Belangrijke waarschuwing: Google en Yahoo stellen DMARC verplicht vanaf februari 2024.
encryptie tls

Mail Transfer Agent-Strict Transport Security (MTA-STS)

MTA-STS is, zoals de naam al doet vermoeden, een protocol dat versleuteld transport van berichten tussen twee SMTP mailservers mogelijk maakt. MTA-STS specificeert aan verzendende servers dat emails alleen over een TLS versleutelde verbinding mogen worden verzonden, en helemaal niet mogen worden afgeleverd als er geen beveiligde verbinding tot stand wordt gebracht via het STARTTLS commando. Door de beveiliging van e-mails onderweg te verbeteren, helpt MTA-STS bij het beperken van Man-In-The-Middle aanvallen (MITM) zoals SMTP downgrade aanvallen, en DNS spoofing aanvallen.

Hoe zorgt MTA-STS voor de encryptie van berichten tijdens het transport?

Laten we een eenvoudig voorbeeld nemen om te begrijpen hoe berichten worden versleuteld tijdens e-mailverkeer. Als een MTA een e-mail stuurt naar [email protected], voert de MTA een DNS query uit om uit te vinden naar welke MTA's de email moet worden gestuurd. Het DNS verzoek wordt verzonden om de MX records van powerdmarc.com op te halen. De verzendende MTA maakt vervolgens verbinding met de ontvangende MTA die in het resultaat van de DNS-query wordt gevonden, en vraagt of deze ontvangende server TLS-encryptie ondersteunt. Als dat het geval is, wordt de e-mail over een versleutelde verbinding verzonden; als dat niet het geval is, slaagt de verzendende MTA er niet in een beveiligde verbinding tot stand te brengen en wordt de e-mail in platte tekst verzonden.

Het versturen van e-mails over een onversleutelde weg maakt de weg vrij voor alomtegenwoordige bewakingsaanvallen zoals MITM en SMTP downgrade. Laten we eens kijken hoe:

De anatomie van een MITM aanval ontleden

In wezen vindt een MITM-aanval plaats wanneer een aanvaller het STARTTLS-commando vervangt of verwijdert om de beveiligde verbinding terug te laten rollen naar een onbeveiligde verbinding, zonder TLS-encryptie. Dit wordt een downgrade-aanval genoemd. Na het succesvol uitvoeren van een downgrade-aanval kan de aanvaller ongehinderd toegang krijgen tot de e-mailinhoud en deze bekijken.

Een MITM-aanvaller kan ook de MX-records in de DNS-query vervangen door een mailserver waartoe hij toegang heeft en die hij controleert. De mailtransferagent levert in dat geval de e-mail af op de server van de aanvaller, zodat deze toegang heeft tot de inhoud van de e-mail en daarmee kan knoeien. De e-mail kan vervolgens worden doorgestuurd naar de server van de beoogde ontvanger, zonder te worden ontdekt. Dit staat bekend als een DNS-spoofingaanval.

SMTP downgrade aanval

Zorgen voor encryptie met MTA-STS

Wanneer u e-mails verstuurt via de SMTP-server van uw e-mailproviders zoals Gmail of Microsoft, worden de e-mails van de verzendende naar de ontvangende server verzonden via Simple Mail Transfer Protocol (SMTP). SMTP staat echter opportunistische versleuteling toe, hetgeen betekent dat de communicatie tussen SMTP-servers al dan niet kan worden versleuteld om manipulatie of het afluisteren van de e-mailinhoud te voorkomen. MTA-STS wordt gepubliceerd met gebruikmaking van HTTPS, waardoor het wordt beschermd tegen MITM-aanvallen.

