Een algemeen bekende internetnorm die de beveiliging van verbindingen tussen SMTP-servers (Simple Mail Transfer Protocol) vergemakkelijkt door deze te verbeteren, is de SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS lost bestaande problemen met de beveiliging van SMTP-mail op door TLS-encryptie in transit af te dwingen.
De geschiedenis en het ontstaan van MTA-STS
In 1982 werd SMTP voor het eerst gespecificeerd en het bevatte geen mechanisme om beveiliging te bieden op het transportniveau om de communicatie tussen de mail transfer agents te beveiligen. In 1999 werd echter het STARTTLS-commando aan SMTP toegevoegd, dat op zijn beurt de versleuteling van e-mail tussen de servers ondersteunde, en de mogelijkheid bood om een niet-veilige verbinding om te zetten in een veilige verbinding die met het TLS-protocol was versleuteld.
In dat geval vraag je je vast af of SMTP STARTTLS heeft aangenomen om verbindingen tussen servers te beveiligen, waarom de overstap naar MTA-STS nodig was, en wat het eigenlijk doet? Laten we daar in de volgende secties van deze blog op ingaan!
Wat is MTA-STS? (Mail Transfer Agent Strict Transport Security - Uitleg)
MTA-STS is een beveiligingsstandaard die de veilige verzending van e-mailberichten via een versleutelde SMTP-verbinding garandeert. Het acroniem MTA staat voor Message Transfer Agent, een programma dat e-mailberichten tussen computers transporteert. Het acroniem STS staat voor Strict Transport Security, het protocol dat wordt gebruikt om de standaard te implementeren. Een MTA-STS-aware mail transfer agent (MTA) of secure message transfer agent (SMTA) werkt in overeenstemming met deze specificatie en biedt een beveiligd end-to-end kanaal voor het verzenden van e-mail over onbeveiligde netwerken.
Het MTA-STS-protocol stelt een SMTP-cliënt in staat de identiteit van de server te verifiëren en zich ervan te vergewissen dat hij geen verbinding maakt met een bedrieger door van de server te verlangen dat hij zijn vingerafdruk van het certificaat in de TLS-handshake verstrekt. De client verifieert vervolgens het certificaat aan de hand van een "trust store" die certificaten van bekende servers bevat.
De noodzaak om over te schakelen op MTA-STS
STARTTLS was niet perfect en slaagde er niet in twee grote problemen aan te pakken: het eerste is dat het een optionele maatregel is, waardoor STARTTLS er niet in slaagt man-in-the-middle (MITM)-aanvallen te voorkomen. Dit komt doordat een MITM-aanvaller gemakkelijk een verbinding kan wijzigen en kan voorkomen dat de encryptie-update plaatsvindt. Het tweede probleem is dat, zelfs als STARTTLS is geïmplementeerd, er geen manier is om de identiteit van de verzendende server te verifiëren, aangezien SMTP-mailservers geen certificaten valideren.
Hoewel de meeste uitgaande e-mails tegenwoordig worden beveiligd met TLS-encryptie (Transport Layer Security), een industrienorm die zelfs door e-mail voor consumenten wordt gehanteerd, kunnen aanvallers uw e-mail nog steeds belemmeren en ermee knoeien nog voordat deze wordt versleuteld. Als u e-mailt om uw e-mails over een beveiligde verbinding te transporteren, kunnen uw gegevens worden gecompromitteerd of zelfs worden gewijzigd en gemanipuleerd door een cyberaanvaller. Hier komt MTA-STS om de hoek kijken en lost dit probleem op door een veilige doorvoer van uw e-mails te garanderen en MITM-aanvallen met succes af te zwakken. Bovendien slaan MTA's MTA-STS-beleidsbestanden op, waardoor het voor aanvallers moeilijker wordt om een DNS-spoofingaanval uit te voeren.
MTA-STS biedt bescherming tegen :
- Aanvallen op downgrades
- Man-In-The-Middle (MITM) -aanvallen
- Het lost meerdere SMTP beveiligingsproblemen op, waaronder verlopen TLS certificaten en gebrek aan ondersteuning voor veilige protocollen.
Hoe werkt MTA-STS?
Het MTA-STS protocol wordt toegepast door een DNS record dat specificeert dat een mailserver een beleidsbestand kan ophalen van een specifiek subdomein. Dit beleidsbestand wordt opgehaald via HTTPS en geauthenticeerd met certificaten, samen met de lijst met namen van de mailservers van de ontvanger. De implementatie van MTA-STS is eenvoudiger aan de kant van de ontvanger dan aan de kant van de zender, omdat het door de mailserversoftware moet worden ondersteund. Hoewel sommige mailservers MTA-STS ondersteunen, zoals PostFix, doen ze dat niet allemaal.
Grote aanbieders van e-maildiensten, zoals Microsoft, Oath en Google, ondersteunen MTA-STS. Google's Gmail heeft het MTA-STS-beleid de afgelopen tijd al overgenomen. MTA-STS heeft de nadelen van de beveiliging van e-mailverbindingen weggenomen door het proces van het beveiligen van verbindingen eenvoudig en toegankelijk te maken voor ondersteunde mailservers.
Verbindingen van de gebruikers naar de mailservers worden gewoonlijk beschermd en versleuteld met het TLS-protocol, maar desondanks bestond er vóór de invoering van MTA-STS een gebrek aan veiligheid in de verbindingen tussen de mailservers. Nu het bewustzijn over e-mailbeveiliging de laatste tijd toeneemt en grote mailproviders over de hele wereld dit ondersteunen, wordt verwacht dat de meerderheid van de serververbindingen in de nabije toekomst versleuteld zal zijn. Bovendien zorgt MTA-STS er effectief voor dat cybercriminelen op de netwerken niet in staat zijn e-mailinhoud te lezen.
Eenvoudige en snelle implementatie van gehoste MTA-STS-diensten door PowerDMARC
MTA-STS vereist een HTTPS-enabled web server met een geldig certificaat, DNS records, en constant onderhoud. PowerDMARC's DMARC analyzer tool maakt uw leven een stuk eenvoudiger door dit allemaal voor u af te handelen, volledig op de achtergrond. Zodra wij u helpen het op te zetten, hoeft u er zelfs nooit meer aan te denken.
Met behulp van PowerDMARC, kunt u Hosted MTA-STS implementeren in uw organisatie zonder gedoe en in een zeer snel tempo, met de hulp waarvan u kunt afdwingen dat e-mails worden verzonden naar uw domein over een TLS versleutelde verbinding, waardoor uw verbinding veilig is en MITM-aanvallen op afstand worden gehouden.
- DMARC-beleid overschrijven: Uitgelegd - 14 september 2022
- DKIM Analyzer - 13 september 2022
- Hoe 550 SPF-controle mislukt te verhelpen? [OPGELOST] - 12 september 2022
