Belangrijke waarschuwing: Google en Yahoo stellen DMARC verplicht vanaf april 2024.
Lees meer

MTA-STS en TLS-RPT implementatiegids

Welkom bij een gedetailleerd handboek over MTA-STS en TLS-RPT om praktische kennis op te doen over de protocollen en hun functionaliteiten.

Contacteer ons Boek een demo

Inhoudsopgave

  1. Wat is Mail Transfer Agent-Strict Transport Security (MTA-STS)?
  2. Hoe zorgt MTA-STS voor de encryptie van berichten tijdens het transport?
  3. Het ontleden van de anatomie van een MITM aanval
  4. Hoe zorgt MTA-STS voor TLS-encryptie?
  5. Wat is het MTA-STS-beleidsbestand?
  6. Hoe publiceer ik het MTA-STS beleidsbestand?
  7. Wat is MTA-STS DNS Record?
  8. Hoe MTA-STS te implementeren?
  9. Wat zijn de cuitdagingen bij het handmatig implementeren van MTA-STS?
  10. PowerDMARC's gehoste MTA-STS diensten
  11. Wat is SMTP TLS Rapportage (TLS-RPT)?
  12. Hoe schakel ik TLS-RPT in voor uw domein?
  13. Vaak gestelde vragen
encryptie tls

Mail Transfer Agent-Strict Transport Security (MTA-STS)

MTA-STS is, zoals de naam al doet vermoeden, een protocol dat versleuteld transport van berichten tussen twee SMTP mailservers mogelijk maakt. MTA-STS specificeert aan verzendende servers dat emails alleen over een TLS versleutelde verbinding mogen worden verzonden, en helemaal niet mogen worden afgeleverd als er geen beveiligde verbinding tot stand wordt gebracht via het STARTTLS commando. Door de beveiliging van e-mails onderweg te verbeteren, helpt MTA-STS bij het beperken van Man-In-The-Middle aanvallen (MITM) zoals SMTP downgrade aanvallen, en DNS spoofing aanvallen.

Lees meer

Hoe zorgt MTA-STS voor de encryptie van berichten tijdens het transport?

Laten we een eenvoudig voorbeeld nemen om te begrijpen hoe berichten worden versleuteld tijdens e-mailverkeer. Als een MTA een e-mail stuurt naar [email protected], voert de MTA een DNS query uit om uit te vinden naar welke MTA's de email moet worden gestuurd. Het DNS verzoek wordt verzonden om de MX records van powerdmarc.com op te halen. De verzendende MTA maakt vervolgens verbinding met de ontvangende MTA die in het resultaat van de DNS-query wordt gevonden, en vraagt of deze ontvangende server TLS-encryptie ondersteunt. Als dat het geval is, wordt de e-mail over een versleutelde verbinding verzonden; als dat niet het geval is, slaagt de verzendende MTA er niet in een beveiligde verbinding tot stand te brengen en wordt de e-mail in platte tekst verzonden.

Het versturen van e-mails over een onversleutelde weg maakt de weg vrij voor alomtegenwoordige bewakingsaanvallen zoals MITM en SMTP downgrade. Laten we eens kijken hoe:

De anatomie van een MITM aanval ontleden

In wezen vindt een MITM-aanval plaats wanneer een aanvaller het STARTTLS-commando vervangt of verwijdert om de beveiligde verbinding terug te laten rollen naar een onbeveiligde verbinding, zonder TLS-encryptie. Dit wordt een downgrade-aanval genoemd. Na het succesvol uitvoeren van een downgrade-aanval kan de aanvaller ongehinderd toegang krijgen tot de e-mailinhoud en deze bekijken.

Een MITM-aanvaller kan ook de MX-records in de DNS-query vervangen door een mailserver waartoe hij toegang heeft en die hij controleert. De mailtransferagent levert in dat geval de e-mail af op de server van de aanvaller, zodat deze toegang heeft tot de inhoud van de e-mail en daarmee kan knoeien. De e-mail kan vervolgens worden doorgestuurd naar de server van de beoogde ontvanger, zonder te worden ontdekt. Dit staat bekend als een DNS-spoofingaanval.

Vaak gestelde vragen

Met PowerDMARC's control panel kunt u automatisch MTA-STS en TLS-RPT voor uw domein instellen door slechts drie CNAME records in de DNS van uw domein te publiceren. Van het hosten van MTAS-STS beleidsbestanden en certificaten tot het onderhouden van de webserver, wij zorgen voor dit alles op de achtergrond zonder dat u wijzigingen in uw DNS hoeft aan te brengen. De implementatie van MTA-STS van uw kant met PowerDMARC wordt gereduceerd tot slechts een paar klikken.

U kunt MTA-STS voor al uw domeinen implementeren en beheren vanuit uw PowerDMARC account, door middel van een enkel venster. In het geval dat een van deze domeinen ontvangende mail servers gebruikt die geen STARTTLS ondersteunen, zal dit in uw TLS rapporten verschijnen, mits u TLS-RPT voor deze domeinen heeft ingeschakeld.

Het is altijd raadzaam om uw MTA-STS beleidsmodus in te stellen op testen te zetten tijdens de eerste fasen van de implementatie, zodat u activiteiten kunt monitoren en inzicht kunt krijgen in uw e-mail ecosysteem voordat u overschakelt op een agressiever beleid zoals afdwingen. Op deze manier zouden e-mails, zelfs als ze niet over een TLS versleutelde verbinding worden verzonden, toch in platte tekst worden verzonden. Zorg er echter voor dat u TLS-RPT inschakelt om een melding te krijgen als dat gebeurt.

TLS-RPT is een uitgebreid rapporteringsmechanisme dat u verwittigt indien een beveiligde verbinding niet tot stand kon worden gebracht en de e-mail niet bij u kon worden afgeleverd. Dit helpt u bij het opsporen van problemen bij de aflevering van e-mail of e-mail die over een onbeveiligde verbinding is afgeleverd, zodat u deze onmiddellijk kunt beperken en oplossen.

Merk op dat hoewel MTA-STS ervoor zorgt dat emails over een TLS versleutelde verbinding worden verzonden, in het geval dat er niet over een beveiligde verbinding wordt onderhandeld, het kan gebeuren dat de email helemaal niet wordt afgeleverd. Dit is echter noodzakelijk omdat het ervoor zorgt dat e-mail niet via een onversleutelde weg wordt afgeleverd. Om dergelijke problemen te voorkomen, is het raadzaam om een MTA-STS beleid op te zetten in een testmodus en TLS-RPT in eerste instantie in te schakelen voor uw domein, alvorens over te gaan op de MTA-STS enforce modus. 

U kunt uw MTA-STS-modus gemakkelijk wijzigen vanaf het PowerMTA-STS-dashboard door de gewenste beleidsmodus te selecteren en de wijzigingen op te slaan zonder dat u uw DNS hoeft te wijzigen.

U kunt MTA-STS voor uw domein uitschakelen door ofwel de beleidsmodus op none te zetten, waardoor aan MTA's wordt gespecificeerd dat uw domein het protocol niet ondersteunt, of door uw MTA-STS DNS TXT record te verwijderen. 

De MX records voor het MTA-STS beleidbestand dienen de gegevens te bevatten voor alle ontvangende mail servers die door uw domein worden gebruikt.