Ein weithin bekannter Internet-Standard, der die Sicherheit von Verbindungen zwischen SMTP-Servern (Simple Mail Transfer Protocol) verbessert, ist der SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS löst bestehende Probleme bei der SMTP-E-Mail-Sicherheit, indem es eine TLS-Verschlüsselung bei der Übertragung erzwingt.
Die Geschichte und der Ursprung von MTA-STS
Im Jahr 1982 wurde SMTP zum ersten Mal spezifiziert und enthielt keinen Mechanismus für die Bereitstellung von Sicherheit auf der Transportebene, um die Kommunikation zwischen den Mail Transfer Agents zu sichern. Im Jahr 1999 wurde jedoch der Befehl STARTTLS zu SMTP hinzugefügt, der wiederum die Verschlüsselung von E-Mails zwischen den Servern unterstützte und die Möglichkeit bot, eine unsichere Verbindung in eine sichere umzuwandeln, die mit dem TLS-Protokoll verschlüsselt ist.
In diesem Fall werden Sie sich fragen, ob SMTP STARTTLS zur Sicherung von Verbindungen zwischen Servern eingeführt hat, warum die Umstellung auf MTA-STS erforderlich war und was es überhaupt bewirkt. Darauf wollen wir in den folgenden Abschnitten dieses Blogs näher eingehen!
Was ist MTA-STS? (Mail Transfer Agent Strict Transport Security - Erklärt)
MTA-STS ist ein Sicherheitsstandard, der die sichere Übertragung von E-Mails über eine verschlüsselte SMTP-Verbindung gewährleistet. Das Akronym MTA steht für Message Transfer Agent, ein Programm, das E-Mail-Nachrichten zwischen Computern überträgt. Die Abkürzung STS steht für Strict Transport Security, das Protokoll, das zur Umsetzung des Standards verwendet wird. Ein MTA-STS-fähiger Mail Transfer Agent (MTA) oder Secure Message Transfer Agent (SMTA) arbeitet gemäß dieser Spezifikation und bietet einen sicheren End-to-End-Kanal für den Versand von E-Mails über ungesicherte Netzwerke.
Das MTA-STS-Protokoll ermöglicht es einem SMTP-Client, die Identität des Servers zu überprüfen und sicherzustellen, dass er sich nicht mit einem Betrüger verbindet, indem er den Server auffordert, seinen Zertifikatsfingerabdruck im TLS-Handshake bereitzustellen. Der Client überprüft dann das Zertifikat anhand eines Vertrauensspeichers, der Zertifikate bekannter Server enthält.
Die Notwendigkeit des Umstiegs auf MTA-STS
STARTTLS war nicht perfekt und konnte zwei Hauptprobleme nicht lösen: Das erste ist, dass es eine optionale Maßnahme ist, daher kann STARTTLS keine Man-in-the-Middle-Angriffe (MITM) verhindern. Dies liegt daran, dass ein MITM-Angreifer eine Verbindung leicht modifizieren und die Aktualisierung der Verschlüsselung verhindern kann. Das zweite Problem ist, dass es, selbst wenn STARTTLS implementiert ist, keine Möglichkeit gibt, die Identität des sendenden Servers zu authentifizieren, da SMTP-Mailserver keine Zertifikate validieren.
Auch wenn die meisten ausgehenden E-Mails heute mit Transport Layer Security (TLS) verschlüsselt werden, einem Industriestandard, der auch für E-Mails an Verbraucher gilt, können Angreifer Ihre E-Mails noch vor der Verschlüsselung behindern und manipulieren. Wenn Sie Ihre E-Mails über eine sichere Verbindung transportieren, können Ihre Daten kompromittiert oder sogar von einem Cyber-Angreifer verändert und manipuliert werden. Hier setzt MTA-STS an und behebt dieses Problem, indem es eine sichere Übertragung Ihrer E-Mails garantiert und MITM-Angriffe erfolgreich abwehrt. Darüber hinaus speichern MTAs MTA-STS-Richtliniendateien, die es Angreifern erschweren, einen DNS-Spoofing-Angriff zu starten.
MTA-STS bietet Schutz gegen :
- Downgrade-Angriffe
- Man-In-The-Middle (MITM) -Angriffe
- Es löst mehrere SMTP-Sicherheitsprobleme, darunter abgelaufene TLS-Zertifikate und fehlende Unterstützung für sichere Protokolle.
Wie funktioniert das MTA-STS?
Das MTA-STS-Protokoll wird über einen DNS-Eintrag bereitgestellt, der angibt, dass ein Mailserver eine Richtliniendatei von einer bestimmten Subdomäne abrufen kann. Diese Richtliniendatei wird über HTTPS abgerufen und mit Zertifikaten authentifiziert, zusammen mit der Liste der Namen der Mailserver des Empfängers. Die Implementierung von MTA-STS ist auf der Seite des Empfängers einfacher als auf der Seite des Absenders, da es von der Mailserver-Software unterstützt werden muss. Zwar unterstützen einige Mailserver wie PostFix MTA-STS, aber nicht alle.
Große Mail-Dienstanbieter wie Microsoft, Oath und Google unterstützen MTA-STS. Googles Gmail hat in letzter Zeit bereits MTA-STS-Richtlinien übernommen. MTA-STS hat die Nachteile bei der Sicherheit von E-Mail-Verbindungen beseitigt, indem es den Prozess der Sicherung von Verbindungen für unterstützte Mailserver einfach und zugänglich gemacht hat.
Verbindungen von den Benutzern zu den Mail-Servern werden normalerweise mit dem TLS-Protokoll geschützt und verschlüsselt, trotzdem gab es vor der Implementierung von MTA-STS einen bestehenden Mangel an Sicherheit bei den Verbindungen zwischen Mail-Servern. Mit dem gestiegenen Bewusstsein für E-Mail-Sicherheit in jüngster Zeit und der Unterstützung durch die großen Mail-Provider weltweit wird erwartet, dass die Mehrheit der Server-Verbindungen in naher Zukunft verschlüsselt wird. Darüber hinaus stellt MTA-STS effektiv sicher, dass Cyberkriminelle in den Netzwerken nicht in der Lage sind, E-Mail-Inhalte zu lesen.
Einfache und schnelle Bereitstellung von gehosteten MTA-STS-Diensten durch PowerDMARC
MTA-STS erfordert einen HTTPS-fähigen Webserver mit einem gültigen Zertifikat, DNS-Einträge und ständige Wartung. Das DMARC-Analysetool von PowerDMARC macht Ihnen das Leben sehr viel leichter, da es all dies für Sie erledigt, und zwar vollständig im Hintergrund. Sobald wir Ihnen bei der Einrichtung geholfen haben, müssen Sie nie wieder darüber nachdenken.
Mit Hilfe von PowerDMARC können Sie Hosted MTA-STS in Ihrem Unternehmen problemlos und sehr schnell einsetzen. Damit können Sie erzwingen, dass E-Mails über eine TLS-verschlüsselte Verbindung an Ihre Domain gesendet werden, wodurch Ihre Verbindung sicher wird und MITM-Angriffe abgewehrt werden.
- Leben nach P=Reject - 1. Dezember 2022
- Sicherheitsbedrohungen für Wechseldatenträger - 1. Dezember 2022
- PowerDMARC und Cipher unterzeichnen eine Absichtserklärung auf der Black Hat MEA in Riyadh - November 28, 2022
