Wichtiger Hinweis: Google und Yahoo werden ab Februar 2024 DMARC verlangen.
tls-Verschlüsselung

Mail Transfer Agent-Strict Transport Security (MTA-STS)

MTA-STS ist, wie der Name schon sagt, ein Protokoll, das den verschlüsselten Transport von Nachrichten zwischen zwei SMTP-Mailservern ermöglicht. MTA-STS gibt den sendenden Servern vor, dass E-Mails nur über eine TLS-verschlüsselte Verbindung versendet werden sollen und dass sie überhaupt nicht zugestellt werden sollen, wenn keine gesicherte Verbindung über den Befehl STARTTLS aufgebaut wird. Indem MTA-STS die Sicherheit von E-Mails während der Übertragung erhöht, hilft es, Man-In-The-Middle-Angriffe (MITM) wie SMTP-Downgrade-Angriffe und DNS-Spoofing-Angriffe zu entschärfen.

Wie stellt MTA-STS die Verschlüsselung von Nachrichten auf dem Transportweg sicher?

Nehmen wir ein einfaches Beispiel, um zu verstehen, wie Nachrichten während des E-Mail-Flusses verschlüsselt werden. Wenn ein MTA eine E-Mail sendet an [email protected]sendet, führt der MTA eine DNS-Anfrage durch, um herauszufinden, an welche MTAs die E-Mail gesendet werden muss. Die DNS-Anfrage wird gesendet, um die MX-Einträge von powerdmarc.com abzurufen. Der sendende MTA verbindet sich anschließend mit dem im Ergebnis der DNS-Abfrage gefundenen empfangenden MTA und fragt an, ob dieser Empfangsserver TLS-Verschlüsselung unterstützt. Ist dies der Fall, wird die E-Mail über eine verschlüsselte Verbindung gesendet. Ist dies nicht der Fall, kann der sendende MTA keine sichere Verbindung aushandeln und sendet die E-Mail im Klartext.

Der Versand von E-Mails über einen unverschlüsselten Weg ebnet den Weg für allgegenwärtige Überwachungsangriffe wie MITM und SMTP-Downgrade. Lassen Sie uns herausfinden, wie:

Die Anatomie eines MITM-Angriffs aufschlüsseln

Im Wesentlichen findet ein MITM-Angriff statt, wenn ein Angreifer den STARTTLS-Befehl ersetzt oder löscht, um die gesicherte Verbindung auf eine ungesicherte ohne TLS-Verschlüsselung zurückzusetzen. Dies wird als Downgrade-Angriff bezeichnet. Nach erfolgreicher Durchführung eines Downgrade-Angriffs kann der Angreifer ungehindert auf die E-Mail-Inhalte zugreifen und diese einsehen.

Ein MITM-Angreifer kann auch die MX-Einträge in der DNS-Abfrageantwort durch einen Mail-Server ersetzen, auf den er Zugriff hat und den er kontrollieren kann. Der Mail-Transfer-Agent stellt in diesem Fall die E-Mail an den Server des Angreifers zu, wodurch dieser auf den E-Mail-Inhalt zugreifen und diesen manipulieren kann. Anschließend kann die E-Mail an den Server des beabsichtigten Empfängers weitergeleitet werden, ohne dass dies bemerkt wird. Dies ist ein sogenannter DNS-Spoofing-Angriff.

SMTP-Downgrade-Angriff

Sicherstellen der Verschlüsselung mit MTA-STS

Immer wenn Sie E-Mails über den SMTP-Server Ihres E-Mail-Dienstanbieters wie Gmail oder Microsoft versenden, werden die E-Mails über das Simple Mail Transfer Protocol (SMTP) vom sendenden Server zum empfangenden Server übertragen. SMTP erlaubt jedoch eine opportunistische Verschlüsselung, was bedeutet, dass die Kommunikation zwischen SMTP-Servern verschlüsselt oder unverschlüsselt erfolgen kann, um Manipulationen oder das Abhören von E-Mail-Inhalten zu vermeiden. MTA-STS wird unter Verwendung von HTTPS veröffentlicht, wodurch es gegen MITM-Angriffe geschützt ist.

MTA-STS sichert die E-Mail-Zustellung durch: 

  • TLS-Verschlüsselung erzwingen

  • Bereitstellen der MX-Einträge von einem HTTPS-gesicherten Server

gehostete mta sts-dienste
gehostet MTA STS

Das MTA-STS-Protokoll wird über einen DNS-Eintrag bereitgestellt, der festlegt, dass ein E-Mail-Server eine Richtliniendatei von einer bestimmten Subdomäne abrufen kann. Diese Richtliniendatei wird über HTTPS abgerufen und mit Zertifikaten authentifiziert, zusammen mit der Liste der Namen der Mailserver der Empfänger. Das Protokoll legt für einen SMTP-Server fest, dass die Kommunikation mit dem anderen SMTP-Server verschlüsselt sein muss und dass der Domänenname auf dem Zertifikat mit der Domäne der Richtliniendatei übereinstimmen muss. Wenn MTA-STS erzwungen wird, wird die Nachricht, falls kein verschlüsselter Kanal ausgehandelt werden kann, überhaupt nicht zugestellt.

