hvad er mta-sts, og hvorfor har du brug for det? Mail Transfer Agent Strict Transport Security

En meget kendt internetstandard, som forbedrer sikkerheden ved forbindelser mellem SMTP-servere (Simple Mail Transfer Protocol), er SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS løser de eksisterende problemer med SMTP-e-mailsikkerhed ved at håndhæve TLS-kryptering i transit.

MTA-STS' historie og oprindelse

SMTP blev først specificeret i 1982, og den indeholdt ikke nogen mekanisme til sikring af sikkerheden på transportniveauet for at sikre kommunikationen mellem mailoverførselsagenterne. I 1999 blev kommandoen STARTTLS imidlertid tilføjet til SMTP, som til gengæld understøttede kryptering af e-mails mellem serverne og gav mulighed for at konvertere en ikke-sikker forbindelse til en sikker forbindelse, der er krypteret ved hjælp af TLS-protokollen.

I så fald må du undre dig over, at hvis SMTP har indført STARTTLS for at sikre forbindelser mellem servere, hvorfor var det så nødvendigt at skifte til MTA-STS, og hvad gør det overhovedet? Lad os springe ud i det i de følgende afsnit af denne blog!

Hvad er MTA-STS? (Mail Transfer Agent Strict Transport Security - Forklaret)

MTA-STS er en sikkerhedsstandard, der sikrer sikker overførsel af e-mails via en krypteret SMTP-forbindelse. Akronymet MTA står for Message Transfer Agent, som er et program, der overfører e-mail-meddelelser mellem computere. Akronymet STS står for Strict Transport Security, som er den protokol, der anvendes til at gennemføre standarden. En MTA-STS-kender mail transfer agent (MTA) eller secure message transfer agent (SMTA) fungerer i overensstemmelse med denne specifikation og giver en sikker end-to-end-kanal til at sende e-mail over usikrede netværk.

MTA-STS-protokollen gør det muligt for en SMTP-klient at verificere serverens identitet og sikre, at den ikke opretter forbindelse til en bedrager ved at kræve, at serveren angiver sit certifikatfingeraftryk i TLS-handshake-protokollen. Klienten kontrollerer derefter certifikatet i forhold til et truststore, der indeholder certifikater for kendte servere.

Behovet for at skifte til MTA-STS

STARTTLS var ikke perfekt, og det undlod at løse to store problemer: den første er, at det er en valgfri foranstaltning, og derfor forhindrer STARTTLS ikke at forhindre man-in-the-middle (MITM) angreb. Dette skyldes, at en MITM-hacker nemt kan ændre en forbindelse og forhindre krypteringsopdateringen i at finde sted. Det andet problem med det er, at selvom STARTTLS implementeres, er der ingen måde at godkende identiteten af den sendende server, da SMTP-e-mail-servere ikke validerer certifikater.

Selv om de fleste udgående e-mails i dag er sikret med Transport Layer Security-kryptering (TLS ), en industristandard, der også er indført i forbrugermails, kan angribere stadig blokere og manipulere din e-mail, selv før den bliver krypteret. Hvis du e-mail til at transportere dine e-mails over en sikker forbindelse, kan dine data blive kompromitteret eller endda ændret og manipuleret af en cyberangriber. Det er her, MTA-STS træder ind og løser dette problem og garanterer sikker transit for dine e-mails samt en vellykket afbødning af MITM-angreb. Desuden gemmer MTA'er MTA-STS-politikfiler, hvilket gør det vanskeligere for angribere at iværksætte et DNS-spoofing-angreb.

MTA-STS yder beskyttelse mod:

  • Nedgradere angreb
  • Man-In-The-Middle (MITM) angreb
  • Det løser flere SMTP-sikkerhedsproblemer, herunder udløbne TLS-certifikater og manglende understøttelse af sikre protokoller.

Hvordan fungerer MTA-STS?

MTA-STS-protokollen implementeres ved at have en DNS-post, der angiver, at en mailserver kan hente en politikfil fra et bestemt underdomæne. Denne politikfil hentes via HTTPS og autentificeres med certifikater sammen med listen over navnene på modtagerens mailservere. Det er lettere at implementere MTA-STS på modtagerens side end på afsenderens side, da det skal understøttes af mailserversoftwaren. Nogle mailservere understøtter MTA-STS, f.eks. PostFix, men det er ikke alle, der gør det.

vært MTA STS

Store mailudbydere som Microsoft, Oath og Google understøtter MTA-STS. Googles Gmail har allerede vedtaget MTA-STS politikker i den seneste tid. MTA-STS har fjernet ulemperne i e-mail-forbindelse sikkerhed ved at gøre processen med at sikre forbindelser nemt og tilgængeligt for understøttede mail-servere.

Forbindelser fra brugerne til e-mail-serverne er normalt beskyttet og krypteret med TLS-protokollen, men på trods af at der var en eksisterende mangel på sikkerhed i forbindelserne mellem mailservere før implementeringen af MTA-STS. Med en stigning i bevidstheden om e-mail-sikkerhed i den seneste tid og support fra store mailudbydere over hele verden forventes størstedelen af serverforbindelser at blive krypteret i den seneste fremtid. Desuden sikrer MTA-STS effektivt, at cyberkriminelle på netværkene ikke er i stand til at læse e-mail-indhold.

Nem og hurtig implementering af hostede MTA-STS-tjenester fra PowerDMARC

MTA-STS kræver en HTTPS-aktiveret webserver med et gyldigt certifikat, DNS-poster og konstant vedligeholdelse. PowerDMARC's DMARC-analyseværktøj gør dit liv meget lettere ved at håndtere alt dette for dig, helt i baggrunden. Når vi først har hjulpet dig med at opsætte det, behøver du ikke engang at tænke på det igen.

Ved hjælp af PowerDMARC kan du implementere Hosted MTA-STS i din organisation uden besvær og i et meget hurtigt tempo, hvorved du kan håndhæve e-mails, der skal sendes til dit domæne via en TLS-krypteret forbindelse, hvilket gør din forbindelse sikker og holder MITM-angreb i skak.

Nyeste indlæg af Ahona Rudra (se alle)