Ein weit verbreiteter Internet-Standard, der die Sicherheit von Verbindungen zwischen SMTP-Servern (Simple Mail Transfer Protocol) verbessert, ist der SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).
Im Jahr 1982 wurde SMTP zum ersten Mal spezifiziert und enthielt keinen Mechanismus für die Bereitstellung von Sicherheit auf der Transportebene, um die Kommunikation zwischen den Mail-Transfer-Agents zu sichern. Im Jahr 1999 wurde jedoch der Befehl STARTTLS zu SMTP hinzugefügt, der wiederum die Verschlüsselung von E-Mails zwischen den Servern unterstützte und die Möglichkeit bot, eine unsichere Verbindung in eine sichere umzuwandeln, die mit dem TLS-Protokoll verschlüsselt ist.
In diesem Fall werden Sie sich fragen: Wenn SMTP STARTTLS zur Sicherung von Verbindungen zwischen Servern eingeführt hat, warum war dann der Wechsel zu MTA-STS erforderlich? Lassen Sie uns im folgenden Abschnitt dieses Blogs darauf eingehen!
Die Notwendigkeit des Umstiegs auf MTA-STS
STARTTLS war nicht perfekt und konnte zwei Hauptprobleme nicht lösen: Das erste ist, dass es eine optionale Maßnahme ist, daher kann STARTTLS keine Man-in-the-Middle-Angriffe (MITM) verhindern. Dies liegt daran, dass ein MITM-Angreifer eine Verbindung leicht modifizieren und die Aktualisierung der Verschlüsselung verhindern kann. Das zweite Problem ist, dass es, selbst wenn STARTTLS implementiert ist, keine Möglichkeit gibt, die Identität des sendenden Servers zu authentifizieren, da SMTP-Mailserver keine Zertifikate validieren.
Zwar sind die meisten ausgehenden E-Mails heutzutage mit Transport Layer Security (TLS) -Verschlüsselung gesichert, ein Industriestandard, der sogar von E-Mails für Privatanwender übernommen wurde, aber Angreifer können Ihre E-Mails dennoch behindern und manipulieren, noch bevor sie verschlüsselt werden. Wenn Sie Ihre E-Mails über eine sichere Verbindung transportieren, können Ihre Daten kompromittiert oder sogar von einem Cyber-Angreifer verändert und manipuliert werden. Hier setzt MTA-STS an und behebt dieses Problem, indem es eine sichere Übertragung Ihrer E-Mails garantiert und MITM-Angriffe erfolgreich abwehrt. Darüber hinaus speichern MTAs MTA-STS-Richtliniendateien, was es für Angreifer schwieriger macht, einen DNS-Spoofing-Angriff zu starten.
MTA-STS bietet Schutz gegen :
- Downgrade-Angriffe
- Man-In-The-Middle (MITM) -Angriffe
- Es löst mehrere SMTP-Sicherheitsprobleme, darunter abgelaufene TLS-Zertifikate und fehlende Unterstützung für sichere Protokolle.
Wie funktioniert das MTA-STS?
Das MTA-STS-Protokoll wird über einen DNS-Eintrag bereitgestellt, der festlegt, dass ein E-Mail-Server eine Richtliniendatei von einer bestimmten Subdomäne abrufen kann. Diese Richtliniendatei wird über HTTPS abgerufen und mit Zertifikaten authentifiziert, zusammen mit der Liste der Namen der Mailserver des Empfängers. Die Implementierung von MTA-STS ist auf der Empfängerseite einfacher als auf der Senderseite, da es von der Mailserver-Software unterstützt werden muss. Zwar unterstützen einige Mailserver MTA-STS, wie z. B. PostFix, aber nicht alle.
Große Mail-Dienstanbieter wie Microsoft, Oath und Google unterstützen MTA-STS. Googles Gmail hat in letzter Zeit bereits MTA-STS-Richtlinien übernommen. MTA-STS hat die Nachteile bei der Sicherheit von E-Mail-Verbindungen beseitigt, indem es den Prozess der Sicherung von Verbindungen für unterstützte Mailserver einfach und zugänglich gemacht hat.
Verbindungen von den Benutzern zu den Mail-Servern werden normalerweise mit dem TLS-Protokoll geschützt und verschlüsselt, trotzdem gab es vor der Implementierung von MTA-STS einen bestehenden Mangel an Sicherheit bei den Verbindungen zwischen Mail-Servern. Mit dem gestiegenen Bewusstsein für E-Mail-Sicherheit in jüngster Zeit und der Unterstützung durch die großen Mail-Provider weltweit wird erwartet, dass die Mehrheit der Server-Verbindungen in naher Zukunft verschlüsselt wird. Darüber hinaus stellt MTA-STS effektiv sicher, dass Cyberkriminelle in den Netzwerken nicht in der Lage sind, E-Mail-Inhalte zu lesen.
Einfache und schnelle Bereitstellung von gehosteten MTA-STS-Diensten durch PowerDMARC
MTA-STS erfordert einen HTTPS-fähigen Webserver mit einem gültigen Zertifikat, DNS-Einträge und ständige Wartung. PowerDMARC macht Ihnen das Leben sehr viel leichter, indem es all das für Sie erledigt, komplett im Hintergrund. Sobald wir Ihnen bei der Einrichtung helfen, müssen Sie nie wieder darüber nachdenken.
Mit Hilfe von PowerDMARC können Sie Hosted MTA-STS in Ihrem Unternehmen problemlos und sehr schnell einsetzen. Damit können Sie erzwingen, dass E-Mails über eine TLS-verschlüsselte Verbindung an Ihre Domain gesendet werden, wodurch Ihre Verbindung sicher wird und MITM-Angriffe abgewehrt werden.
- DMARC Reply-To-Implementierung für E-Mail-Versender - 9. August 2022
- E-Mail-Datenverlustschutz mit DMARC - August 8, 2022
- DMARC-Subdomain-Delegation - 5. August 2022
