Vigtig advarsel: Google og Yahoo vil kræve DMARC fra februar 2024.
kryptering tls

Mail Transfer Agent-Streng Transport Security (MTA-STS)

MTA-STS, meget gerne, hvad navnet antyder, er en protokol, der muliggør krypteret transport af meddelelser mellem to SMTP mail-servere. MTA-STS angiver til afsenderservere, at e-mails kun skal sendes via en TLS-krypteret forbindelse og slet ikke skal leveres, hvis der ikke oprettes en sikret forbindelse via STARTTLS-kommandoen. Ved at øge sikkerheden af e-mails i transit hjælper MTA-STS med at afbøde Man-In-The-Middle-angreb (MITM), såsom SMTP-nedgraderingsangreb og DNS-spoofing-angreb.

Hvordan sikrer MTA-STS kryptering af meddelelser i transit?

Lad os tage et simpelt eksempel for at forstå, hvordan meddelelser krypteres under e-mail-flow. Hvis en MTA sender en e-mail til [email protected], udfører MTA en DNS-forespørgsel for at finde ud af, hvilke MTA'er e-mailen skal sendes til. DNS-anmodningen sendes for at hente MX-posterne for powerdmarc.com. Den sendende MTA opretter efterfølgende forbindelse til den modtagende MTA, der findes i DNS-forespørgselsresultatet, og spørger, om denne modtagende server understøtter TLS-kryptering. Hvis den gør det, sendes e-mailen via en krypteret forbindelse, men hvis den ikke gør det, undlader den sendende MTA at forhandle en sikret forbindelse og sender e-mailen i almindelig tekst.

Afsendelse af e-mails over en ukrypteret vej baner vejen for omsiggribende overvågningsangreb som MITM og SMTP-nedgradering. Lad os finde ud af, hvordan:

Nedbrydning af anatomien af et MITM-angreb

I bund og grund finder et MITM-angreb sted, når en hacker erstatter eller sletter STARTTLS-kommandoen for at gøre den sikrede forbindelse til en usikker uden TLS-kryptering. Dette kaldes et nedgraderingsangreb. Efter at have udført et nedgraderingsangreb kan angriberen få adgang til og se e-mail-indholdet uden hindringer.

En MITM-hacker kan også erstatte MX-posterne i DNS-forespørgselssvaret med en e-mail-server, som de har adgang til og har kontrol over. Mailoverførselsagenten leverer i dette tilfælde e-mailen til hackerens server, så han kan få adgang til og manipulere med e-mail-indholdet. E-mailen kan efterfølgende videresendes til den tilsigtede modtagers server uden at blive opdaget. Dette kaldes et DNS-spoofing-angreb.

SMTP nedgraderingsangreb

Sikring af kryptering med MTA-STS

Når du sender e-mails via SMTP-serveren hos dine mailtjenesteudbydere som Gmail eller Microsoft, overføres e-mails fra afsenderserveren til den modtagende server via SMTP (Simple Mail Transfer Protocol). SMTP tillader dog opportunistisk kryptering, hvilket indebærer, at kommunikationen mellem SMTP-servere måske eller måske ikke er krypteret for at undgå manipulation eller aflytning af e-mail-indhold. MTA-STS udgives ved hjælp af HTTPS og beskytter det mod MITM-angreb.

MTA-STS sikrer e-mail levering af: 

  • Gennemtvinge TLS-kryptering

  • Visning af MX-posterne fra en HTTPS-sikker server

hostede mta sts-tjenester
vært MTA STS

MTA-STS-protokollen installeres ved at have en DNS-post, der angiver, at en e-mail-server kan hente en politikfil fra et bestemt underdomæne. Denne politikfil hentes via HTTPS og godkendes med certifikater sammen med listen over navne på modtagernes e-mail-servere. Protokollen angiver over for en SMTP-server, at kommunikationen med den anden SMTP-server skal krypteres, og at domænenavnet på certifikatet skal svare til domænet for politikfilen. Hvis MTA-STS håndhæves, hvis en krypteret kanal ikke kan forhandles, leveres meddelelsen slet ikke.

Politikfilen MTA-STS

MTA-STS-politikfilen er i det væsentlige en simpel tekstfil, der ser ud som følger:

version: STSv1
tilstand: gennemtving
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
max_age: 604800

Bemærk: Versionsfeltet skal medtages i begyndelsen af tekstfilen, mens andre felter kan indarbejdes i vilkårlig rækkefølge.

Politikfilen bruger nøgleværdiparring med hver værdi, der er kodet på en separat linje i tekstfilen som vist ovenfor. Størrelsen på denne fil kan strække sig op til 64 KB. Navnet på politikfilen skal være mta-sts.txt. Politikfiler skal opdateres, hver gang du tilføjer eller ændrer e-mail-servere i domænet.

