Da sich Unternehmen zunehmend auf E-Mail als primäres Kommunikationsmittel verlassen, kann die Bedeutung der Absicherung dieser Kanäle gegen potenzielle Bedrohungen nicht hoch genug eingeschätzt werden. Transport Layer Security (TLS) gewährleistet die Vertraulichkeit und Integrität der über Netzwerke übertragenen Daten.
Mehrere Protokolle helfen bei der Verschlüsselung von SMTP-Nachrichtenkanälen, um zu verhindern, dass Cyber-Angreifer die E-Mail-Kommunikation abfangen. Dazu gehören STARTTLS, DANE und MTA-STS. Wenn jedoch Verschlüsselungsversuche bei der Verwendung dieser Protokolle fehlschlagen, kann es sein, dass Ihre E-Mail nicht zugestellt wird. TLS-RPT (wie beschrieben unter RFC 8460) bietet einen Feedback-Mechanismus, um diese Zustellbarkeitsfehler zu melden.
Wir empfehlen dringend die Verwendung von TLS-RPT in Verbindung mit dem MTA-STS Protokoll zu verwenden. Im Folgenden wird erläutert, wie diese Protokolle zusammenarbeiten, um die E-Mail-Sicherheit zu erhöhen.
Was ist TLS-RPT?
TLS-RPT (Transport Layer Security Reporting) ist ein Standard zur Meldung von Problemen bei der E-Mail-Zustellung, wenn eine E-Mail nicht mit TLS verschlüsselt ist. Seine Bedeutung für die E-Mail-Authentifizierung geht Hand in Hand mit dem Grund für die Aktivierung der TLS-Verschlüsselung für E-Mails.
Die TLS-Verschlüsselung gewährleistet, dass jede an Sie gesendete E-Mail sicher zugestellt wird. Wenn die Verbindung nicht sicher ist, kann es vorkommen, dass E-Mails nicht zugestellt werden. TLS-RPT ermöglicht es Domaininhabern, die Zustellung von E-Mails und Verbindungsfehler zu überwachen. Die Berichte können Informationen enthalten über:
- Probleme bei der Handhabung von MTA-STS-Richtlinien
- Grund und Art des Lieferausfalls
- IP-Adresse des E-Mail-Senders und -Empfängers (Mail Transfer Agent)
- Gesamtzahl der erfolgreichen und erfolglosen TLS-Verbindungssitzungen
Dies verschafft Ihnen einen Überblick über Ihre E-Mail-Kanäle und ermöglicht es Ihnen, Probleme mit der Zustellbarkeit schneller zu lösen.
Wie funktioniert die TLS-Berichterstattung?
Bei der SMTP-E-Mail-Kommunikation ist die TLS-Verschlüsselung "opportunistisch". Das heißt, wenn kein verschlüsselter Kanal ausgehandelt werden kann, wird die E-Mail trotzdem unverschlüsselt (im Klartext) gesendet. Vor fast vier Jahrzehnten unterstützten SMTP-E-Mail-Protokolle keine TLS-Verschlüsselung. Sie musste erst später in Form des STARTTLS-Befehls nachgerüstet werden.
Der STARTTLS-Befehl wird bei der SMTP-Kommunikation nur erteilt, wenn beide Seiten die TLS-Verschlüsselung unterstützen. Andernfalls wird die E-Mail weiterhin im Klartext gesendet.
Um die opportunistische Verschlüsselung in SMTP loszuwerden, wurde MTA-STS eingeführt (RFC 8461). Das MTA-STS-Protokoll stellt sicher, dass E-Mails vor der Zustellung verschlüsselt werden. Ihr E-Mail-Server oder Mail Transfer Agent (MTA) verhandelt mit dem Empfangsserver, ob dieser den STARTTLS-Befehl unterstützt. Ist dies der Fall, wird die E-Mail mit TLS verschlüsselt und zugestellt. Andernfalls schlägt die Zustellung fehl.
