Hvad er MTA-STS? Opsæt den rigtige MTA STS-politik
En meget kendt internetstandard, der gør det lettere at forbedre sikkerheden for forbindelser mellem SMTP-servere (Simple Mail Transfer Protocol), er SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS løser eksisterende problemer inden for SMTP e-mail-sikkerhed ved at håndhæve TLS-kryptering i transit.
MTA-STS' historie og oprindelse
SMTP blev først specificeret i 1982, og den indeholdt ikke nogen mekanisme til sikring af sikkerheden på transportniveauet for at sikre kommunikationen mellem mailoverførselsagenterne. I 1999 blev kommandoen STARTTLS imidlertid tilføjet til SMTP, som til gengæld understøttede kryptering af e-mails mellem serverne og gav mulighed for at konvertere en ikke-sikker forbindelse til en sikker forbindelse, der er krypteret ved hjælp af TLS-protokollen.
I så fald undrer du dig sikkert over, at SMTP har indført STARTTLS for at sikre forbindelser mellem servere, hvorfor det var nødvendigt at skifte til MTA-STS, og hvad det overhovedet gjorde. Lad os springe ud i det i de følgende afsnit af denne blog!
Hvad er MTA-STS? (Mail Transfer Agent Strict Transport Security - Forklaret)
MTA-STS er en sikkerhedsstandard, der sikrer sikker overførsel af e-mails via en krypteret SMTP-forbindelse. Akronymet MTA står for Message Transfer Agent, som er et program, der overfører e-mail-meddelelser mellem computere. Akronymet STS står for Strict Transport Security, som er den protokol, der anvendes til at gennemføre standarden. En MTA-STS-kender mail transfer agent (MTA) eller secure message transfer agent (SMTA) fungerer i overensstemmelse med denne specifikation og giver en sikker end-to-end-kanal til at sende e-mail over usikrede netværk.
MTA-STS-protokollen gør det muligt for en SMTP-klient at verificere serverens identitet og sikre, at den ikke opretter forbindelse til en bedrager ved at kræve, at serveren angiver sit certifikatfingeraftryk i TLS-handshake-protokollen. Klienten kontrollerer derefter certifikatet i forhold til et truststore, der indeholder certifikater for kendte servere.
Introduktion til MTA-STS e-mail-sikkerhed
MTA-STS blev introduceret for at bygge bro over sikkerhedshullet i SMTP-kommunikation. Som sikkerhedsstandard sørger MTA-STS for sikker transmission af e-mails via en krypteret SMTP-forbindelse.
Forkortelsen MTA står for Message Transfer Agent, som er et program, der overfører e-mailbeskeder mellem computere. Forkortelsen STS står for Strict Transport Security, som er den protokol, der bruges til at implementere standarden. En MTA-STS-aware mail transfer agent (MTA) eller secure message transfer agent (SMTA) fungerer i overensstemmelse med denne specifikation og giver en sikker end-to-end-kanal til afsendelse af e-mail over usikrede netværk.
MTA-STS-protokollen gør det muligt for en SMTP-klient at verificere serverens identitet og sikre, at den ikke opretter forbindelse til en bedrager ved at kræve, at serveren angiver sit certifikatfingeraftryk i TLS-handshake-protokollen. Klienten kontrollerer derefter certifikatet i forhold til et truststore, der indeholder certifikater for kendte servere.
Behovet for at skifte til tvungen TLS-kryptering
STARTTLS var ikke perfekt, og det løste ikke to store problemer: Det første er, at det er en valgfri foranstaltning, og derfor forhindrer STARTTLS ikke man-in-the-middle-angreb (MITM). Dette skyldes, at en MITM-angriber nemt kan ændre en forbindelse og forhindre krypteringsopdateringen i at finde sted. Det andet problem er, at selv om STARTTLS er implementeret, er der ingen måde at autentificere afsenderserverens identitet på, da SMTP mailservere ikke validerer certifikater.
Mens de fleste udgående e-mails i dag er sikret med Transport Layer Security (TLS) kryptering, som er en industristandard, der også anvendes af forbruger-e-mails, kan angribere stadig blokere og manipulere med din e-mail, selv før den bliver krypteret. Hvis du e-mailer for at transportere dine e-mails over en sikker forbindelse, kan dine data blive kompromitteret eller endda ændret og manipuleret med af en cyberangriber.
Det er her, MTA-STS træder til og løser dette problem, garanterer sikker transit for dine e-mails og afbøder MITM-angreb. Desuden gemmer MTA'er MTA-STS-politikfiler, hvilket gør det sværere for angribere at starte et DNS-spoofing-angreb.
Hvordan fungerer MTA-STS?
