encryptie tls

Mail Transfer Agent-Strict Transport Security (MTA-STS)

MTA-STS is, zoals de naam al doet vermoeden, een protocol dat versleuteld transport van berichten tussen twee SMTP mailservers mogelijk maakt. MTA-STS geeft aan verzendservers aan dat e-mails alleen mogen worden verzonden over een TLS versleutelde verbinding en helemaal niet mogen worden afgeleverd als er geen beveiligde verbinding tot stand is gebracht via het STARTTLS commando. Door de beveiliging van e-mails onderweg te verbeteren, helpt MTA-STS bij het beperken van Man-In-The-Middle aanvallen (MITM) zoals SMTP downgrade aanvallen en DNS spoofing aanvallen.

Hoe zorgt MTA-STS ervoor dat berichten onderweg worden versleuteld?

Laten we een eenvoudig voorbeeld nemen om te begrijpen hoe berichten worden versleuteld tijdens de e-mailstroom. Als een MTA een e-mail stuurt naar [email protected]voert de MTA een DNS query uit om uit te vinden naar welke MTA's de e-mail gestuurd moet worden. Het DNS verzoek wordt verstuurd om de MX records van powerdmarc.com op te halen. De verzendende MTA maakt vervolgens verbinding met de ontvangende MTA die gevonden wordt in het DNS-verzoek en vraagt of deze ontvangende server TLS-encryptie ondersteunt. Als dat het geval is, wordt de e-mail over een versleutelde verbinding verzonden, maar als dat niet het geval is, slaagt de verzendende MTA er niet in een beveiligde verbinding tot stand te brengen en wordt de e-mail in platte tekst verzonden.

E-mails versturen via een onversleuteld pad maakt de weg vrij voor alomtegenwoordige controleaanvallen zoals MITM en SMTP downgrade. Laten we eens kijken hoe:

De anatomie van een MITM-aanval ontleden

In wezen vindt een MITM-aanval plaats wanneer een aanvaller het STARTTLS-commando vervangt of verwijdert om de beveiligde verbinding terug te draaien naar een onbeveiligde verbinding, zonder TLS-encryptie. Dit wordt een downgrade aanval genoemd. Na het succesvol uitvoeren van een downgrade-aanval, kan de aanvaller ongehinderd toegang krijgen tot de e-mailinhoud en deze bekijken.

Een MITM-aanvaller kan ook de MX-records in het antwoord op de DNS-query vervangen door een mailserver waartoe hij toegang heeft en waarover hij de controle heeft. De mail transfer agent levert in dat geval de e-mail af op de server van de aanvaller, waardoor hij toegang heeft tot de inhoud van de e-mail en ermee kan knoeien. De e-mail kan vervolgens worden doorgestuurd naar de server van de beoogde ontvanger, zonder dat dit wordt ontdekt. Dit staat bekend als een DNS spoofing aanval.

SMTP downgrade aanval

Encryptie garanderen met MTA-STS

Wanneer je e-mails verstuurt via de SMTP-server van je e-mailproviders zoals Gmail of Microsoft, worden de e-mails van de verzendserver naar de ontvangende server verzonden via het Simple Mail Transfer Protocol (SMTP). SMTP staat echter opportunistische versleuteling toe, wat inhoudt dat de communicatie tussen SMTP-servers al dan niet versleuteld kan zijn om manipulatie of afluisteren van e-mailinhoud te voorkomen. MTA-STS wordt gepubliceerd met HTTPS, wat het beschermt tegen MITM aanvallen.

MTA-STS beveiligt de aflevering van e-mail door: 

  • TLS-codering afdwingen

  • De MX-records serveren vanaf een HTTPS-beveiligde server

gehoste mta sts diensten
gehost MTA STS

Het MTA-STS protocol wordt ingezet door een DNS record dat specificeert dat een mailserver een beleidsbestand kan ophalen van een specifiek subdomein. Dit beleidsbestand wordt opgehaald via HTTPS en geauthenticeerd met certificaten, samen met de lijst met namen van de mailservers van de ontvangers. Het protocol specificeert aan een SMTP server dat de communicatie met de andere SMTP server versleuteld moet zijn en dat de domeinnaam op het certificaat overeen moet komen met het domein van het beleidsbestand. Als MTA-STS is afgedwongen, in het geval dat een versleuteld kanaal niet kan worden onderhandeld, wordt het bericht helemaal niet afgeleverd.

