Forbedring af e-mail-sikkerhed med MTA-STS- og SMTP TLS-rapportering

mta sts blog

I 1982, da SMTP blev specificeret første gang, indeholdt den ingen mekanisme til sikring på transportniveau for at sikre kommunikationen mellem postoverførselsagenterne. I 1999 blev kommandoen STARTTLS imidlertid føjet til SMTP, som igen understøttede kryptering af e-mails mellem serverne, hvilket giver mulighed for at konvertere en ikke-sikker forbindelse til en sikker forbindelse, der er krypteret ved hjælp af TLS-protokollen.

Kryptering er dog valgfri i SMTP, hvilket indebærer, at e-mails kan sendes selv i almindelig tekst. MTA-STS (Mail Transfer Agent-Strict Transport Security) er en relativt ny standard, der gør det muligt for mailtjenesteudbydere at gennemtvinge TLS (Transport Layer Security) for at sikre SMTP-forbindelser og angive, om de sendende SMTP-servere skal nægte at levere e-mails til MX-værter, der ikke tilbyder TLS med et pålideligt servercertifikat. Det har vist sig at kunne afbøde TLS nedgradere angreb og Man-In-The-Middle (MITM) angreb. SMTP TLS Reporting (TLS-RPT) er en standard, der gør det muligt at rapportere problemer i TLS-forbindelse, der opleves af programmer, der sender e-mails og registrerer fejlkonfigurationer. Det gør det muligt at rapportere problemer med levering af e-mails, der finder sted, når en e-mail ikke er krypteret med TLS. I september 2018 blev standarden første gang dokumenteret i RFC 8460.

Hvorfor kræver dine e-mails kryptering i transit?

Det primære mål er at forbedre sikkerheden på transportniveau under SMTP-kommunikation og sikre privatlivets fred for e-mail-trafik. Desuden forbedrer kryptering af indgående og udgående meddelelser informationssikkerheden ved hjælp af kryptografi for at beskytte elektroniske oplysninger.  Desuden har kryptografiske angreb som Man-In-The-Middle (MITM) og TLS Downgrade vundet popularitet i den seneste tid og er blevet en almindelig praksis blandt cyberkriminelle, som kan omgås ved at håndhæve TLS-kryptering og udvide støtte til sikre protokoller.

Hvordan lanceres et MITM-angreb?

Da kryptering skulle eftermonteres i SMTP-protokollen, skal opgraderingen til krypteret levering baseres på en STARTTLS-kommando, der sendes i klartekst. En MITM-hacker kan nemt udnytte denne funktion ved at udføre et nedgraderingsangreb på SMTP-forbindelsen ved at manipulere med opgraderingskommandoen, hvilket tvinger klienten til at falde tilbage til at sende e-mailen i almindelig tekst.

Efter at have opsnappet kommunikationen kan en MITM-angriber nemt stjæle de dekrypterede oplysninger og få adgang til indholdet af e-mailen. Dette skyldes, at SMTP, der er branchestandarden for mailoverførsel, bruger opportunistisk kryptering, hvilket indebærer, at kryptering er valgfri, og e-mails stadig kan leveres i klartekst.

Hvordan lanceres et TLS-nedgraderingsangreb?

Da kryptering skulle eftermonteres i SMTP-protokollen, skal opgraderingen til krypteret levering baseres på en STARTTLS-kommando, der sendes i klartekst. En MITM-hacker kan udnytte denne funktion ved at udføre et nedgraderingsangreb på SMTP-forbindelsen ved at ændre opgraderingskommandoen. Hackeren kan blot erstatte STARTTLS med en streng, som klienten ikke kan identificere. Derfor falder klienten let tilbage til at sende e-mailen i almindelig tekst.

Kort sagt lanceres et nedgraderingsangreb ofte som en del af et MITM-angreb for at skabe en vej til at muliggøre et angreb, der ikke ville være muligt i tilfælde af en forbindelse, der er krypteret over den nyeste version af TLS-protokollen, ved at erstatte eller slette STARTTLS-kommandoen og rulle kommunikationen tilbage for at rydde tekst.

Ud over at forbedre informationssikkerheden og afbøde omsiggribende overvågningsangreb løser kryptering af meddelelser i transit også flere SMTP-sikkerhedsproblemer.

Opnåelse af tvungen TLS-kryptering af e-mails med MTA-STS

Hvis du undlader at transportere dine e-mails via en sikker forbindelse, kan dine data blive kompromitteret eller endda ændret og manipuleret af en cyberangriber. Her træder MTA-STS ind og løser dette problem, hvilket muliggør sikker transit til dine e-mails samt med succes afbøder kryptografiske angreb og forbedrer informationssikkerheden ved at håndhæve TLS-kryptering. Kort sagt håndhæver MTA-STS de e-mails, der skal overføres over en TLS-krypteret vej, og i tilfælde af at en krypteret forbindelse ikke kan etableres, leveres e-mailen slet ikke i stedet for at blive leveret i klartekst. Desuden gemmer MTA'er MTA-STS-politikfiler, hvilket gør det vanskeligere for angribere at starte et DNS-spoofingangreb.