MTA-STS-protokollen implementeres ved at have en DNS-post, der angiver, at en mailserver kan hente en policy-fil fra et bestemt subdomæne. Denne policy-fil hentes via HTTPS og autentificeres med certifikater sammen med listen over navne på modtagerens mailservere. Implementering af MTA-STS er lettere på modtagersiden end på afsendersiden, da det skal understøttes af mailserversoftwaren. Mens nogle mailservere understøtter MTA-STS, som f.eks. PostFixer det ikke alle, der gør det.
Store mailudbydere som Microsoft, Oath og Google understøtter MTA-STS. Googles Gmail har allerede vedtaget MTA-STS politikker i den seneste tid. MTA-STS har fjernet ulemperne i e-mail-forbindelse sikkerhed ved at gøre processen med at sikre forbindelser nemt og tilgængeligt for understøttede mail-servere.
Forbindelser fra brugerne til mailserverne er normalt beskyttet og krypteret med TLS-protokollen, men på trods af det var der en eksisterende mangel på sikkerhed i forbindelserne mellem mailservere før implementeringen af MTA-STS. Med en stigende bevidsthed om e-mailsikkerhed i nyere tid og støtte fra store mailudbydere verden over forventes størstedelen af serverforbindelserne at være krypterede i den nærmeste fremtid. Desuden sikrer MTA-STS effektivt, at cyberkriminelle på netværket ikke er i stand til at læse e-mailindhold.
Trin til opsætning af MTA-STS til dit domæne
For at opsætte MTA-STS til dit domæne kan du følge nedenstående trin:
- Tjek, om dit domæne har eksisterende MTA-STS-konfigurationer. Hvis du bruger Google Workspace til dine e-mails, kan du nemt gøre det ved hjælp af denne vejledning.
- Opret og udgiv en MTA-STS-politik, der konfigureres separat for hvert domæne. MTA-STS-politikfilen definerer MTA-STS-aktiverede e-mailservere, der bruges af det pågældende domæne.
- Når du har oprettet din policy-fil, skal du uploade den til en offentlig webserver, som nemt kan tilgås af eksterne servere.
- Til sidst skal du oprette og offentliggøre din MTA-STS DNS record ("_mta-sts" TXT record) for at instruere modtagerservere i, at dine e-mails skal være TLS-krypterede for at blive betragtet som autentiske, og at de kun skal have adgang til din modtagers indbakke, hvis førstnævnte er sandt.
Når du har en aktiv politikfil, vil eksterne mailservere ikke tillade adgang til e-mail uden en sikker forbindelse.
3 MTA-STS-politiktilstande: Ingen, test og håndhævelse
De tre tilgængelige værdier for MTA-STS-politiktilstande er som følger:
- Ingen: Denne politik annullerer din MTA-STS-konfiguration, da eksterne servere vil betragte protokollen som inaktiv for domænet.
- Testning: Med denne politik vil e-mails, der overføres via en ukrypteret forbindelse, ikke blive afvist, men med TLS-RPT aktiveret vil du fortsat modtage TLS-rapporter om leveringsstien og e-mailadfærden.
- Håndhæve: Endelig vil e-mails, der overføres via en ukrypteret SMTP-forbindelse, blive afvist af din server, når politikken er håndhævet.
MTA-STS yder beskyttelse mod:
- Nedgradere angreb
- Man-In-The-Middle-angreb (MITM)
- Det løser flere SMTP-sikkerhedsproblemer, herunder udløbne TLS-certifikater og manglende understøttelse af sikre protokoller.
Nem implementering af MTA-STS med PowerDMARC
MTA-STS kræver en HTTPS-aktiveret webserver med et gyldigt certifikat, DNS-poster og konstant vedligeholdelse. PowerDMARC's DMARC-analysator værktøj gør dit liv meget lettere ved at håndtere alt dette for dig, helt i baggrunden. Når vi først har hjulpet dig med at konfigurere det, behøver du aldrig at tænke på det igen.
Ved hjælp af PowerDMARC kan du implementere Hosted MTA-STS i din organisation uden besværet med at håndtere dine offentlige certifikater. Vi hjælper dig:
- Foretag politikopdateringer og optimeringer af din post med ét klik uden at skulle tilgå dine DNS-indstillinger.
- Bekræft din politikversion og certifikatvalidering
- Opdage fejl i anvendelsen af MTA-STS-politikken
- Host din tekstfil med MTA-STS-politik
- Opdag forbindelsesfejl, forbindelsessucceser og forbindelsesproblemer hurtigere med forenklede rapporter
Tilmeld dig i dag for hurtigt at tvinge e-mails til at blive sendt til dit domæne via en TLS-krypteret forbindelse og gøre din forbindelse sikker mod MITM og andre cyberangreb.
- Hvad er e-mail-godkendelse? Tjek og autentificer dine e-mails - 29. februar 2024
- Hvordan løser man "No SPF record found" i 2024? - 27. februar 2024
- DMARC forklaret: Hvad er det, og hvordan fungerer det? - 25. februar 2024