Als SMTP 1982 erstmals spezifiziert wurde, enthielt es keinen Mechanismus zur Bereitstellung von Sicherheit auf der Transportebene, um die Kommunikation zwischen den Mail-Transfer-Agents zu sichern. Im Jahr 1999 wurde jedoch der Befehl STARTTLS zu SMTP hinzugefügt, der wiederum die Verschlüsselung von E-Mails zwischen den Servern unterstützte und die Möglichkeit bot, eine unsichere Verbindung in eine sichere umzuwandeln, die mit dem TLS-Protokoll verschlüsselt ist.
Die Verschlüsselung ist bei SMTP jedoch optional, was bedeutet, dass E-Mails auch im Klartext versendet werden können. Mail Transfer Agent-Strict Transport Security (MTA-STS) ist ein relativ neuer Standard, der es Mail-Service-Providern ermöglicht, Transport Layer Security (TLS) zur Sicherung von SMTP-Verbindungen zu erzwingen und festzulegen, ob die sendenden SMTP-Server die Zustellung von E-Mails an MX-Hosts verweigern sollen, die kein TLS mit einem zuverlässigen Server-Zertifikat anbieten. Es hat sich als erfolgreich erwiesen, TLS-Downgrade-Angriffe und Man-In-The-Middle (MITM)-Angriffe zu entschärfen. SMTP-TLS-Berichterstattung (TLS-RPT) ist ein Standard, der die Meldung von Problemen bei der TLS-Verbindung ermöglicht, die bei Anwendungen auftreten, die E-Mails versenden, und der Fehlkonfigurationen erkennt. Er ermöglicht die Meldung von Problemen bei der E-Mail-Zustellung, die auftreten, wenn eine E-Mail nicht mit TLS verschlüsselt ist. Im September 2018 wurde der Standard erstmals in RFC 8460 dokumentiert.
Warum müssen Ihre E-Mails während der Übertragung verschlüsselt werden?
Das primäre Ziel ist es, die Sicherheit auf Transportebene während der SMTP-Kommunikation zu verbessern und die Privatsphäre des E-Mail-Verkehrs zu gewährleisten. Darüber hinaus erhöht die Verschlüsselung von ein- und ausgehenden Nachrichten die Informationssicherheit, indem Kryptografie zum Schutz elektronischer Informationen eingesetzt wird. Darüber hinaus haben kryptografische Angriffe wie Man-In-The-Middle (MITM) und TLS-Downgrade in letzter Zeit an Popularität gewonnen und sind zu einer gängigen Praxis unter Cyberkriminellen geworden, die durch die Durchsetzung der TLS-Verschlüsselung und die Erweiterung der Unterstützung auf sichere Protokolle umgangen werden können.
Wie wird ein MITM-Angriff gestartet?
Da die Verschlüsselung in das SMTP-Protokoll nachgerüstet werden musste, muss sich das Upgrade für die verschlüsselte Zustellung auf einen STARTTLS-Befehl verlassen, der im Klartext gesendet wird. Ein MITM-Angreifer kann diese Funktion leicht ausnutzen, indem er einen Downgrade-Angriff auf die SMTP-Verbindung durch Manipulation des Upgrade-Befehls durchführt und den Client dazu zwingt, die E-Mail wieder im Klartext zu senden.
Nach dem Abfangen der Kommunikation kann ein MITM-Angreifer die entschlüsselten Informationen leicht stehlen und auf den Inhalt der E-Mail zugreifen. Dies liegt daran, dass SMTP als Industriestandard für die E-Mail-Übertragung opportunistische Verschlüsselung verwendet, was bedeutet, dass die Verschlüsselung optional ist und E-Mails immer noch im Klartext zugestellt werden können.
Wie wird ein TLS-Downgrade-Angriff gestartet?
Da die Verschlüsselung in das SMTP-Protokoll nachgerüstet werden musste, muss sich das Upgrade für die verschlüsselte Zustellung auf einen STARTTLS-Befehl verlassen, der im Klartext gesendet wird. Ein MITM-Angreifer kann diese Funktion ausnutzen, indem er einen Downgrade-Angriff auf die SMTP-Verbindung durch Manipulation des Upgrade-Befehls durchführt. Der Angreifer kann den STARTTLS-Befehl einfach durch eine Zeichenfolge ersetzen, die der Client nicht identifizieren kann. Daher fällt der Client leicht darauf zurück, die E-Mail im Klartext zu senden.
Kurz gesagt, ein Downgrade-Angriff wird oft als Teil eines MITM-Angriffs gestartet, um einen Weg zu schaffen, einen Angriff zu ermöglichen, der im Falle einer über die neueste Version des TLS-Protokolls verschlüsselten Verbindung nicht möglich wäre, indem der STARTTLS-Befehl ersetzt oder gelöscht und die Kommunikation auf Klartext zurückgesetzt wird.
Abgesehen von der Erhöhung der Informationssicherheit und der Entschärfung allgegenwärtiger Überwachungsangriffe löst die Verschlüsselung von Nachrichten während der Übertragung auch mehrere SMTP-Sicherheitsprobleme.
