protocol
Mặc dù Google là nhà cung cấp email đầu tiên tung ra Báo cáo MTA-STS và TLS trong tuần trước, nhưng những doanh nghiệp khác dự kiến sẽ làm theo, với Microsoft, Comcast và Yahoo ở vị trí tiếp theo, vì cả ba người đã làm việc với các các chuyên gia của Google để chuẩn hóa hai phần mở rộng bảo mật SMTP tại Lực lượng đặc nhiệm kỹ thuật Internet (IETF - Internet Engineering Task Force) - tổ chức phê duyệt các tiêu chuẩn internet.
Cả hai đều là tiêu chuẩn được IETF phê duyệt. MTA-STS là tiêu chuẩn IETF RFC 8461, trong khi Báo cáo TLS của SMTP là RFC 8460.
Hiện tại, các máy chủ Gmail là những máy chủ duy nhất hỗ trợ hai tiêu chuẩn mới này, sẽ thực sự hiệu quả khi các nhà cung cấp email khác tham gia và tạo ra một mạng lưới kết nối được mã hóa chính xác giữa tất cả các máy chủ email trên toàn thế giới.