Het MTA-STS beleidsbestand

Het MTA-STS beleidsbestand is in wezen een eenvoudig tekstbestand, dat er als volgt uitziet:

versie: STSv1
modus: afdwingen
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
max_age: 604800

Opmerking: het versieveld moet aan het begin van het tekstbestand staan, terwijl de andere velden in elke willekeurige volgorde kunnen worden opgenomen.

Het beleidsbestand gebruikt een sleutel-waarde koppeling met elke waarde gecodeerd op een aparte regel in het tekstbestand zoals hierboven getoond. Dit bestand kan maximaal 64 KB groot zijn. De naam van het beleidsbestand moet mta-sts.txt. Beleidsbestanden moeten worden bijgewerkt elke keer dat je mailservers toevoegt of wijzigt in je domein.

Opmerking: Als je MTA-STS instelt op de handhavingsmodus, kan het zijn dat sommige e-mails niet worden afgeleverd. Daarom is het aan te raden om de beleidsmodus in plaats daarvan op testen in te stellen en te kiezen voor een lage max_age om er zeker van te zijn dat alles correct werkt voordat je overschakelt naar beleid afdwingen. We raden aan om TLS-RPT ook in te stellen voor je beleid in de testmodus om een melding te krijgen als e-mails in platte tekst worden verzonden. 

MTA-STS-beleid

Het MTA-STS beleidsbestand publiceren

Om het MTA-STS beleidsbestand te publiceren, moet de webserver die het bestand host:

  • Ondersteuning HTTPS/SSL
  • Het servercertificaat moet worden ondertekend en gevalideerd door een externe rootcertificaatautoriteit.

Om een beleidsbestand voor uw domein te publiceren, moet u een openbare webserver instellen met het subdomein "mta-sts" toegevoegd aan uw domein. Het aangemaakte beleidsbestand moet worden gepubliceerd in de .well-known directory die is aangemaakt in het subdomein. De URL voor je geüploade MTA-STS beleidsbestand zou er ongeveer zo uit kunnen zien:

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

gehost MTA STS

MTA-STS DNS-bestand

Een TXT DNS record voor MTA-STS wordt gepubliceerd op de DNS van je domein om aan te geven dat je domein het MTA-STS protocol ondersteunt en om een signaal te geven voor het verversen van de cache waarden in de MTA's wanneer het beleid wordt gewijzigd. Het MTA-STS DNS record wordt geplaatst op het subdomein _mta-sts zoals in: _mta-sts.powerdmarc.com. Het TXT record moet beginnen met v=STSv1, en de "id" waarde kan maximaal 32 alfanumerieke tekens bevatten, die op de volgende manier worden opgenomen:

 v=STSv1; id=30271001S00T000;

Opmerking: De TXT record id waarde moet bijgewerkt worden naar een nieuwe waarde elke keer als je wijzigingen aanbrengt in het beleid. 

Het MTA-STS DNS Record wordt gebruikt om: 

  • Ondersteuning voor MTA-STS opgeven voor het domein
  • Geef de MTA het signaal om het beleid opnieuw op te halen via HTTPS als het beleid wordt gewijzigd

Merk op dat met het MTA-STS TXT DNS record, het beleidsbestand voor een langere periode kan worden opgeslagen door MTA's zonder dat het beleid opnieuw opgehaald hoeft te worden tenzij het gewijzigd is, terwijl er nog steeds een DNS query wordt uitgevoerd elke keer als er een e-mail wordt ontvangen voor het domein.

