Wichtiger Hinweis: Google und Yahoo werden DMARC ab April 2024 vorschreiben.
Mehr lesen

MTA-STS und TLS-RPT Implementierungsleitfaden

Willkommen zu Ihrem ausführlichen Handbuch über MTA-STS und TLS-RPT, um praktische Kenntnisse über die Protokolle und ihre Funktionalitäten zu erhalten.

Kontaktieren Sie uns Buchen Sie eine Demo

Inhaltsverzeichnis

  1. Was ist Mail Transfer Agent-Strict Transport Security (MTA-STS)?
  2. Wie stellt MTA-STS die Verschlüsselung von Nachrichten während der Übertragung sicher?
  3. Aufschlüsselung der Anatomie eines MITM-Angriffs
  4. Wie stellt MTA-STS die TLS-Verschlüsselung sicher?
  5. Was ist die MTA-STS-Richtliniendatei?
  6. Wie wird die MTA-STS-Richtliniendatei veröffentlicht?
  7. Was ist der MTA-STS DNS-Eintrag?
  8. Wie wird MTA-STS eingesetzt?
  9. Was sind die Khallen beim manuellen Einsatz von MTA-STS?
  10. Die gehosteten MTA-STS-Dienste von PowerDMARC
  11. Was ist SMTP TLS Reporting (TLS-RPT)?
  12. Wie kann ich TLS-RPT für meine Domain aktivieren?
  13. Häufig gestellte Fragen
tls-Verschlüsselung

Mail Transfer Agent-Strict Transport Security (MTA-STS)

MTA-STS ist, wie der Name schon sagt, ein Protokoll, das den verschlüsselten Transport von Nachrichten zwischen zwei SMTP-Mailservern ermöglicht. MTA-STS gibt den sendenden Servern vor, dass E-Mails nur über eine TLS-verschlüsselte Verbindung versendet werden sollen und dass sie überhaupt nicht zugestellt werden sollen, wenn keine gesicherte Verbindung über den Befehl STARTTLS aufgebaut wird. Indem MTA-STS die Sicherheit von E-Mails während der Übertragung erhöht, hilft es, Man-In-The-Middle-Angriffe (MITM) wie SMTP-Downgrade-Angriffe und DNS-Spoofing-Angriffe zu entschärfen.

Mehr lesen

Wie stellt MTA-STS die Verschlüsselung von Nachrichten auf dem Transportweg sicher?

Nehmen wir ein einfaches Beispiel, um zu verstehen, wie Nachrichten während des E-Mail-Flusses verschlüsselt werden. Wenn ein MTA eine E-Mail sendet an [email protected]sendet, führt der MTA eine DNS-Anfrage durch, um herauszufinden, an welche MTAs die E-Mail gesendet werden muss. Die DNS-Anfrage wird gesendet, um die MX-Einträge von powerdmarc.com abzurufen. Der sendende MTA verbindet sich anschließend mit dem im Ergebnis der DNS-Abfrage gefundenen empfangenden MTA und fragt an, ob dieser Empfangsserver TLS-Verschlüsselung unterstützt. Ist dies der Fall, wird die E-Mail über eine verschlüsselte Verbindung gesendet. Ist dies nicht der Fall, kann der sendende MTA keine sichere Verbindung aushandeln und sendet die E-Mail im Klartext.

Der Versand von E-Mails über einen unverschlüsselten Weg ebnet den Weg für allgegenwärtige Überwachungsangriffe wie MITM und SMTP-Downgrade. Lassen Sie uns herausfinden, wie:

Die Anatomie eines MITM-Angriffs aufschlüsseln

Im Wesentlichen findet ein MITM-Angriff statt, wenn ein Angreifer den STARTTLS-Befehl ersetzt oder löscht, um die gesicherte Verbindung auf eine ungesicherte ohne TLS-Verschlüsselung zurückzusetzen. Dies wird als Downgrade-Angriff bezeichnet. Nach erfolgreicher Durchführung eines Downgrade-Angriffs kann der Angreifer ungehindert auf die E-Mail-Inhalte zugreifen und diese einsehen.

