Toen SMTP in 1982 voor het eerst werd gespecificeerd, bevatte het geen mechanisme om op transportniveau beveiliging te bieden voor de communicatie tussen de mail transfer agents. In 1999 werd echter het STARTTLS-commando aan SMTP toegevoegd, dat op zijn beurt de versleuteling van e-mail tussen de servers ondersteunde, en de mogelijkheid bood om een niet-veilige verbinding om te zetten in een veilige verbinding die is versleuteld met gebruikmaking van het TLS-protocol.

Versleuteling is echter facultatief in SMTP, hetgeen betekent dat e-mails ook in onversleutelde vorm kunnen worden verzonden. Mail Transfer Agent-Strict Transportbeveiliging (MTA-STS) is een betrekkelijk nieuwe standaard die aanbieders van e-maildiensten de mogelijkheid biedt Transport Layer Security (TLS) af te dwingen om SMTP-verbindingen te beveiligen, en te specificeren of de verzendende SMTP-servers moeten weigeren e-mails af te leveren bij MX-hosts die geen TLS met een betrouwbaar servercertificaat bieden. Het is bewezen dat TLS downgrade aanvallen en Man-In-The-Middle (MITM) aanvallen met succes worden tegengegaan. SMTP TLS-verslaglegging (TLS-RPT) is een standaard die de rapportage van problemen in TLS-connectiviteit mogelijk maakt die wordt ervaren door applicaties die e-mails verzenden en misconfiguraties detecteren. Het maakt de rapportage mogelijk van e-mailafleveringsproblemen die plaatsvinden wanneer een e-mail niet met TLS is versleuteld. In september 2018 werd de standaard voor het eerst gedocumenteerd in RFC 8460.

Waarom is versleuteling van uw e-mails onderweg nodig?

Het hoofddoel is de beveiliging op transportniveau tijdens SMTP-communicatie te verbeteren en de privacy van e-mailverkeer te waarborgen. Bovendien wordt met versleuteling van inkomende en uitgaande berichten de informatiebeveiliging verbeterd, waarbij gebruik wordt gemaakt van cryptografie om elektronische informatie te beveiligen. Bovendien winnen cryptografische aanvallen zoals Man-In-The-Middle (MITM) en TLS Downgrade de laatste tijd aan populariteit en zijn ze een gangbare praktijk geworden onder cybercriminelen, die kunnen worden omzeild door TLS-encryptie af te dwingen en de ondersteuning uit te breiden tot veilige protocollen.

Hoe wordt een MITM aanval gelanceerd?

Aangezien versleuteling in het SMTP-protocol moest worden ingebouwd, moet de upgrade voor versleutelde aflevering berusten op een STARTTLS-commando dat in platte tekst wordt verzonden. Een MITM-aanvaller kan gemakkelijk misbruik maken van deze mogelijkheid door een downgrade-aanval uit te voeren op de SMTP-verbinding door te knoeien met het upgrade-commando, waardoor de client gedwongen wordt terug te vallen op verzending van de e-mail in platte tekst.

Na onderschepping van de communicatie kan een MITM-aanvaller gemakkelijk de ontsleutelde informatie stelen en toegang krijgen tot de inhoud van de e-mail. Dit komt doordat SMTP, de industriestandaard voor e-mailoverdracht, gebruik maakt van opportunistische versleuteling, wat inhoudt dat versleuteling optioneel is en e-mails nog steeds onversleuteld kunnen worden afgeleverd.

Hoe wordt een TLS downgrade aanval gelanceerd?

Aangezien versleuteling in het SMTP-protocol moest worden ingebouwd, moet de upgrade voor versleutelde aflevering berusten op een STARTTLS-commando dat in klare tekst wordt verstuurd. Een MITM-aanvaller kan hier misbruik van maken door een downgrade-aanval op de SMTP-verbinding uit te voeren door met het upgrade-commando te knoeien. De aanvaller kan eenvoudigweg de STARTTLS vervangen door een string die de client niet kan identificeren. Daardoor valt de client gemakkelijk terug op het verzenden van de e-mail in platte tekst.

Kortom, een downgrade-aanval wordt vaak uitgevoerd als onderdeel van een MITM-aanval, om een pad te creëren voor het mogelijk maken van een aanval die niet mogelijk zou zijn in het geval van een verbinding die is versleuteld over de laatste versie van het TLS-protocol, door het STARTTLS-commando te vervangen of te verwijderen en de communicatie terug te draaien naar duidelijke tekst.

Afgezien van het verbeteren van de informatiebeveiliging en het afzwakken van alomtegenwoordige bewakingsaanvallen, lost het versleutelen van berichten in transit ook meerdere SMTP-beveiligingsproblemen op.