MTA-STS configureren voor uw domein

Om MTA-STS in te schakelen voor je domein moet je het volgende doen:

  • Voeg een DNS-record van het type cname toe op mta-sts.example.comgericht naar de webserver met HTTPS-functie die het MTA-STS-beleidsbestand host.

  • Voeg een DNS-record van het type txt of cname toe aan _mta-sts.example.com dat ondersteuning voor MTA-STS specificeert voor jouw domein.

  • Stel een webserver met HTTPS-functie in met een geldig certificaat voor je domein.

  • Schakel SMTP TLS-rapportage in voor uw domein om problemen met de e-mailaflevering te detecteren als gevolg van fouten in TLS-codering.

spf record opzoeken pictogram powerdmarc

Uitdagingen bij het handmatig implementeren van MTA-STS

MTA-STS vereist een HTTPS-geschikte webserver met een geldig certificaat, DNS-records en constant onderhoud, wat het implementatieproces lang, tijdrovend en ingewikkeld maakt. Daarom helpen we je bij PowerDMARC om de meeste dingen op de achtergrond te beheren door slechts drie CNAME-records te publiceren in de DNS van je domein.

Gehoste MTA-STS-services van PowerDMARC

PowerDMARC maakt je leven een stuk eenvoudiger door dat allemaal voor je te regelen, volledig op de achtergrond. Als we je eenmaal helpen bij het instellen, hoef je er nooit meer over na te denken.

  • Wij helpen je met een paar klikken je cname-records te publiceren

  • Wij nemen de verantwoordelijkheid voor het onderhoud van de webserver en de hosting van de certificaten op ons

  • Met onze gehoste MTA-STS diensten is de implementatie van jouw kant beperkt tot het publiceren van een paar DNS-records.

  • Je kunt MTA-STS beleidswijzigingen direct en gemakkelijk doorvoeren via het PowerDMARC dashboard, zonder dat je handmatig wijzigingen in de DNS hoeft aan te brengen.

  • De gehoste MTA-STS-services van PowerDMARC voldoen aan RFC en ondersteunen de nieuwste TLS-standaarden.

  • Van het genereren van certificaten en het MTA-STS beleidsbestand tot het afdwingen van het beleid, wij helpen je de enorme complexiteit te omzeilen die komt kijken bij het invoeren van het protocol.

SMTP TLS-rapportage (TLS-RPT)

Om de verbinding tussen twee communicerende SMTP-servers veiliger te maken en te versleutelen over TLS, werd MTA-STS geïntroduceerd om versleuteling af te dwingen en te voorkomen dat e-mails in platte tekst worden afgeleverd, in het geval dat een van de servers TLS niet ondersteunt. Eén probleem is echter nog niet opgelost, namelijk: Hoe kunnen domeineigenaren op de hoogte worden gesteld als externe servers problemen ondervinden bij het afleveren van e-mail door een storing in de TLS-versleuteling? Hier komt TLS-RPT om de hoek kijken, door diagnostische rapporten te leveren waarmee problemen in servercommunicatie kunnen worden gecontroleerd en opgelost, zoals verlopen TLS-certificaten, verkeerde configuraties in e-mailservers of mislukte onderhandelingen over een veilige verbinding door gebrek aan ondersteuning voor TLS-encryptie.

TLS-rapporten helpen bij het detecteren van en reageren op problemen bij e-mailaflevering via een rapportagemechanisme in de vorm van JSON-bestanden. Deze JSON-bestanden kunnen ingewikkeld en onleesbaar zijn voor een niet-technisch persoon.

PowerDMARC helpt om de JSON-bestanden te vereenvoudigen in de vorm van eenvoudige, uitgebreide en leesbare documenten met grafieken en tabellen. De diagnostische rapporten voor je domein worden ook in twee formaten weergegeven op het PowerDMARC dashboard: per resultaat en per verzendbron.

powerdmarc tls rpt
json-diagrammen

TLS-RPT inschakelen voor uw domein

Het proces om SMTP TLS Reporting in te schakelen is vrij eenvoudig. Het enige wat u hoeft te doen om het in te schakelen is een TXT DNS-record toevoegen op de juiste locatie, met als prefix _smtp._tls. aan uw domeinnaam. Met PowerDMARC kan dit echter direct worden ingesteld vanuit de PowerDMARC UI zonder dat u wijzigingen hoeft aan te brengen in uw DNS!