MTA-STS beveiligt de aflevering van e-mail door: 

  • Afdwingen van TLS-versleuteling

  • Dienen van de MX records van een HTTPS-beveiligde server

gehoste mta sts diensten
gehost MTA STS

Het MTA-STS protocol wordt toegepast door een DNS record dat specificeert dat een mailserver een beleidsbestand kan ophalen van een specifiek subdomein. Dit beleidsbestand wordt opgehaald via HTTPS en geauthenticeerd met certificaten, samen met de lijst met namen van de mailservers van de ontvangers. Het protocol specificeert aan een SMTP-server dat de communicatie met de andere SMTP-server versleuteld moet zijn en dat de domeinnaam op het certificaat moet overeenkomen met het domein van het beleidsbestand. Als MTA-STS wordt afgedwongen, wordt het bericht helemaal niet afgeleverd als er niet over een versleuteld kanaal kan worden onderhandeld.

Het MTA-STS Beleid Bestand

Het MTA-STS beleidsbestand is in wezen een eenvoudig tekstbestand, dat er als volgt uitziet:

versie: STSv1
modus: afdwingen
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
max_age: 604800

Opmerking: Het versieveld moet aan het begin van het tekstbestand worden opgenomen, terwijl de andere velden in willekeurige volgorde kunnen worden opgenomen.

Het beleidsbestand maakt gebruik van key-value pairing waarbij elke waarde op een aparte regel in het tekstbestand wordt gecodeerd zoals hierboven getoond. De grootte van dit bestand kan oplopen tot 64 KB. De naam van het beleidsbestand moet zijn mta-sts.txt. Beleidsbestanden moeten worden bijgewerkt telkens als u mailservers in uw domein toevoegt of wijzigt.

Opmerking: Het instellen van MTA-STS op enforce mode kan ertoe leiden dat sommige emails niet bij u worden afgeleverd. Daarom is het raadzaam om de beleidsmodus in te stellen op testen en te kiezen voor een lage max_age om er zeker van te zijn dat alles correct werkt voordat u overschakelt naar het enforce beleid. Wij raden aan om TLS-RPT ook in te stellen voor uw beleid in testmodus om een melding te krijgen in het geval e-mails in platte tekst worden verzonden. 

MTA-STS-beleid

Publiceren van het MTA-STS beleidsbestand

Om het MTA-STS beleidsbestand te publiceren, moet de webserver die uw bestand host:

  • Ondersteuning HTTPS/SSL
  • Het servercertificaat moet worden ondertekend en gevalideerd door een root-certificaatautoriteit van een derde partij.

Om een beleidsbestand voor uw domein te publiceren, moet u een openbare webserver opzetten met het subdomein "mta-sts" toegevoegd aan uw domein. Het aangemaakte beleidsbestand moet worden gepubliceerd in de .well-known directory die in het subdomein is aangemaakt. De URL voor uw geüploade MTA-STS beleidsbestand zou er ongeveer zo uit kunnen zien:

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

gehost MTA STS

MTA-STS DNS-verslag

Een TXT DNS record voor MTA-STS wordt gepubliceerd op de DNS van uw domein om aan te geven dat uw domein het MTA-STS protocol ondersteunt en om een signaal te geven voor het verversen van de gecachete waarden in de MTA's in het geval het beleid wordt gewijzigd. Het MTA-STS DNS record wordt geplaatst op subdomein _mta-sts zoals in: _mta-sts.powerdmarc.com. Het TXT record moet beginnen met v=STSv1, en de "id" waarde kan maximaal 32 alfanumerieke tekens bevatten, op de volgende manier opgenomen:

 v=STSv1; id=30271001S00T000;

Opmerking: De TXT record id waarde moet worden bijgewerkt tot een nieuwe waarde telkens wanneer u wijzigingen aanbrengt in het beleid. 

Het MTA-STS DNS Record wordt gebruikt om: 

  • Specificeer ondersteuning voor MTA-STS voor het domein
  • Geef een signaal aan de MTA om het beleid opnieuw op te halen via HTTPS in het geval het beleid wordt gewijzigd

Merk op dat met het MTA-STS TXT DNS record, het beleidsbestand door MTA's voor een langere periode kan worden opgeslagen zonder dat het beleid opnieuw moet worden opgehaald tenzij het gewijzigd is, terwijl er nog steeds een DNS query wordt uitgevoerd telkens als er een e-mail voor het domein wordt ontvangen.