Es kann mehrere Gründe für das Scheitern der TLS-Verschlüsselung geben. Abgesehen von der mangelnden Unterstützung der Verschlüsselung auf beiden Seiten können auch unheilvollere Gründe wie ein SMTP-Downgrade-Angriff zum Scheitern der TLS-Verbindung führen. Bei aktiviertem MTA-STS können Angreifer keine Nachrichten im Klartext zustellen, wenn eine Verbindung fehlschlägt.
Die Domäneninhaber möchten jedoch über die fehlgeschlagene Zustellung informiert werden. Die TLS-Berichterstattung (TLS-RPT) ist ein Protokoll, das Sie benachrichtigen wird. Bei Zustellungsfehlern erhalten Sie Ihren TLS-Bericht in einem JSON-Dateiformat an die in Ihrem TLS-RPT-Eintrag definierte E-Mail-Adresse.
Warum brauchen Sie SMTP-TLS-Reporting?
Domaininhaber müssen über E-Mail-Dienste informiert bleiben
Zustellungsprobleme aufgrund von Fehlern bei der TLS-Verschlüsselung von E-Mails, die von einer MTA-STS-aktivierten Domäne aus gesendet werden. Die TLS-Berichterstattung macht es möglich, indem sie diese Informationen bereitstellt. TLS-RPT
- Um Feedback-Berichte zu erhalten, die Ihren Policentyp hervorheben und
- So ermitteln Sie die Ursache von TLS-Verschlüsselungsfehlern
- Sichtbarkeit auf E-Mail-Kanälen gewinnen
- Behebung von Lieferproblemen
Schritte zur Einrichtung von TLS-RPT
Sie können die TLS-Berichterstattung für Ihre Domäne aktivieren, indem Sie einen TXT-Eintrag für TLS-RPT erstellen und ihn in Ihrem DNS veröffentlichen. Dieser Eintrag muss auf der Subdomain veröffentlicht werden smtp.tls.ihredomain.de
Schritt 1: Auswahl eines TLS-RPT-Datensatzgenerators
Sie können sich anmelden bei PowerDMARC kostenlos anmelden und unseren TLS-RPT-Datensatzgenerator verwenden, um Ihren Datensatz zu erstellen.
Schritt 2: Geben Sie Ihre Melde-E-Mail-Adresse ein
Geben Sie eine E-Mail-Adresse ein, an die Sie Ihre SMTP-TLS-Berichte senden möchten.
Schritt 3: Veröffentlichen Sie den TLS-Eintrag in Ihrem DNS
Sie können sich an Ihre Domänenregistrierungsstelle wenden, um einen neuen TXT-Eintrag für TLS-RPT zu erstellen. Wenn Sie Ihr eigenes DNS verwalten, bearbeiten Sie Ihre DNS-Einstellungen, um den Eintrag aufzunehmen.
TLS-RPT-Datensatz Beispiel
Syntax: v=TLSRPTv1; rua=mailto:[email protected];
Lassen Sie uns die 2 Komponenten des bereitgestellten TLS-Berichtsdatensatzes aufschlüsseln:
- v=TLSRPTv1: Dieses Tag gibt die Version des verwendeten TLS-RPT-Protokolls an. In diesem Fall "TLSRPTv1" die erste Version des Protokolls an.
- rua=mailto:[email protected]: rua steht für "Reporting URI(s) for Aggregate Data". Dieses Tag gibt an, wohin der Mailserver des Empfängers die aggregierten TLS-Berichte senden soll.
Sie können mehr als ein Ziel für den Empfang Ihrer Berichte konfigurieren. Bei mehreren Zielen trennen Sie die einzelnen Einträge durch ein Komma (,). Sie können entweder "maito:" verwenden, um eine E-Mail-Adresse für diesen Schritt anzugeben, oder den MTA anweisen, Berichte per POST an Endpunkt-URLs zu übermitteln, indem Sie "https:" im rua=-Feld verwenden. Wenn Sie "https:" verwenden verwenden, stellen Sie sicher, dass das Feld die URL zu einem HTTPS-fähigen Webserver mit einem gültigen Zertifikat definiert. Sowohl "mailto:" als auch "https:" können auch in einem einzigen Datensatz verwendet werden, getrennt durch ein Komma.