Ein MITM-Angreifer kann auch die MX-Einträge in der DNS-Abfrageantwort durch einen Mail-Server ersetzen, auf den er Zugriff hat und den er kontrollieren kann. Der Mail-Transfer-Agent stellt in diesem Fall die E-Mail an den Server des Angreifers zu, wodurch dieser auf den E-Mail-Inhalt zugreifen und diesen manipulieren kann. Anschließend kann die E-Mail an den Server des beabsichtigten Empfängers weitergeleitet werden, ohne dass dies bemerkt wird. Dies ist ein sogenannter DNS-Spoofing-Angriff.

Häufig gestellte Fragen

Mit dem Control Panel von PowerDMARC können Sie automatisch MTA-STS und TLS-RPT für Ihre Domain einrichten, indem Sie nur drei CNAME-Einträge im DNS Ihrer Domain veröffentlichen. Vom Hosting der MTAS-STS-Richtliniendateien und -Zertifikate bis hin zur Wartung des Webservers kümmern wir uns um alles im Hintergrund, ohne dass Sie irgendwelche Änderungen an Ihrem DNS vornehmen müssen. Die Bereitstellung von MTA-STS Ihrerseits wird mit PowerDMARC auf wenige Klicks reduziert.

Sie können MTA-STS für alle Ihre Domänen über Ihr PowerDMARC-Konto bereitstellen und verwalten, und zwar über eine einzige Glasscheibe. Falls eine dieser Domänen Empfangs-Mailserver verwendet, die STARTTLS nicht unterstützen, wird dies in Ihren TLS-Berichten angezeigt, sofern Sie TLS-RPT für diese Domänen aktiviert haben.

Es ist immer ratsam, den MTA-STS-Richtlinienmodus auf Testen zu setzen, damit Sie die Aktivitäten überwachen und einen Einblick in Ihr E-Mail-Ökosystem gewinnen können, bevor Sie zu einer aggressiveren Richtlinie wie "Erzwingen" wechseln. Auf diese Weise würden die E-Mails, auch wenn sie nicht über eine TLS-verschlüsselte Verbindung gesendet werden, im Klartext gesendet. Stellen Sie jedoch sicher, dass Sie TLS-RPT aktivieren, um benachrichtigt zu werden, wenn dies geschieht.

TLS-RPT ist ein umfangreicher Berichtsmechanismus, mit dem Sie benachrichtigt werden können, wenn eine gesicherte Verbindung nicht hergestellt werden konnte und die E-Mail nicht zugestellt werden konnte. Dies hilft Ihnen, Probleme bei der E-Mail-Zustellung oder E-Mails, die über eine ungesicherte Verbindung zugestellt wurden, zu erkennen, so dass Sie diese umgehend entschärfen und beheben können.

Sie müssen beachten, dass MTA-STS zwar sicherstellt, dass E-Mails über eine TLS-verschlüsselte Verbindung übertragen werden, aber wenn keine gesicherte Verbindung ausgehandelt wird, kann es sein, dass die E-Mail gar nicht zugestellt wird. Dies ist jedoch notwendig, da es sicherstellt, dass E-Mails nicht über einen unverschlüsselten Weg zugestellt werden. Um solche Probleme zu vermeiden, ist es ratsam, eine MTA-STS-Richtlinie in einem Testmodus einzurichten und zunächst TLS-RPT für Ihre Domäne zu aktivieren, bevor Sie zum MTA-STS-Erzwingungsmodus übergehen. 

Sie können Ihren MTA-STS-Modus einfach über das PowerMTA-STS-Dashboard ändern, indem Sie den gewünschten Richtlinienmodus auswählen und die Änderungen speichern, ohne dass Sie Änderungen an Ihrem DNS vornehmen müssen.

Sie können MTA-STS für Ihre Domain deaktivieren, indem Sie entweder den Richtlinienmodus auf "none" setzen und damit den MTAs mitteilen, dass Ihre Domain das Protokoll nicht unterstützt, oder indem Sie Ihren MTA-STS-DNS-TXT-Eintrag löschen. 

Die MX-Einträge für die MTA-STS-Richtliniendatei sollten die Einträge für alle empfangenden Mailserver enthalten, die von Ihrer Domain verwendet werden.