Bemærk: Indstilling af MTA-STS i håndhævelsestilstand kan medføre, at nogle e-mails ikke leveres til dig. Derfor er det tilrådeligt at indstille politiktilstanden til test i stedet og vælge et lavt max_age for at sikre, at alt fungerer korrekt, før du skifter for at håndhæve politikken. Vi anbefaler, at du konfigurerer TLS-RPT til din politik i testtilstand for også at få besked, hvis e-mails sendes i almindelig tekst. 

MTA-STS-politik

Udgivelse af MTA-STS-politikfilen

Hvis du vil udgive politikfilen MTA-STS, skal den webserver, der er vært for filen:

  • Understøttelse af HTTPS/SSL
  • Servercertifikatet skal være signeret og valideret af et tredjepartsnøglecenter.

Hvis du vil udgive en politikfil for dit domæne, skal du konfigurere en offentlig webserver med underdomænet "mta-sts" føjet til domænet.. Den oprettede politikfil skal udgives i den .well-known directory, der er oprettet i underdomænet. URL-adressen til den overførte MTA-STS-politikfil kan se sådan ud:

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

vært MTA STS

DNS-post for MTA-STS

Der udgives en TXT DNS-post for MTA-STS på domænets DNS for at angive, at dit domæne understøtter MTA-STS-protokollen, og for at signalere til opdatering af de cachelagrede værdier i MTA'erne, hvis politikken ændres. MTA-STS DNS-posten placeres på underdomæne _mta-m som i: _mta-sts.powerdmarc.com. TXT-posten skal starte med v=STSv1, og værdien "id" kan indeholde op til 32 alfanumeriske tegn, der medtages på følgende måde:

 v=STSv1; id=30271001S00T000;

Bemærk: Værdien for TXT-post-id'et skal opdateres til en ny værdi, hver gang du foretager ændringer i politikken. 

MTA-STS DNS Record bruges til at: 

  • Angiv understøttelse af MTA-STS for domænet
  • Giv MTA'en et signal om, at politikken skal hentes igen via HTTPS, hvis politikken ændres

Bemærk, at med MTA-STS TXT DNS-posten kan politikfilen gemmes af MTA'er i en længere periode uden at skulle hente politikken igen, medmindre den er blevet ændret, mens den stadig udfører en DNS-forespørgsel, hver gang der modtages en e-mail for domænet.

Konfiguration af MTA-STS til dit domæne

For at aktivere MTA-STS for dit domæne skal du:

  • Tilføj en cname type DNS-post på mta-sts.example.com, rettet mod den HTTPS-aktiverede webserver, der er vært for MTA-STS-politikfilen.

  • Tilføj en TXT- eller cname type DNS-post på _mta-sts.example.com som angiver understøttelse af MTA-STS for dit domæne.

  • Konfigurer en HTTPS-aktiveret webserver med et gyldigt certifikat for dit domæne.

  • Aktiver SMTP TLS-rapportering for dit domæne for at registrere problemer i forbindelse med levering af e-mail på grund af fejl i TLS-kryptering.

spf record opslag ikon powerdmarc

Udfordringer, der opstod under manuel implementering af MTA-STS

MTA-STS kræver en HTTPS-aktiveret webserver med et gyldigt certifikat, DNS-poster og konstant vedligeholdelse, hvilket gør installationsprocessen langvarig, tidskrævende og kompliceret. Derfor hjælper vi hos PowerDMARC dig med at administrere de fleste ting i baggrunden ved blot at udgive tre CNAME-poster i domænets DNS.

PowerDMARC's hostede MTA-STS-tjenester

PowerDMARC gør dit liv meget lettere ved at håndtere alt dette for dig, helt i baggrunden. Når vi hjælper dig med at sætte det op, behøver du aldrig engang at tænke over det igen.

  • Vi hjælper dig med at udgive dine cname-poster med blot et par klik

  • Vi tager ansvaret for at vedligeholde webserveren og være vært for certifikaterne

  • Via vores hostede MTA-STS-tjenester reduceres implementeringen fra din side til blot at offentliggøre et par DNS-poster

  • Du kan foretage ændringer i MTA-STS-politikken med det samme og nemt via PowerDMARC-dashboardet uden manuelt at skulle foretage ændringer i DNS

  • PowerDMARC's hostede MTA-STS-tjenester er RFC-kompatible og understøtter de nyeste TLS-standarder

  • Fra generering af certifikater og MTA-STS-politikfil til politikhåndhævelse hjælper vi dig med at undgå de enorme kompleksiteter, der er involveret i vedtagelsen af protokollen

SMTP TLS-rapportering (TLS-RPT)

For at gøre forbindelsen mellem to kommunikerende SMTP-servere mere sikker og krypteret via TLS blev MTA-STS introduceret for at håndhæve kryptering og forhindre, at e-mails leveres i klartekst, hvis en af serverne ikke understøtter TLS. Der er dog stadig et problem, der ikke er adresseret, det vil sige: Sådan underrettes domæneejere, hvis fjernservere står over for problemer i e-mail-levering på grund af fejl i TLS-kryptering? Her kommer TLS-RPT i spil og leverer diagnosticeringsrapporter for at muliggøre overvågning og fejlfinding af problemer inden for serverkommunikation, f.eks. udløbne TLS-certifikater, fejlkonfigurationer i e-mail-servere eller manglende forhandling af en sikker forbindelse på grund af manglende understøttelse af TLS-kryptering.