MTA-STS configureren voor uw domein

Om MTA-STS voor uw domein in te schakelen zou u het volgende moeten doen:

  • Voeg een DNS-record van het type cname toe op mta-sts.voorbeeld.com, gericht naar de HTTPS-geschikte webserver die het MTA-STS beleidsbestand host.

  • Voeg een DNS-record van het type txt of cname toe op _mta-sts.example.com dat ondersteuning voor MTA-STS voor uw domein specificeert.

  • Stel een HTTPS-geschikte webserver in met een geldig certificaat voor uw domein.

  • Schakel SMTP TLS-rapportage in voor uw domein om problemen bij de aflevering van e-mail op te sporen die te wijten zijn aan fouten in de TLS-versleuteling.

spf record opzoek icoon powerdmarc

Uitdagingen bij het manueel implementeren van MTA-STS

MTA-STS vereist een HTTPS-enabled web server met een geldig certificaat, DNS records, en constant onderhoud, wat het implementatieproces lang, tijdrovend en ingewikkeld maakt. Dit is waarom wij bij PowerDMARC u helpen de meeste dingen op de achtergrond te beheren door slechts drie CNAME records in de DNS van uw domein te publiceren.

PowerDMARC's gehoste MTA-STS diensten

PowerDMARC maakt uw leven een stuk gemakkelijker door dat allemaal voor u te regelen, volledig op de achtergrond. Zodra wij u helpen het op te zetten, hoeft u er zelfs nooit meer aan te denken.

  • Wij helpen u uw cname records te publiceren met slechts een paar klikken

  • Wij nemen de verantwoordelijkheid voor het onderhoud van de webserver en de hosting van de certificaten

  • Met onze gehoste MTA-STS-diensten is de implementatie van uw kant beperkt tot het publiceren van een paar DNS-records

  • U kunt wijzigingen in het MTA-STS-beleid onmiddellijk en gemakkelijk aanbrengen via het PowerDMARC-dashboard, zonder dat u handmatig wijzigingen in de DNS hoeft aan te brengen.

  • PowerDMARC's gehoste MTA-STS diensten zijn RFC compliant en ondersteunen de laatste TLS standaarden

  • Van het genereren van certificaten en MTA-STS beleidsbestand tot beleidshandhaving, helpen wij u de enorme complexiteit te omzeilen die komt kijken bij het invoeren van het protocol

SMTP TLS-verslaglegging (TLS-RPT)

Om de verbinding tussen twee communicerende SMTP-servers veiliger te maken en te versleutelen over TLS, werd MTA-STS ingevoerd om versleuteling af te dwingen en te voorkomen dat emails in klare tekst worden afgeleverd, in het geval dat één van de servers TLS niet ondersteunt. Eén probleem is echter nog steeds niet opgelost, namelijk: Hoe kunnen domeineigenaren op de hoogte worden gebracht als externe servers problemen ondervinden bij het afleveren van e-mail als gevolg van het falen van TLS-encryptie? Hier komt TLS-RPT in het spel, die diagnostische rapporten levert om het monitoren en troubleshooten van problemen in server communicatie mogelijk te maken, zoals verlopen TLS certificaten, misconfiguraties in email servers, of falen in het onderhandelen van een veilige verbinding door gebrek aan ondersteuning voor TLS encryptie.

TLS-rapporten helpen bij het opsporen van en reageren op problemen bij de aflevering van e-mail door middel van een rapportagemechanisme in de vorm van JSON-bestanden. Deze JSON-bestanden kunnen ingewikkeld en onleesbaar zijn voor een niet-technisch persoon.

PowerDMARC helpt om de JSON bestanden te vereenvoudigen in de vorm van eenvoudige. uitgebreide en leesbare documenten met grafieken en tabellen voor uw gemak. De diagnostische rapporten voor uw domein worden ook in twee formaten weergegeven op het PowerDMARC dashboard: per resultaat en per versturende bron.

powerdmarc tls rpt
json grafieken

TLS-RPT inschakelen voor uw domein

Het proces om SMTP TLS rapportering in te schakelen is vrij eenvoudig. Alles wat u moet doen om het in te schakelen is een TXT DNS record toevoegen op de juiste plaats, met als voorvoegsel _smtp._tls. aan uw domeinnaam. Met PowerDMARC kan dit echter direct vanuit de PowerDMARC UI worden ingesteld zonder dat u wijzigingen in uw DNS hoeft aan te brengen!

