MTA-STS (Mail Transfer Agent-Strict Transport Security) er en ny standard, der gør det muligt for mailtjenesteudbydere med mulighed for at gennemtvinge TLS (Transport Layer Security) at sikre SMTP-forbindelser og angive, om de sendende SMTP-servere skal nægte at levere e-mails til MX-værter, der ikke tilbyder TLS med et pålideligt servercertifikat. Det har vist sig at kunne afbøde TLS nedgradere angreb og Man-In-The-Middle (MITM) angreb.

I enklere vendinger er MTA-STS en internetstandard, der sikrer forbindelser mellem SMTP-mailservere. Det mest fremtrædende problem med SMTP er, at kryptering er helt valgfri og ikke håndhæves under mailoverførsel. Derfor vedtog SMTP kommandoen STARTTLS for at opgradere fra almindelig tekst til kryptering. Dette var et værdifuldt skridt i retning af at afbøde passive angreb, men håndteringen af angreb via aktive netværk og MITM-angreb forblev stadig ubehandlet.

Derfor er problemet MTA-STS er at løse, er, at SMTP udnytter opportunistisk kryptering, dvs hvis en krypteret kommunikationskanal ikke kan etableres, forbindelsen falder tilbage til almindelig tekst, og dermed holde MITM og nedgradere angreb i skak.

Hvad er et TLS-nedgraderingsangreb?

Som vi allerede ved, kom SMTP ikke med en krypteringsprotokol, og kryptering skulle eftermonteres senere for at forbedre sikkerheden i den eksisterende protokol ved at tilføje STARTTLS-kommandoen. Hvis klienten understøtter kryptering (TLS), forstår den STARTTLS-verbet og starter en TLS-udveksling, før den sender e-mailen for at sikre, at den er krypteret. Hvis klienten ikke kender TLS, ignorerer den simpelthen kommandoen STARTTLS og sender e-mailen i almindelig tekst.

Da kryptering derfor skulle eftermonteres i SMTP-protokollen, skal opgraderingen til krypteret levering baseres på en STARTTLS-kommando, der sendes i klartekst. En MITM-hacker kan nemt udnytte denne funktion ved at udføre et nedgraderingsangreb på SMTP-forbindelsen ved at ændre opgraderingskommandoen. Angriberen erstattede simpelthen STARTTLS med en affaldsstreng, som klienten ikke identificerer. Derfor falder klienten let tilbage til at sende e-mailen i almindelig tekst.

Angriberen erstatter normalt kommandoen med affaldsstrengen, der indeholder det samme antal tegn, i stedet for at smide den ud, fordi dette bevarer pakkestørrelsen og derfor gør det lettere. De otte bogstaver i affaldsstrengen i indstillingskommandoen giver os mulighed for at opdage og identificere, at et TLS-nedgraderingsangreb er blevet udført af en cyberkriminel, og vi kan måle dens udbredelse.

Kort sagt lanceres et nedgraderingsangreb ofte som en del af et MITM-angreb for at skabe en vej til at muliggøre et kryptografisk angreb, der ikke ville være muligt i tilfælde af en forbindelse, der er krypteret over den nyeste version af TLS-protokollen, ved at erstatte eller slette STARTTLS-kommandoen og rulle kommunikationen tilbage for at rydde tekst.

Selvom det er muligt at håndhæve TLS til klient-til-server-kommunikation, ved vi som for disse forbindelser, at apps og serveren understøtter det. Men for server-til-server-kommunikation skal vi ikke åbne for at tillade ældre servere at sende e-mails. Kernen i problemet er, at vi ikke har nogen idé om, hvorvidt serveren på den anden side understøtter TLS eller ej. MTA-STS tillader servere at angive, at de understøtter TLS, hvilket giver dem mulighed for at mislykkes tæt (dvs. ikke at sende e-mailen), hvis opgraderingsforhandlingen ikke finder sted, hvilket gør det umuligt for et TLS-nedgraderingsangreb at finde sted.

tls-rapportering

Hvordan kommer MTA-STS til undsætning?

MTA-STS-funktioner ved at øge EXO- eller Exchange Online-e-mail-sikkerheden og er den ultimative løsning på en lang række SMTP-sikkerheds ulemper og problemer. Det løser problemer i SMTP-sikkerhed, såsom manglende understøttelse af sikre protokoller, udløbne TLS-certifikater og certifikater, der ikke er udstedt af pålidelige tredjeparter.

Efterhånden som mailservere fortsætter med at sende e-mails, er SMTP-forbindelsen sårbar over for kryptografiske angreb såsom nedgraderingsangreb og MITM. Nedgraderingsangreb kan startes ved at slette STARTTLS-svaret og derved levere meddelelsen i klar tekst. På samme måde kan MITM-angreb også startes ved at omdirigere meddelelsen til en server ubuden gæst over en usikker forbindelse. MTA-STS gør det muligt for dit domæne at offentliggøre en politik, der gør det obligatorisk at sende en e-mail med krypteret TLS. Hvis det af en eller anden grund viser sig, at den modtagende server ikke understøtter STARTTLS, sendes e-mailen slet ikke. Dette gør det umuligt at iværksætte et TLS-nedgraderingsangreb.

I den seneste tid har de fleste mailudbydere vedtaget MTA-STS og derved gjort forbindelser mellem servere mere sikre og krypterede over TLS-protokollen i en opdateret version, hvilket med succes afbøder TLS-nedgraderingsangreb og ophæver smuthullerne i serverkommunikation.

PowerDMARC bringer dig hurtige og nemme hostede MTA-STS-tjenester, der gør dit liv meget lettere, når vi tager os af alle de specifikationer, der kræves af MTA-STS under og efter implementering, såsom en HTTPS-aktiveret webserver med et gyldigt certifikat, DNS-poster og konstant vedligeholdelse. PowerDMARC håndterer alt dette helt i baggrunden, så når vi hjælper dig med at sætte det op, behøver du aldrig engang at tænke over det igen!

Ved hjælp af PowerDMARC kan du implementere Hosted MTA-STS i din organisation uden besværet og i et meget hurtigt tempo, hvor du kan håndhæve e-mails, der skal sendes til dit domæne via en TLS-krypteret forbindelse, hvilket gør din forbindelse sikker og holder TLS-nedgraderingsangreb i skak.