Afgedwongen TLS-versleuteling van e-mails met MTA-STS

Als u uw e-mails niet over een beveiligde verbinding transporteert, kunnen uw gegevens worden gecompromitteerd of zelfs worden gewijzigd en gemanipuleerd door een cyberaanvaller. Hier komt MTA-STS om de hoek kijken en lost dit probleem op door een veilige doorvoer van uw e-mails mogelijk te maken, cryptografische aanvallen met succes af te zwakken en de informatiebeveiliging te verbeteren door TLS-encryptie af te dwingen. Simpel gezegd dwingt MTA-STS af dat de e-mails via een TLS versleutelde route worden verzonden, en in het geval dat er geen versleutelde verbinding tot stand kan worden gebracht, wordt de e-mail helemaal niet afgeleverd, in plaats van dat deze in onversleutelde tekst wordt afgeleverd. Bovendien slaan MTA's MTA-STS beleidsbestanden op, waardoor het voor aanvallers moeilijker wordt om een DNS spoofing aanval uit te voeren.

 

MTA-STS biedt bescherming tegen :

  • Aanvallen op downgrades
  • Man-In-The-Middle (MITM)-aanvallen
  • Het lost meerdere SMTP beveiligingsproblemen op, waaronder verlopen TLS certificaten en gebrek aan ondersteuning voor veilige protocollen.

Grote aanbieders van e-maildiensten zoals Microsoft, Oath en Google ondersteunen MTA-STS. Google, de grootste speler in de sector, staat in het middelpunt van de belangstelling wanneer een protocol wordt goedgekeurd, en de goedkeuring van MTA-STS door Google wijst op de uitbreiding van de steun voor veilige protocollen en benadrukt het belang van e-mailencryptie in transit.

Problemen oplossen bij het afleveren van e-mail met TLS-RPT

SMTP TLS Rapportage voorziet domeineigenaren van diagnostische rapporten (in JSON bestandsindeling) met uitgebreide details over emails die naar uw domein zijn verzonden en afleveringsproblemen ondervinden, of niet konden worden afgeleverd als gevolg van een downgrade aanval of andere problemen, zodat u het probleem proactief kunt verhelpen. Zodra u TLS-RPT inschakelt, zullen acquiescent Mail Transfer Agents beginnen met het verzenden van diagnostische rapporten betreffende e-mail afleveringsproblemen tussen communicerende servers naar het aangewezen e-maildomein. De rapporten worden gewoonlijk eenmaal per dag verzonden en bevatten het door afzenders waargenomen MTA-STS beleid, verkeersstatistieken en informatie over mislukkingen of problemen bij de aflevering van e-mail.

De noodzaak van de invoering van TLS-RPT :

  • In het geval dat een e-mail niet naar uw ontvanger wordt verzonden als gevolg van een probleem bij de aflevering, krijgt u bericht.
  • TLS-RPT biedt verbeterde zichtbaarheid op al uw e-mailkanalen, zodat u beter inzicht krijgt in alles wat er in uw domein gebeurt, inclusief berichten die niet worden afgeleverd.
  • TLS-RPT biedt diepgaande diagnostische rapporten die u in staat stellen om het probleem met de aflevering van e-mail te identificeren, tot de wortel ervan door te dringen en het onmiddellijk op te lossen.

MTA-STS en TLS-RPT eenvoudig en snel door PowerDMARC

MTA-STS vereist een HTTPS-enabled web server met een geldig certificaat, DNS records, en voortdurend onderhoud. PowerDMARC maakt uw leven een stuk eenvoudiger door dat allemaal voor u te regelen, volledig op de achtergrond - van het genereren van certificaten en MTA-STS beleidsbestand tot beleidshandhaving, helpen wij u de enorme complexiteit te omzeilen die komt kijken bij het adopteren van het protocol. Als wij u eenmaal helpen met het opzetten ervan met slechts een paar klikken, hoeft u er zelfs nooit meer over na te denken.

Met behulp van PowerDMARC's Email Authentication Services, kunt u zonder gedoe en zeer snel Hosted MTA-STS implementeren in uw organisatie, waarmee u kunt afdwingen dat e-mails naar uw domein worden verzonden over een TLS versleutelde verbinding, waardoor uw verbinding veilig wordt en MITM aanvallen op afstand worden gehouden.

PowerDMARC maakt uw leven gemakkelijker door het proces van implementatie van SMTP TLS Rapportage (TLS-RPT) eenvoudig en snel te maken, binnen handbereik! Zodra u zich aanmeldt bij PowerDMARC en SMTP TLS Rapportage voor uw domein inschakelt, nemen wij u de zorg uit handen om de gecompliceerde JSON bestanden met uw email afleveringsrapportages om te zetten in eenvoudige, leesbare documenten (per resultaat en per verzendbron), die u met gemak kunt doornemen en begrijpen! PowerDMARC's platform detecteert automatisch de problemen die u ondervindt bij het afleveren van e-mail en geeft deze vervolgens door, zodat u ze direct kunt aanpakken en oplossen in een mum van tijd!

Meld u aan om uw gratis DMARC vandaag te krijgen!