Die MTA-STS-Richtlinien-Datei

Die MTA-STS-Richtliniendatei ist im Wesentlichen eine einfache Textdatei, die wie folgt aussieht:

Version: STSv1
Modus: Erzwingen
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
max_age: 604800

Hinweis: Das Versionsfeld muss am Anfang der Textdatei stehen, während die anderen Felder in beliebiger Reihenfolge eingefügt werden können.

Die Richtliniendatei verwendet eine Schlüssel-Wert-Paarung, wobei jeder Wert in einer separaten Zeile in der Textdatei kodiert ist, wie oben gezeigt. Die Größe dieser Datei kann bis zu 64 KB betragen. Der Name der Richtliniendatei muss lauten mta-sts.txt. Richtliniendateien müssen jedes Mal aktualisiert werden, wenn Sie Mailserver in Ihrer Domäne hinzufügen oder ändern.

Hinweis: Die Einstellung von MTA-STS auf den Erzwingungsmodus kann dazu führen, dass Ihnen einige E-Mails nicht zugestellt werden. Daher ist es ratsam, den Richtlinienmodus stattdessen auf Testing zu setzen und sich für ein niedriges max_age zu entscheiden, um sicherzustellen, dass alles korrekt funktioniert, bevor Sie in den Enforce-Modus wechseln. Wir empfehlen, TLS-RPT für Ihre Richtlinie auch im Testmodus einzurichten, um benachrichtigt zu werden, falls E-Mails im Klartext gesendet werden. 

MTA-STS-Policy

Veröffentlichen der MTA-STS-Richtliniendatei

Um die MTA-STS-Richtliniendatei zu veröffentlichen, muss der Webserver, der Ihre Datei hostet, Folgendes tun:

  • Unterstützt HTTPS/SSL
  • Das Serverzertifikat muss von einer fremden Stammzertifizierungsstelle signiert und validiert sein.

Um eine Richtliniendatei für Ihre Domäne zu veröffentlichen, sollten Sie einen öffentlichen Webserver mit der zu Ihrer Domäne hinzugefügten Subdomäne "mta-sts" einrichten. Die erstellte Richtliniendatei muss in dem in der Subdomain angelegten Verzeichnis .well-known veröffentlicht werden. Die URL für Ihre hochgeladene MTA-STS-Richtliniendatei könnte etwa so aussehen:

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

gehostet MTA STS

MTA-STS DNS-Eintrag

Ein TXT-DNS-Eintrag für MTA-STS wird im DNS Ihrer Domain veröffentlicht, um anzugeben, dass Ihre Domain das MTA-STS-Protokoll unterstützt, und um zu signalisieren, dass die zwischengespeicherten Werte in den MTAs aktualisiert werden, falls die Richtlinie geändert wird. Der MTA-STS-DNS-Eintrag wird in der Subdomain _mta-sts wie in: _mta-sts.powerdmarc.com. Der TXT-Eintrag muss mit v=STSv1 beginnen, und der "id" Wert kann bis zu 32 alphanumerische Zeichen enthalten, die auf folgende Weise eingeschlossen werden:

 v=STSv1; id=30271001S00T000;

Hinweis: Der Wert der TXT-Datensatz-ID muss jedes Mal auf einen neuen Wert aktualisiert werden, wenn Sie Änderungen an der Richtlinie vornehmen. 

Der MTA-STS DNS-Eintrag wird verwendet, um: 

  • Legen Sie die Unterstützung für MTA-STS für die Domäne fest
  • Signalisieren Sie dem MTA, dass er die Richtlinie über HTTPS erneut abrufen soll, falls die Richtlinie geändert wird

Beachten Sie, dass mit dem MTA-STS-TXT-DNS-Eintrag die Richtliniendatei von MTAs über einen längeren Zeitraum gespeichert werden kann, ohne dass die Richtlinie erneut abgerufen werden muss, sofern sie nicht geändert wurde, während weiterhin jedes Mal eine DNS-Abfrage durchgeführt wird, wenn eine E-Mail für die Domain empfangen wird.

