Wat is MTA-STS? Het juiste MTA-STS-beleid instellen

Blog

MTA-STS is een beveiligingsstandaard die de veilige verzending van e-mails via een versleutelde SMTP-verbinding garandeert.

door Maitham Al Lawati

Leestijd: 8 min
Wat is MTA-STS? Het juiste MTA-STS-beleid instellen
Inhoudsopgave-

Een alom bekende internetstandaard waarmee de beveiliging van verbindingen tussen SMTP-servers (Simple Mail Transfer Protocol) kan worden verbeterd, is SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS lost bestaande problemen in SMTP op e-mailbeveiliging door het afdwingen van TLS encryptie in transit.

Belangrijkste conclusies

  1. SMTP was aanvankelijk onveilig, maar kreeg versleutelingsmogelijkheden door STARTTLS, maar bleef kwetsbaar voor verschillende aanvallen.
  2. MTA-STS verbetert de beveiliging van e-mail door TLS-encryptie af te dwingen tijdens de doorvoer voor veilige communicatie tussen mailservers.
  3. De implementatie van MTA-STS bestaat uit een beleidsbestand en DNS-records om veilige e-mailverzending te regelen.
  4. MTA-STS werkt in drie modi - Geen, Testen en Afdwingen - die de mate van afdwingen van encryptie bepalen.
  5. TLS-RPT werkt samen met MTA-STS om problemen met e-mailcodering te controleren en de algehele bezorgbaarheid van e-mail te verbeteren.

De geschiedenis en het ontstaan van MTA-STS 

In 1982 werd SMTP voor het eerst gespecificeerd en het bevatte geen mechanisme om beveiliging te bieden op het transportniveau om de communicatie tussen de mail transfer agents te beveiligen. In 1999 werd echter het STARTTLS-commando aan SMTP toegevoegd, dat op zijn beurt de versleuteling van e-mail tussen de servers ondersteunde, en de mogelijkheid bood om een niet-veilige verbinding om te zetten in een veilige verbinding die met het TLS-protocol was versleuteld.

In dat geval vraag je je vast af of SMTP STARTTLS gebruikt om verbindingen tussen servers te beveiligen, waarom de overstap naar MTA-STS nodig was en wat het zelfs deed. Laten we daar dieper op ingaan in de volgende secties van deze blog!

Beveiliging vereenvoudigen met PowerDMARC!

15 dagen op proefBoek een demo

Wat is MTA-STS? (Mail Transfer Agent Strict Transport Security - Uitleg)

MTA-STS staat voor Mail Transfer Agent - Strict Transport Security. Het is een beveiligingsstandaard die de veilige verzending van e-mails via een versleutelde SMTP-verbinding garandeert. De afkorting MTA staat voor Message Transfer Agent, een programma dat e-mailberichten overdraagt tussen computers. Het acroniem STS staat voor Strict Transport Security, het protocol dat wordt gebruikt om de standaard te implementeren. Een MTA-STS-bewuste mail transfer agent (MTA) of secure message transfer agent (SMTA) werkt in overeenstemming met deze specificatie en biedt een veilig end-to-end kanaal voor het verzenden van e-mail over onbeveiligde netwerken.

Het MTA-STS-protocol stelt een SMTP-cliënt in staat de identiteit van de server te verifiëren en zich ervan te vergewissen dat hij geen verbinding maakt met een bedrieger door van de server te verlangen dat hij zijn vingerafdruk van het certificaat in de TLS-handshake verstrekt. De client verifieert vervolgens het certificaat aan de hand van een "trust store" die certificaten van bekende servers bevat.

Introductie van MTA-STS e-mailbeveiliging 

MTA-STS werd geïntroduceerd om het gat in de beveiliging tijdens SMTP-communicatie te dichten. Als beveiligingsstandaard zorgt MTA-STS voor de veilige verzending van e-mails via een versleutelde SMTP-verbinding.

De afkorting MTA staat voor Message Transfer Agent, een programma dat e-mailberichten tussen computers uitwisselt. Het acroniem STS staat voor Strict Transport Security, het protocol dat wordt gebruikt om de standaard te implementeren. Een MTA-STS-bewuste mail transfer agent (MTA) of secure message transfer agent (SMTA) werkt in overeenstemming met deze specificatie en biedt een veilig end-to-end kanaal voor het verzenden van e-mail over onbeveiligde netwerken.

Het MTA-STS-protocol stelt een SMTP-cliënt in staat de identiteit van de server te verifiëren en zich ervan te vergewissen dat hij geen verbinding maakt met een bedrieger door van de server te verlangen dat hij zijn vingerafdruk van het certificaat in de TLS-handshake verstrekt. De client verifieert vervolgens het certificaat aan de hand van een "trust store" die certificaten van bekende servers bevat.

De noodzaak om over te schakelen op gedwongen TLS-codering

STARTTLS was niet perfect en slaagde er niet in om twee grote problemen aan te pakken: het eerste probleem is dat het een optionele maatregel is, waardoor STARTTLS er niet in slaagt om man-in-the-middle (MITM) aanvallen te voorkomen. Dit komt omdat een MITM-aanvaller gemakkelijk een verbinding kan wijzigen en kan voorkomen dat de versleutelingsupdate plaatsvindt. Het tweede probleem is dat zelfs als STARTTLS is geïmplementeerd, er geen manier is om de identiteit van de verzendende server te verifiëren zoals SMTP mailservers certificaten niet valideren.