Beispiel: v=TLSRPTv1; rua=mailto:[email protected],https://tlsreport.example.com;
Anmerkung: In der Praxis würden Sie Folgendes ersetzen "IhreDomain.de" durch den tatsächlichen Domänennamen, unter dem Sie diese Berichte erhalten möchten.
TLS-Berichtsformat
TLS-Berichte werden im JSON-Format gesendet. Nachstehend finden Sie ein Beispiel dafür, wie ein JSON-TLS-Bericht aussehen könnte:
{
"Organisation-Name": "Organisation Inc.",
“date-range”: {
"start-datetime": “2020-10-22T00:00:00Z”,
"end-datetime": “2020-10-22T23:59:59Z”
},
"Kontakt-Infos": "[email protected]",
"report-id": “2020-10-22T00:00:00Z_domain.com”,
"Richtlinien": [
{
“policy”: {
"Richtlinien-Typ": "sts",
"policy-string": [
"Version: STSv1",
"Modus: Testen",
"mx: mx.domain.com",
"mx: mx2.domain.com",
"mx: mx3.domain.com",
"max_age: 604800"
],
"Richtlinien-Domäne": "domain.com"
},
“summary”: {
"Gesamtzahl der erfolgreichen Sitzungen": 15,
"Gesamtzahl der fehlgeschlagenen Sitzungen": 0
}
Hier ist die Aufschlüsselung der wichtigsten Felder in diesem JSON-TLS-Bericht:
Felder | Beschreibung |
Organisation | Die Domänenorganisation, die Eigentümerin des TLS-RPT-Eintrags ist. |
Die E-Mail-Adresse, an die die zusammengefassten Berichte gesendet werden. | |
Anfang_Datum | Das Anfangsdatum des Berichtszeitraums. |
end_date | Das Enddatum des Berichtszeitraums. |
Richtlinien | Eine Reihe von Richtlinienobjekten, die die während des Berichtszeitraums angewandten Richtlinien beschreiben. |
Politik | Enthält Informationen über die angewandte Richtlinie. |
richtlinien_art | Gibt die Art der Richtlinie an |
richtlinien_string | Gibt die mit der Richtlinie verbundene Richtlinienzeichenfolge an |
Modus | Gibt den MTA-STS-Richtlinienmodus an (Erzwingen/Testen) |
Zusammenfassung | Enthält zusammenfassende Informationen über die versuchten Sitzungen. |
total_successful_session_count | Die Gesamtzahl der erfolgreich aufgebauten TLS-Sitzungen. |
total_failure_session_count | Die Gesamtzahl der fehlgeschlagenen TLS-Sitzungen. |
ausfall_details | Ein Array von Objekten, die Details zu bestimmten Fehlern liefern. |
Grund | Eine Zeichenfolge, die den Grund für den Fehler angibt (z. B. "certificate_expired"). |
zählen | Die Anzahl der Sitzungen, die aus einem bestimmten Grund fehlgeschlagen sind. |
Gründe und Arten von Fehlern bei der TLS-Verschlüsselung
Zertifikatsprobleme
Versagensarten | Gründe | Mögliche Vorschläge zur Fehlerbehebung |
zertifikat_abgelaufen | Das vom Remote-Server vorgelegte Zertifikat hat sein Verfallsdatum überschritten. Damit ist es für die Verschlüsselung nicht mehr vertrauenswürdig. | Erneuern Sie Ihr Zertifikat. |
zertifikat_nicht_gültig_jetzt | Das vom Remote-Server vorgelegte Zertifikat ist noch nicht gültig. Dies kann auf eine falsche Serverzeit oder eine vorzeitige Verwendung des Zertifikats zurückzuführen sein. | Wenden Sie sich an Ihren Zertifikatsanbieter. |
zertifikat_widerrufen | Das vom Remote-Server vorgelegte Zertifikat wurde von der Zertifizierungsstelle aufgrund von Sicherheitsbedenken widerrufen. | Wenden Sie sich an Ihren Zertifikatsanbieter. |