Zodra je TLS-RPT inschakelt, beginnen de MTA's met het verzenden van diagnostische rapporten over problemen bij het afleveren van e-mail tussen communicerende servers naar het aangewezen e-maildomein. De rapporten worden gewoonlijk eenmaal per dag verzonden en bevatten het door afzenders waargenomen MTA-STS beleid, verkeersstatistieken en informatie over mislukkingen of problemen bij de aflevering van e-mail.

Vaak gestelde vragen

Met PowerDMARC's control panel kunt u automatisch MTA-STS en TLS-RPT voor uw domein instellen door slechts drie CNAME records in de DNS van uw domein te publiceren. Van het hosten van MTAS-STS beleidsbestanden en certificaten tot het onderhouden van de webserver, wij zorgen voor dit alles op de achtergrond zonder dat u wijzigingen in uw DNS hoeft aan te brengen. De implementatie van MTA-STS van uw kant met PowerDMARC wordt gereduceerd tot slechts een paar klikken.

U kunt MTA-STS voor al uw domeinen implementeren en beheren vanuit uw PowerDMARC account, door middel van een enkel venster. In het geval dat een van deze domeinen ontvangende mail servers gebruikt die geen STARTTLS ondersteunen, zal dit in uw TLS rapporten verschijnen, mits u TLS-RPT voor deze domeinen heeft ingeschakeld.

Het is altijd raadzaam om uw MTA-STS beleidsmodus in te stellen op testen te zetten tijdens de eerste fasen van de implementatie, zodat u activiteiten kunt monitoren en inzicht kunt krijgen in uw e-mail ecosysteem voordat u overschakelt op een agressiever beleid zoals afdwingen. Op deze manier zouden e-mails, zelfs als ze niet over een TLS versleutelde verbinding worden verzonden, toch in platte tekst worden verzonden. Zorg er echter voor dat u TLS-RPT inschakelt om een melding te krijgen als dat gebeurt.

TLS-RPT is een uitgebreid rapporteringsmechanisme dat u verwittigt indien een beveiligde verbinding niet tot stand kon worden gebracht en de e-mail niet bij u kon worden afgeleverd. Dit helpt u bij het opsporen van problemen bij de aflevering van e-mail of e-mail die over een onbeveiligde verbinding is afgeleverd, zodat u deze onmiddellijk kunt beperken en oplossen.

Merk op dat hoewel MTA-STS ervoor zorgt dat emails over een TLS versleutelde verbinding worden verzonden, in het geval dat er niet over een beveiligde verbinding wordt onderhandeld, het kan gebeuren dat de email helemaal niet wordt afgeleverd. Dit is echter noodzakelijk omdat het ervoor zorgt dat e-mail niet via een onversleutelde weg wordt afgeleverd. Om dergelijke problemen te voorkomen, is het raadzaam om een MTA-STS beleid op te zetten in een testmodus en TLS-RPT in eerste instantie in te schakelen voor uw domein, alvorens over te gaan op de MTA-STS enforce modus. 

U kunt uw MTA-STS-modus gemakkelijk wijzigen vanaf het PowerMTA-STS-dashboard door de gewenste beleidsmodus te selecteren en de wijzigingen op te slaan zonder dat u uw DNS hoeft te wijzigen.

U kunt MTA-STS voor uw domein uitschakelen door ofwel de beleidsmodus op none te zetten, waardoor aan MTA's wordt gespecificeerd dat uw domein het protocol niet ondersteunt, of door uw MTA-STS DNS TXT record te verwijderen. 

De MX records voor het MTA-STS beleidbestand dienen de gegevens te bevatten voor alle ontvangende mail servers die door uw domein worden gebruikt.

Plan vandaag nog een demo
beveiligde e-mail powerdmarc