Erzwungene TLS-Verschlüsselung von E-Mails mit MTA-STS erreichen
Wenn Sie Ihre E-Mails nicht über eine sichere Verbindung transportieren, können Ihre Daten gefährdet oder sogar von einem Cyberangreifer verändert und manipuliert werden. Hier setzt MTA-STS an und behebt dieses Problem, indem es eine sichere Übertragung Ihrer E-Mails ermöglicht und kryptografische Angriffe erfolgreich abwehrt und die Informationssicherheit durch die Durchsetzung der TLS-Verschlüsselung erhöht. Einfach ausgedrückt: MTA-STS erzwingt, dass die E-Mails über einen TLS-verschlüsselten Weg übertragen werden, und für den Fall, dass eine verschlüsselte Verbindung nicht hergestellt werden kann, wird die E-Mail gar nicht zugestellt, sondern im Klartext. Außerdem speichern MTAs MTA-STS-Richtliniendateien, was es Angreifern erschwert, einen DNS-Spoofing-Angriff zu starten.
MTA-STS bietet Schutz gegen :
- Downgrade-Angriffe
- Man-In-The-Middle (MITM)-Angriffe
- Es löst mehrere SMTP-Sicherheitsprobleme, darunter abgelaufene TLS-Zertifikate und fehlende Unterstützung für sichere Protokolle.
Große E-Mail-Dienstanbieter wie Microsoft, Oath und Google unterstützen MTA-STS. Google als größter Akteur der Branche steht bei der Übernahme eines Protokolls im Mittelpunkt. Die Übernahme von MTA-STS durch Google zeigt die Ausweitung der Unterstützung auf sichere Protokolle und unterstreicht die Bedeutung der E-Mail-Verschlüsselung bei der Übertragung.
Fehlerbehebung von Problemen bei der E-Mail-Zustellung mit TLS-RPT
SMTP-TLS-Reporting bietet Domain-Besitzern Diagnoseberichte (im JSON-Dateiformat) mit ausführlichen Details zu E-Mails, die an Ihre Domain gesendet wurden und Zustellungsprobleme aufweisen oder aufgrund eines Downgrade-Angriffs oder anderer Probleme nicht zugestellt werden konnten, sodass Sie das Problem proaktiv beheben können. Sobald Sie TLS-RPT aktivieren, beginnen die Acquiescent Mail Transfer Agents mit dem Senden von Diagnoseberichten zu E-Mail-Zustellungsproblemen zwischen kommunizierenden Servern an die angegebene E-Mail-Domain. Die Berichte werden in der Regel einmal pro Tag gesendet und enthalten die von den Absendern eingehaltenen MTA-STS-Richtlinien, Verkehrsstatistiken sowie Informationen über Fehler oder Probleme bei der E-Mail-Zustellung.
Die Notwendigkeit des Einsatzes von TLS-RPT :
- Falls eine E-Mail aufgrund eines Zustellungsproblems nicht an Ihren Empfänger gesendet werden kann, werden Sie benachrichtigt.
- TLS-RPT bietet eine verbesserte Übersicht über alle Ihre E-Mail-Kanäle, so dass Sie einen besseren Einblick in alle Vorgänge in Ihrer Domain erhalten, einschließlich Nachrichten, die nicht zugestellt werden können.
- TLS-RPT bietet ausführliche Diagnoseberichte, mit denen Sie das Problem bei der E-Mail-Zustellung identifizieren, an die Wurzel gehen und es ohne Verzögerung beheben können.
Die Einführung von MTA-STS und TLS-RPT wird durch PowerDMARC einfach und schnell gemacht
MTA-STS erfordert einen HTTPS-fähigen Webserver mit einem gültigen Zertifikat, DNS-Einträge und ständige Wartung. PowerDMARC macht Ihnen das Leben leichter, indem es all das für Sie erledigt, komplett im Hintergrund - von der Generierung der Zertifikate und der MTA-STS-Richtliniendatei bis hin zur Durchsetzung der Richtlinien helfen wir Ihnen, die enorme Komplexität zu umgehen, die mit der Einführung des Protokolls verbunden ist. Sobald wir Ihnen bei der Einrichtung mit nur wenigen Klicks helfen, müssen Sie nie wieder darüber nachdenken.
Mit Hilfe der E-Mail-Authentifizierungsdienste von PowerDMARC können Sie Hosted MTA-STS in Ihrem Unternehmen problemlos und sehr schnell einsetzen. Mit Hilfe dieser Dienste können Sie erzwingen, dass E-Mails über eine TLS-verschlüsselte Verbindung an Ihre Domain gesendet werden, wodurch Ihre Verbindung sicher wird und MITM-Angriffe abgewehrt werden.
PowerDMARC macht Ihnen das Leben leichter, indem es den Prozess der Implementierung von SMTP-TLS-Reporting (TLS-RPT) einfach und schnell macht, und zwar auf Knopfdruck! Sobald Sie sich bei PowerDMARC anmelden und SMTP-TLS-Reporting für Ihre Domain aktivieren, nehmen wir Ihnen die Mühe ab, die komplizierten JSON-Dateien, die Ihre Berichte über E-Mail-Zustellungsprobleme enthalten, in einfache, lesbare Dokumente (pro Ergebnis und pro Sendequelle) zu konvertieren, die Sie leicht durchgehen und verstehen können! Die PowerDMARC-Plattform erkennt und übermittelt automatisch die Probleme, die bei der E-Mail-Zustellung auftreten, so dass Sie diese in kürzester Zeit angehen und beheben können!
Melden Sie sich noch heute an, um Ihr kostenloses DMARC zu erhalten!