TLS-rapporter hjælper med at opdage og reagere på problemer i e-mail-levering via en rapporteringsmekanisme i form af JSON-filer. Disse JSON-filer kan være komplicerede og uforståelige for en ikke-teknisk person.

PowerDMARC hjælper med at forenkle JSON-filerne i form af enkle. omfattende og læsbare dokumenter med diagrammer og tabeller for nemheds skyld. Diagnosticeringsrapporterne for dit domæne vises også i to formater på PowerDMARC-dashboardet: pr. resultat og pr. afsendelseskilde.

powerdmarc tls rpt
json-diagrammer

Aktivering af TLS-RPT for dit domæne

Processen med at muliggøre SMTP TLS-rapportering er ganske enkel. Det eneste, du skal gøre for at aktivere den, er at tilføje en TXT DNS-post på den korrekte placering og præfikse _smtp._tls. til dit domænenavn. Med PowerDMARC kan dette dog konfigureres direkte fra PowerDMARC-brugergrænsefladen, uden at du behøver at foretage ændringer i din DNS!

Så snart du aktiverer TLS-RPT, begynder samtykkende mailoverførselsagenter at sende diagnosticeringsrapporter om problemer med levering af e-mails mellem kommunikation af servere til det angivne e-mail-domæne. Rapporterne sendes typisk en gang om dagen, der dækker og formidler MTA-STS-politikker observeret af afsendere, trafikstatistik samt oplysninger om fejl eller problemer i e-mail-levering.

Ofte stillede spørgsmål

PowerDMARC's kontrolpanel giver dig mulighed for automatisk at konfigurere MTA-STS og TLS-RPT til dit domæne ved kun at udgive tre CNAME-poster i domænets DNS. Fra at være vært for MTAS-STS-politikfiler og certifikater til vedligeholdelse af webserveren tager vi os af det hele i baggrunden, uden at du behøver at foretage ændringer i din DNS. Implementeringen af MTA-STS fra din side med PowerDMARC reduceres til blot et par klik.

Du kan installere og administrere MTA-STS for alle dine domæner fra din PowerDMARC-konto via en enkelt glasrude. Hvis nogen af disse domæner bruger modtagende e-mail-servere, der ikke understøtter STARTTLS, afspejles det i dine TLS-rapporter, forudsat at TLS-RPT er aktiveret for disse domæner.

Det er altid tilrådeligt at indstille din MTA-STS-politiktilstand til test i de indledende faser af udrulningen, så du kan overvåge aktiviteter og få indsigt i dit e-mail-økosystem, før du skifter til en mere aggressiv politik som at håndhæve. På denne måde, selvom e-mails ikke sendes via en TLS-krypteret forbindelse, vil de stadig blive sendt i almindelig tekst.   Men sørg for at aktivere TLS-RPT at få besked, hvis det sker.

TLS-RPT er en omfattende rapporteringsmekanisme, der giver dig mulighed for at få besked, hvis en sikret forbindelse ikke kunne etableres, og e-mailen ikke blev leveret til dig . Dette hjælper dig med at registrere problemer i e-mail-levering eller e-mail, der leveres via en usikker forbindelse, så du hurtigt kan afbøde og løse dem.

Du skal bemærke, at mens MTA-STS sikrer, at e-mails overføres via en TLS-krypteret forbindelse, hvis en sikret forbindelse ikke forhandles, kan e-mailen muligvis slet ikke leveres. Dette er dog nødvendigt, da det sikrer, at e-mail ikke leveres over en ukrypteret vej. For at undgå sådanne problemer anbefales det at oprette en MTA-STS-politik på en testtilstand og aktivere TLS-RPT for dit domæne i første omgang, før du går videre til MTA-STS-håndhævelsestilstanden. 

Du kan nemt ændre din MTA-STS-tilstand fra PowerMTA-STS-dashboardet ved at vælge den ønskede politiktilstand og gemme ændringer uden at skulle foretage ændringer i din DNS.

Du kan slå MTA-STS fra for dit domæne ved enten at angive politiktilstanden til ingen, hvorved du angiver over for MTA'erne, at dit domæne ikke understøtter protokollen, eller ved at slette MTA-STS DNS TXT-posten. 

MX-posterne for MTA-STS-politikfilen skal indeholde posterne for alle modtagende e-mail-servere, der bruges af dit domæne.

Planlægge en demo i dag
sikker e-mail powerdmarc