 

MTA-STS

MTA-STS yder beskyttelse mod:

  • Nedgradere angreb
  • Man-In-The-Middle (MITM) angreb
  • Det løser flere SMTP-sikkerhedsproblemer, herunder udløbne TLS-certifikater og manglende understøttelse af sikre protokoller.

Store mailudbydere som Microsoft, Oath og Google understøtter MTA-STS. Google er den største aktør i branchen, når centrum, samtidig med at vedtage en protokol, og vedtagelsen af MTA-STS af Google viser en udvidelse af støtten til sikre protokoller og fremhæver betydningen af e-mail-kryptering i transit.

Fejlfinding af problemer i forbindelse med levering af e-mail med TLS-RPT

SMTP TLS Reporting giver domæneejere diagnostiske rapporter (i JSON-filformat) med detaljerede oplysninger om e-mails, der er sendt til dit domæne og står over for leveringsproblemer, eller som ikke kunne leveres på grund af et nedgraderingsangreb eller andre problemer, så du kan løse problemet proaktivt. Så snart du aktiverer TLS-RPT, begynder samtykkende mailoverførselsagenter at sende diagnosticeringsrapporter om problemer med levering af e-mails mellem kommunikation af servere til det angivne e-mail-domæne. Rapporterne sendes typisk en gang om dagen, der dækker og formidler MTA-STS-politikker observeret af afsendere, trafikstatistik samt oplysninger om fejl eller problemer i e-mail-levering.

MTA-STS

Behovet for at implementere TLS-RPT:

  • I tilfælde af at en e-mail ikke sendes til din modtager på grund af problemer med levering, får du besked.
  • TLS-RPT giver øget synlighed på alle dine e-mail-kanaler, så du får bedre indsigt i alt, hvad der foregår i dit domæne, herunder meddelelser, der ikke leveres.
  • TLS-RPT leverer dybdegående diagnostiske rapporter, der giver dig mulighed for at identificere og komme til roden af e-mail-leveringsproblemet og løse det uden forsinkelse.

Vedtagelse MTA-STS og TLS-RPT gjort nemt og hurtigt ved PowerDMARC

MTA-STS kræver en HTTPS-aktiveret webserver med et gyldigt certifikat, DNS-poster og konstant vedligeholdelse. PowerDMARC gør dit liv meget lettere ved at håndtere alt dette for dig, helt i baggrunden - fra at generere certifikater og MTA-STS-politikfil til politikhåndhævelse, hjælper vi dig med at undgå de enorme kompleksiteter, der er involveret i vedtagelsen af protokollen. Når vi hjælper dig med at konfigurere det med blot et par klik, behøver du aldrig engang at tænke over det igen.

Ved hjælp af PowerDMARC's e-mail-godkendelsestjenester kan du implementere Hosted MTA-STS i din organisation uden besvær og i et meget hurtigt tempo, hvorved du kan håndhæve e-mails, der skal sendes til dit domæne via en TLS-krypteret forbindelse, hvilket gør din forbindelse sikker og holder MITM-angreb i skak.

PowerDMARC gør dit liv lettere ved at gøre processen med implementering af SMTP TLS Reporting (TLS-RPT) nem og hurtig lige ved hånden! Så snart du tilmelder dig PowerDMARC og aktiverer SMTP TLS-rapportering for dit domæne, tager vi smerten ved at konvertere de komplicerede JSON-filer, der indeholder dine rapporter om e-mail-leveringsproblemer, til enkle, læsbare dokumenter (pr. resultat og pr. afsendelseskilde), som du nemt kan gå igennem og forstå! PowerDMARC's platform registrerer automatisk og formidler efterfølgende de problemer, du står over for i e-mail-levering, så du hurtigt kan adressere og løse dem på ingen tid!

Tilmeld dig for at få din gratis DMARC i dag!

MTA-STS

Nyeste indlæg af Ahona Rudra (se alle)
/af
Du vil måske også gerne
retsmedicinsk rapport ruf blogEr DMARC Failure Forensic Reports (RUF) Dead? Mangler du denne synsvinkel?
mta sts blogHvad er MTA-STS og hvorfor har du brug for det?
gartnerblogDMARC er et af Gartners top 10 sikkerhedsprojekter for 2020-2021
Sådan stopper du e-mails til at gå til uønsket mappeHvordan stopper jeg mine e-mails fra at gå til mappen Uønsket mail?
dmarc shadow it blogSådan bekæmper DMARC risici for skygge-it-sikkerhed
powerdmarc disti blogindlægPowerDMARC Tegn på Disti360 som value-added distributør
Sådan vælger du den bedste DMARC-softwareløsning til at beskytte din virksomhed mod...beskytte mod spoofing blogBEC-blogSådan beskytter du små virksomheder mod BEC med e-mail-godkendelse?