keine_gültige_Unterschrift | Die vom Remote-Server vorgelegte Zertifikatskette wird vom Mailserver oder -Client des Absenders nicht als vertrauenswürdig eingestuft, was auf ein potenzielles Sicherheitsrisiko hinweist. | Wenden Sie sich an Ihren Zertifikatsanbieter. |
nicht unterstütztes_Zertifikat | Das vom Remoteserver vorgelegte Zertifikat verwendet Verschlüsselungsalgorithmen oder Schlüssellängen, die vom Mailserver des Absenders nicht unterstützt werden, wodurch eine sichere Verbindung verhindert wird. | Wenden Sie sich an Ihren Zertifikatsanbieter. |
Hostname und Identität stimmen nicht überein
Ausfallart | Grund | Mögliche Vorschläge zur Fehlerbehebung |
hostname_mismatch | Der im Zertifikat des Servers angegebene Hostname stimmt nicht mit dem Hostnamen des Servers überein, zu dem der Mailserver des Absenders eine Verbindung herzustellen versucht. Dies deutet auf einen möglichen Man-in-the-Middle-Angriff oder ein Konfigurationsproblem hin. | Überprüfen Sie die MX-Einträge in Ihrer MTA-STS-Richtliniendatei, um sicherzustellen, dass sie mit dem MX-Eintrag für die Domäne übereinstimmen. |
Handshake- und Protokoll-Probleme
Versagensarten | Gründe | Mögliche Vorschläge zur Fehlerbehebung |
handshake_failure | Während des anfänglichen TLS-Handshake-Prozesses zwischen dem Mailserver des Absenders und dem Mailserver des Empfängers trat ein Problem auf, wodurch der sichere Kanal nicht aufgebaut werden konnte. | Überprüfen Sie, ob die SMTP-STARTTLS-Verbindung hergestellt wurde. Es kann mehrere Gründe geben, die zu Verschlüsselungsfehlern führen, z. B. fehlende Unterstützung für STARTTLS oder ein TLS-Downgrade-Angriff. |
Politische Themen der MTA-STS
Versagensarten | Gründe | Mögliche Vorschläge zur Fehlerbehebung |
mta_sts_policy_not_found | Dieser Fehler tritt auf, wenn der Mailserver des Absenders keine MTA-STS-Richtlinie für die Domäne des Empfängers finden kann. | Überprüfen Sie Ihre MTA-STS-Richtliniendatei. Überprüfen Sie Ihren MTA-STS-Eintrag, um sicherzustellen, dass er korrekt veröffentlicht wurde. |
mta_sts_policy_invalid | Dieser Fehler tritt auf, wenn die im DNS gefundene MTA-STS-Richtlinie für die Domäne des Empfängers ungültig ist, Fehler enthält oder nicht der MTA-STS-Spezifikation entspricht. | Überprüfen Sie Ihre MTA-STS-Richtliniendatei. Geben Sie einen geeigneten MTA-STS-Richtlinienmodus an. Dies kann entweder Keine, Erzwingen oder Testen sein. Damit wird den sendenden Servern mitgeteilt, wie E-Mails zu behandeln sind, bei denen die Validierung der MTA-STS-Richtlinie fehlschlägt. Erfahren Sie hier mehr über die politischen Modi. |
mta_sts_policy_fetch_error | Dieser Fehler tritt auf, wenn der Mailserver des Absenders beim Versuch, die MTA-STS-Richtlinie aus den DNS-Einträgen der Empfängerdomäne abzurufen, einen Fehler feststellt. | Überprüfen Sie die MTA-STS-Einträge in Ihrem DNS, um sicherzustellen, dass die Syntax der Einträge korrekt ist. |