Zodra je TLS-RPT inschakelt, beginnen overnemende Mail Transfer Agents diagnostische rapporten te sturen over problemen met e-mailaflevering tussen communicerende servers naar het aangewezen e-maildomein. De rapporten worden normaal gesproken één keer per dag verstuurd en bevatten het MTA-STS beleid dat door afzenders is waargenomen, verkeersstatistieken en informatie over mislukte of problematische e-mailafleveringen.

Veelgestelde vragen

Met het controlepaneel van PowerDMARC kunt u MTA-STS en TLS-RPT automatisch instellen voor uw domein door slechts drie CNAME-records te publiceren in de DNS van uw domein. Van het hosten van MTAS-STS beleidsbestanden en certificaten tot het onderhouden van de webserver, wij regelen het allemaal op de achtergrond zonder dat u wijzigingen hoeft aan te brengen in uw DNS. De implementatie van MTA-STS van jouw kant met PowerDMARC is gereduceerd tot slechts een paar klikken.

Je kunt MTA-STS implementeren en beheren voor al je domeinen vanuit je PowerDMARC account, via één enkel venster. In het geval dat een van deze domeinen gebruik maakt van ontvangende mailservers die STARTTLS niet ondersteunen, zal dit worden weergegeven in uw TLS-rapporten, op voorwaarde dat u TLS-RPT hebt ingeschakeld voor deze domeinen.

Het is altijd aan te raden om je MTA-STS beleidsmodus in te stellen op testen in te stellen tijdens de eerste fasen van de implementatie, zodat u activiteiten kunt controleren en inzicht kunt krijgen in uw e-mailecosysteem voordat u overschakelt naar een agressiever beleid zoals afdwingen. Op deze manier worden e-mails, zelfs als ze niet over een versleutelde TLS-verbinding worden verzonden, toch in platte tekst verzonden. Zorg er wel voor dat u TLS-RPT inschakelt om een melding te krijgen als dat gebeurt.

TLS-RPT is een uitgebreid rapportagemechanisme waarmee u een melding kunt krijgen als er geen beveiligde verbinding tot stand kon worden gebracht en de e-mail niet bij u kon worden afgeleverd. Dit helpt u bij het detecteren van problemen bij het afleveren van e-mail of e-mail die is afgeleverd via een onbeveiligde verbinding, zodat u deze direct kunt beperken en oplossen.

Je moet er rekening mee houden dat MTA-STS er weliswaar voor zorgt dat e-mails via een versleutelde TLS-verbinding worden verzonden, maar dat als er niet over een beveiligde verbinding wordt onderhandeld, de e-mail mogelijk helemaal niet wordt afgeleverd. Dit is echter noodzakelijk omdat het ervoor zorgt dat e-mail niet wordt afgeleverd via een onversleuteld pad. Om dit soort problemen te voorkomen, is het aan te raden om een MTA-STS beleid in een testmodus in te stellen en TLS-RPT in eerste instantie in te schakelen voor je domein, voordat je overgaat op de MTA-STS afdwingmodus. 

Je kunt je MTA-STS modus eenvoudig wijzigen vanuit het PowerMTA-STS dashboard door de gewenste beleidsmodus te selecteren en de wijzigingen op te slaan zonder dat je iets aan je DNS hoeft te veranderen.

Je kunt MTA-STS uitschakelen voor je domein door de beleidsmodus op none te zetten, waardoor MTA's weten dat je domein het protocol niet ondersteunt, of door je MTA-STS DNS TXT record te verwijderen. 

De MX records voor het MTA-STS beleidsbestand moeten de regels bevatten voor alle ontvangende mailservers die door je domein worden gebruikt.

Plan vandaag nog een demo
beveiligde e-mail powerdmarc