MTA-STS für Ihre Domäne konfigurieren

Um MTA-STS für Ihre Domain zu aktivieren, müssen Sie Folgendes tun:

  • Fügen Sie einen DNS-Eintrag vom Typ cname unter mta-sts.beispiel.deein, der auf den HTTPS-fähigen Webserver gerichtet ist, der die MTA-STS-Richtliniendatei hostet.

  • Fügen Sie einen DNS-Eintrag vom Typ txt oder cname unter _mta-sts.beispiel.com der die Unterstützung für MTA-STS für Ihre Domain angibt.

  • Richten Sie einen HTTPS-fähigen Webserver mit einem gültigen Zertifikat für Ihre Domain ein.

  • Aktivieren Sie SMTP-TLS-Reporting für Ihre Domain, um Probleme bei der E-Mail-Zustellung aufgrund von Fehlern bei der TLS-Verschlüsselung zu erkennen.

spf-datensatz-nachschlage-symbol powerdmarc

Herausforderungen bei der manuellen Bereitstellung von MTA-STS

MTA-STS erfordert einen HTTPS-fähigen Webserver mit einem gültigen Zertifikat, DNS-Einträge und ständige Wartung, was den Bereitstellungsprozess langwierig, zeitaufwendig und kompliziert macht. Deshalb helfen wir von PowerDMARC Ihnen, die meisten Dinge im Hintergrund zu verwalten, indem wir nur drei CNAME-Einträge im DNS Ihrer Domain veröffentlichen.

Die gehosteten MTA-STS-Dienste von PowerDMARC

PowerDMARC macht Ihnen das Leben um einiges leichter, indem es all das für Sie erledigt, komplett im Hintergrund. Sobald wir Ihnen bei der Einrichtung helfen, müssen Sie nie wieder darüber nachdenken.

  • Wir helfen Ihnen, Ihre cname-Datensätze mit nur wenigen Klicks zu veröffentlichen

  • Wir übernehmen die Verantwortung für die Wartung des Webservers und das Hosting der Zertifikate

  • Durch unsere gehosteten MTA-STS-Dienste reduziert sich die Bereitstellung auf Ihrer Seite auf die Veröffentlichung einiger weniger DNS-Einträge

  • Sie können MTA-STS-Richtlinienänderungen sofort und einfach über das PowerDMARC-Dashboard vornehmen, ohne manuell Änderungen am DNS vornehmen zu müssen

  • Die gehosteten MTA-STS-Dienste von PowerDMARC sind RFC-konform und unterstützen die neuesten TLS-Standards

  • Von der Generierung von Zertifikaten und der MTA-STS-Richtliniendatei bis hin zur Durchsetzung von Richtlinien helfen wir Ihnen, die enorme Komplexität zu umgehen, die mit der Einführung des Protokolls verbunden ist

SMTP TLS-Berichterstattung (TLS-RPT)

Um die Verbindung zwischen zwei kommunizierenden SMTP-Servern sicherer und verschlüsselt über TLS zu machen, wurde MTA-STS eingeführt, um die Verschlüsselung zu erzwingen und zu verhindern, dass E-Mails im Klartext zugestellt werden, falls einer der beiden Server TLS nicht unterstützt. Ein Problem bleibt jedoch immer noch ungelöst, und zwar: Wie kann man die Domain-Besitzer benachrichtigen, wenn auf entfernten Servern Probleme bei der E-Mail-Zustellung aufgrund eines Fehlers in der TLS-Verschlüsselung auftreten? Hier kommt TLS-RPT ins Spiel, das Diagnoseberichte bereitstellt, um die Überwachung und Fehlerbehebung von Problemen in der Serverkommunikation zu ermöglichen, wie z. B. abgelaufene TLS-Zertifikate, Fehlkonfigurationen in E-Mail-Servern oder das Scheitern bei der Aushandlung einer sicheren Verbindung aufgrund mangelnder Unterstützung für TLS-Verschlüsselung.

TLS Reports helfen dabei, Probleme bei der E-Mail-Zustellung durch einen Berichtsmechanismus in Form von JSON-Dateien zu erkennen und darauf zu reagieren. Diese JSON-Dateien können kompliziert und für eine nichttechnische Person unentzifferbar sein.

PowerDMARC hilft bei der Vereinfachung der JSON-Dateien in Form von einfachen. umfassenden und lesbaren Dokumenten mit Diagrammen und Tabellen für Ihre Bequemlichkeit. Die Diagnoseberichte für Ihre Domain werden außerdem in zwei Formaten auf dem PowerDMARC-Dashboard angezeigt: pro Ergebnis und pro Sendequelle.

powerdmarc tls rpt
json-Diagramme

Aktivieren von TLS-RPT für Ihre Domain

Die Aktivierung des SMTP-TLS-Reportings ist recht einfach. Alles, was Sie tun müssen, um es zu aktivieren, ist das Hinzufügen eines TXT DNS-Eintrags an der richtigen Stelle mit dem Präfix _smtp._tls. zu Ihrem Domainnamen hinzuzufügen. Mit PowerDMARC kann dies jedoch direkt von der PowerDMARC-Benutzeroberfläche aus eingerichtet werden, ohne dass Sie irgendwelche Änderungen an Ihrem DNS vornehmen müssen!