mta_sts_connection_failure | Dieser Fehler tritt auf, wenn der Mailserver des Absenders versucht, eine sichere Verbindung mit MTA-STS aufzubauen, dies aber aus Gründen wie nicht vertrauenswürdigen Zertifikaten, nicht unterstützten Cipher Suites oder anderen TLS-Problemen nicht gelingt. | Überprüfen Sie die Gültigkeit Ihres Zertifikats und stellen Sie sicher, dass das Zertifikat dem neuesten TLS-Standard entspricht. |
mta_sts_ungültiger_hostname | Dieser Fehler tritt auf, wenn der Hostname des Mailservers des Empfängers, wie in der MTA-STS-Richtlinie angegeben, nicht mit dem tatsächlichen Hostnamen des Servers übereinstimmt. | Überprüfen Sie die MX-Einträge in Ihrer MTA-STS-Richtliniendatei, um sicherzustellen, dass sie mit dem MX-Eintrag für die Domäne übereinstimmen. |
Vereinfachte SMTP-TLS-Berichterstattung mit PowerDMARC
Die SMTP-TLS-Berichterstattung von PowerDMARC ist darauf ausgerichtet, Ihre Sicherheit zu verbessern und Ihnen das Leben mit einem gehosteten Dienst zu erleichtern.
Übersetzte TLS-Berichte
Ihre komplexen TLS-RPT-JSON-Berichte werden in vereinfachte Informationen umgewandelt, die Sie in Sekundenschnelle überfliegen oder im Detail lesen können.
Probleme mit der automatischen Erkennung
Die PowerDMARC-Plattform identifiziert das Problem und hebt es hervor, damit Sie es ohne Zeitverlust beheben können.
Es gibt nicht eine Sache, die ich an der PowerDMARC-Plattform mag, sie hat ein einfach zu bedienendes und verständliches Layout mit, wie ich es nennen würde, vollen Funktionen, die eine gehostete DMARC-Kontrolle, SPF-Flattening, die Möglichkeit, die SPF-Includes leicht zu erweitern, um die Besonderheiten des Datensatzes zu überprüfen und sogar volle Unterstützung für MTA-STS und TLS-RPT!
Dylan B (Geschäftsinhaber)
Häufig gestellte Fragen zur Transport Layer Security
1. Was bedeutet TLS?
TLS steht für Transport Layer Security.
2. Wer stellt TLS-Zertifikate aus?
Zertifizierungsstellen (CAs) können TLS-Zertifikate ausstellen. Das Verfahren zur Ausstellung des Zertifikats umfasst die Überprüfung der Identität des Zertifikatsinhabers. Bei erfolgreicher Identifizierung wird das Zertifikat ausgestellt.
3. Warum brauche ich ein TLS-Zertifikat?
TLS-Zertifikate spielen eine zentrale Rolle bei der Sicherung der Kommunikation über das Internet. Sie helfen bei der Verschlüsselung sensibler Informationen, die zwischen kommunizierenden Webservern ausgetauscht werden. Zu den häufigsten Anwendungen gehören die Sicherung der E-Mail-Kommunikation und HTTPS.
4. Was ist der aktuelle TLS-Standard?
TLS 1.3 ist die neueste Version der Transport Layer Security. TLS-RPT kann mit jeder Version von TLS implementiert werden. Dies kann ältere Versionen des Protokolls oder zukünftige Versionen einschließen. Die Version wird normalerweise durch Kriterien wie die Fähigkeiten der kommunizierenden Server bestimmt.
Zusätzliche Ressourcen
- PowerDMARC integriert sich mit ConnectWise - Oktober 31, 2024
- Was ist Datagram Transport Layer Security (DTLS): Vorteile und Herausforderungen - 29. Oktober 2024
- DMARC und FedRAMP: Verbesserung der E-Mail-Sicherheit - 28. Oktober 2024