En almindeligt kendt internetstandard, der letter ved at forbedre sikkerheden for forbindelser mellem SMTP-servere (Simple Mail Transfer Protocol), er SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).

I 1982 blev SMTP først specificeret, og den indeholdt ingen mekanisme til sikring på transportniveau for at sikre kommunikationen mellem postoverførselsagenterne. I 1999 blev kommandoen STARTTLS imidlertid føjet til SMTP, som igen understøttede kryptering af e-mails mellem serverne, hvilket giver mulighed for at konvertere en ikke-sikker forbindelse til en sikker forbindelse, der er krypteret ved hjælp af TLS-protokollen.

I dette tilfælde skal du undre dig over, at hvis SMTP vedtog STARTTLS for at sikre forbindelser mellem servere, hvorfor var skiftet til MTA-STS påkrævet? Lad os hoppe ind i det i det følgende afsnit af denne blog!

Behovet for at skifte til MTA-STS

STARTTLS var ikke perfekt, og det undlod at løse to store problemer: den første er, at det er en valgfri foranstaltning, og derfor forhindrer STARTTLS ikke at forhindre man-in-the-middle (MITM) angreb. Dette skyldes, at en MITM-hacker nemt kan ændre en forbindelse og forhindre krypteringsopdateringen i at finde sted. Det andet problem med det er, at selvom STARTTLS implementeres, er der ingen måde at godkende identiteten af den sendende server, da SMTP-e-mail-servere ikke validerer certifikater.

Mens de fleste udgående e-mails i dag er sikret med TLS-kryptering (Transport Layer Security), en industristandard, der er vedtaget selv af forbruger-e-mail, kan angribere stadig blokere og manipulere med din e-mail, selv før den bliver krypteret. Hvis du e-mailer for at transportere dine e-mails via en sikker forbindelse, kan dine data blive kompromitteret eller endda ændret og manipuleret af en cyberangriber. Her træder MTA-STS ind og løser dette problem, garanterer sikker transit til dine e-mails samt med succes afbøder MITM-angreb. Desuden gemmer MTA'er MTA-STS-politikfiler, hvilket gør det vanskeligere for angribere at starte et DNS-spoofingangreb.

MTA-STS yder beskyttelse mod:

  • Nedgradere angreb
  • Man-In-The-Middle (MITM) angreb
  • Det løser flere SMTP-sikkerhedsproblemer, herunder udløbne TLS-certifikater og manglende understøttelse af sikre protokoller.

Hvordan fungerer MTA-STS?

MTA-STS-protokollen installeres ved at have en DNS-post, der angiver, at en e-mail-server kan hente en politikfil fra et bestemt underdomæne. Denne politikfil hentes via HTTPS og godkendes med certifikater sammen med listen over navne på modtagernes e-mail-servere. Implementering af MTA-STS er lettere på modtagerens side i forhold til afsendelsessiden, da det kræver at blive understøttet af e-mail-serversoftwaren. Mens nogle e-mail-servere understøtter MTA-STS, såsom PostFix, ikke alle gør.

vært MTA STS

Store mailudbydere som Microsoft, Oath og Google understøtter MTA-STS. Googles Gmail har allerede vedtaget MTA-STS politikker i den seneste tid. MTA-STS har fjernet ulemperne i e-mail-forbindelse sikkerhed ved at gøre processen med at sikre forbindelser nemt og tilgængeligt for understøttede mail-servere.

Forbindelser fra brugerne til e-mail-serverne er normalt beskyttet og krypteret med TLS-protokollen, men på trods af at der var en eksisterende mangel på sikkerhed i forbindelserne mellem mailservere før implementeringen af MTA-STS. Med en stigning i bevidstheden om e-mail-sikkerhed i den seneste tid og support fra store mailudbydere over hele verden forventes størstedelen af serverforbindelser at blive krypteret i den seneste fremtid. Desuden sikrer MTA-STS effektivt, at cyberkriminelle på netværkene ikke er i stand til at læse e-mail-indhold.

Nem og hurtig implementering af hostede MTA-STS-tjenester fra PowerDMARC

MTA-STS kræver en HTTPS-aktiveret webserver med et gyldigt certifikat, DNS-poster og konstant vedligeholdelse. PowerDMARC gør dit liv meget lettere ved at håndtere alt dette for dig, helt i baggrunden. Når vi hjælper dig med at sætte det op, behøver du aldrig engang at tænke over det igen.

Ved hjælp af PowerDMARC kan du implementere Hosted MTA-STS i din organisation uden besvær og i et meget hurtigt tempo, hvorved du kan håndhæve e-mails, der skal sendes til dit domæne via en TLS-krypteret forbindelse, hvilket gør din forbindelse sikker og holder MITM-angreb i skak.