Sobald Sie TLS-RPT aktivieren, beginnen duldsame Mail Transfer Agents damit, Diagnoseberichte zu Problemen bei der E-Mail-Zustellung zwischen kommunizierenden Servern an die angegebene E-Mail-Domäne zu senden. Die Berichte werden in der Regel einmal pro Tag gesendet und umfassen und übermitteln die von den Absendern beobachteten MTA-STS-Richtlinien, Verkehrsstatistiken sowie Informationen über Fehler oder Probleme bei der E-Mail-Zustellung.

Häufig gestellte Fragen

Mit dem Control Panel von PowerDMARC können Sie automatisch MTA-STS und TLS-RPT für Ihre Domain einrichten, indem Sie nur drei CNAME-Einträge im DNS Ihrer Domain veröffentlichen. Vom Hosting der MTAS-STS-Richtliniendateien und -Zertifikate bis hin zur Wartung des Webservers kümmern wir uns um alles im Hintergrund, ohne dass Sie irgendwelche Änderungen an Ihrem DNS vornehmen müssen. Die Bereitstellung von MTA-STS Ihrerseits wird mit PowerDMARC auf wenige Klicks reduziert.

Sie können MTA-STS für alle Ihre Domänen über Ihr PowerDMARC-Konto bereitstellen und verwalten, und zwar über eine einzige Glasscheibe. Falls eine dieser Domänen Empfangs-Mailserver verwendet, die STARTTLS nicht unterstützen, wird dies in Ihren TLS-Berichten angezeigt, sofern Sie TLS-RPT für diese Domänen aktiviert haben.

Es ist immer ratsam, den MTA-STS-Richtlinienmodus auf Testen zu setzen, damit Sie die Aktivitäten überwachen und einen Einblick in Ihr E-Mail-Ökosystem gewinnen können, bevor Sie zu einer aggressiveren Richtlinie wie "Erzwingen" wechseln. Auf diese Weise würden die E-Mails, auch wenn sie nicht über eine TLS-verschlüsselte Verbindung gesendet werden, im Klartext gesendet. Stellen Sie jedoch sicher, dass Sie TLS-RPT aktivieren, um benachrichtigt zu werden, wenn dies geschieht.

TLS-RPT ist ein umfangreicher Berichtsmechanismus, mit dem Sie benachrichtigt werden können, wenn eine gesicherte Verbindung nicht hergestellt werden konnte und die E-Mail nicht zugestellt werden konnte. Dies hilft Ihnen, Probleme bei der E-Mail-Zustellung oder E-Mails, die über eine ungesicherte Verbindung zugestellt wurden, zu erkennen, so dass Sie diese umgehend entschärfen und beheben können.

Sie müssen beachten, dass MTA-STS zwar sicherstellt, dass E-Mails über eine TLS-verschlüsselte Verbindung übertragen werden, aber wenn keine gesicherte Verbindung ausgehandelt wird, kann es sein, dass die E-Mail gar nicht zugestellt wird. Dies ist jedoch notwendig, da es sicherstellt, dass E-Mails nicht über einen unverschlüsselten Weg zugestellt werden. Um solche Probleme zu vermeiden, ist es ratsam, eine MTA-STS-Richtlinie in einem Testmodus einzurichten und zunächst TLS-RPT für Ihre Domäne zu aktivieren, bevor Sie zum MTA-STS-Erzwingungsmodus übergehen. 

Sie können Ihren MTA-STS-Modus einfach über das PowerMTA-STS-Dashboard ändern, indem Sie den gewünschten Richtlinienmodus auswählen und die Änderungen speichern, ohne dass Sie Änderungen an Ihrem DNS vornehmen müssen.

Sie können MTA-STS für Ihre Domain deaktivieren, indem Sie entweder den Richtlinienmodus auf "none" setzen und damit den MTAs mitteilen, dass Ihre Domain das Protokoll nicht unterstützt, oder indem Sie Ihren MTA-STS-DNS-TXT-Eintrag löschen. 

Die MX-Einträge für die MTA-STS-Richtliniendatei sollten die Einträge für alle empfangenden Mailserver enthalten, die von Ihrer Domain verwendet werden.

Planen Sie noch heute eine Demo
sichere E-Mail-Powerdmarc