МВБ США обязало федеральные агентства использовать DMARC и HTTPS

Все федеральные агентства должны будут внедрить технологии HTTPS, DMARC и STARTTLS в течение следующих нескольких месяцев.

Министерство внутренней безопасности США опубликовало обязательную к выполнению директиву, в соответствии с которой все федеральные агентства должны начать использовать технологии HTTPS, DMARC и STARTTLS в течение следующих нескольких месяцев для защиты государственных web-сайтов и электронной почты.

В течение следующих 30 дней учреждениям предписано разработать план действий по выполнению требований Директивы 18-01 (Binding Operational Directive (BOD) 18-01).

Агентствам также предоставляется 90 дней на подготовку всех серверов электронной почты, для использования STARTTLS — протокола, позволяющего пользователям создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения.

Министерство также требует постепенного внедрения DMARC (Domain-based Message Authentication, Reporting and Conformance) — протокола проверки подлинности электронной почты и отчетности, предназначенного для обнаружения и устранения фишинговой почты и спама. Организации, использующие DMARC, могут указывать, что делать с сообщениями, не прошедшими проверку подлинности, например, доставлять в папку «Входящие» получателя сомнительные письма, переносить их в папку «Спам» или полностью заблокировать их доставку.

По распоряжению министерства, все принадлежащие агентствам домены второго уровня должны использовать расширение SPF (Инфраструктура политики отправителя, Sender Policy Framework) и метод аутентификации электронной почты DKIM (DomainKeys Identified Mail), позволяющие организациям указывать серверы, которые могут отправлять электронные письма, используя их домен.

Согласно требованию ведомства, федеральные агентства должны отключить протоколы SSLv2 и SSLv3, а также алгоритмы 3DES и RC4. На выполнение этой задачи госструктурам предоставлено 120 дней. Вышеуказанные протоколы и алгоритмы также должны быть отключены на всех web-серверах, а все публичные web-сайты должны использовать HTTPS-соединение и механизм HTTP Strict Transport Security (HSTS).

Решение об использовании данных технологий было принято спустя несколько месяцев после того, как сенатор-демократ Рон Вайден (Ron Wyden) призвал Министерство внутренней безопасности заставить федеральные агентства использовать DMARC для доменов в зоне .gov.

DMARC (Domain-based Message Authentication, Reporting and Conformance) — техническая спецификация, предназначенная для снижения количества спама и фишинговых электронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя.

STARTTLS — расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

HSTS (HTTP Strict Transport Security) — механизм, принудительно активирующий защищенное соединение через протокол HTTPS.

МВБ США обязало федеральные агентства использовать DMARC и HTTPS
Подписывайтесь на канал «SecurityLab» в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.