Hoewel de meeste uitgaande e-mails tegenwoordig beveiligd zijn met Transport Layer Security (TLS) encryptie, een industriestandaard die zelfs door consumentenmail wordt gebruikt, kunnen aanvallers nog steeds je e-mail belemmeren en ermee knoeien nog voordat deze is versleuteld. Als je e-mails via een beveiligde verbinding verstuurt, kunnen je gegevens in gevaar komen of zelfs worden gewijzigd en gemanipuleerd door een cyberaanvaller.

Hier komt MTA-STS om de hoek kijken en lost dit probleem op, waardoor een veilige doorvoer van je e-mails wordt gegarandeerd en MITM-aanvallen met succes worden beperkt. Bovendien slaan MTA's MTA-STS beleidsbestanden op, waardoor het voor aanvallers moeilijker wordt om een DNS-spoofing aanval.

MTA-STS instellen met PowerDMARC!

15 dagen op proefBoek een demo

Hoe werkt MTA-STS?

Het MTA-STS protocol wordt ingezet door een DNS record dat specificeert dat een mailserver een beleidsbestand kan ophalen van een specifiek subdomein. Dit beleidsbestand wordt opgehaald via HTTPS en geverifieerd met certificaten, samen met de lijst met namen van de mailservers van de ontvanger. Het implementeren van MTA-STS is eenvoudiger aan de kant van de ontvanger dan aan de kant van de verzending, omdat het ondersteund moet worden door de mailserver software. Sommige mailservers ondersteunen MTA-STS, zoals PostFixniet allemaal.

gehost MTA STS

Grote aanbieders van e-maildiensten, zoals Microsoft, Oath en Google, ondersteunen MTA-STS. Google's Gmail heeft het MTA-STS-beleid de afgelopen tijd al overgenomen. MTA-STS heeft de nadelen van de beveiliging van e-mailverbindingen weggenomen door het proces van het beveiligen van verbindingen eenvoudig en toegankelijk te maken voor ondersteunde mailservers.

Verbindingen van gebruikers naar mailservers zijn meestal beveiligd en versleuteld met het TLS-protocol, maar desondanks was er vóór de implementatie van MTA-STS een gebrek aan beveiliging in de verbindingen tussen mailservers. Met een toenemend bewustzijn over e-mailbeveiliging in de afgelopen tijd en ondersteuning van grote e-mailproviders wereldwijd, wordt verwacht dat de meerderheid van de serververbindingen in de nabije toekomst versleuteld zal zijn. Bovendien zorgt MTA-STS er effectief voor dat cybercriminelen op de netwerken de inhoud van e-mail niet kunnen lezen.

Het MTA-STS Beleid Bestand

Het MTA-STS beleidsbestand is een platte tekst MTA-STS configuratiebestand dat gehost wordt op de webserver van een domein onder een HTTPS URL: Het definieert regels voor het tot stand brengen van veilige verbindingen tussen mailservers, het afdwingen van TLS-encryptie en het specificeren van acties die moeten worden ondernomen als er geen veilige verbinding tot stand kan worden gebracht. 

https://mta-sts.<domain>//.well-known/mta-sts.txt

Structuur van MTA-STS beleidsbestand 

Velden Beschrijving Voorbeeld
versie De versie van het MTA-STS beleidsformaat STS1
stand Het handhavingsniveau van het beleid uit 3 beschikbare opties: none, testing en enforce testen
mx Een lijst met geldige MX-servers (Mail Exchange) van het domein mail.domein.com
maximumleeftijd De duur in seconden gedurende welke het beleid in de cache moet worden geplaatst door externe mailservers 86400

MTA-STS beleidsvoorbeeld

versie: STSv1 

modus: afdwingen 

mx: mail.example.com 

mx: backupmail.example.com 

max_leeftijd: 86400

Vereisten voor implementatie van MTA-STS

Voor je aan de slag gaat met je MTA-STS setup, heb je het volgende nodig: 

  1. Een geregistreerde domeinnaam 
  2. Geldige TLS-certificaten
  • TLS-certificaten moeten worden uitgegeven door een vertrouwde CA
  • Certificaten moeten up-to-date en niet verlopen zijn
  • Moet minstens TLS versie 1.2 of hoger zijn 
  1. Een DNS TXT-record voor MTA-STS 
  2. HTTPS webserver 
  3. Mailserver geconfigureerd om TLS te gebruiken 
  4. Hostnaam van mailserver die overeenkomt met de vermeldingen in het mx-veld van uw beleidsbestand
  5. Een testomgeving of gehoste MTA-STS service om logs te monitoren en waar nodig aanpassingen te doen

Stappen om MTA-STS in te stellen voor uw domein

Om MTA-STS in te stellen voor je domein kun je de onderstaande stappen volgen: 

  • Controleer of je domein bestaande MTA-STS configuraties heeft. Als je Google Workspace gebruikt voor je e-mails kun je dat eenvoudig doen met behulp van deze gids.
  • Maak en publiceer een MTA-STS beleid, afzonderlijk geconfigureerd voor elk domein. Het MTA-STS beleidsbestand definieert voor MTA-STS geschikte e-mailservers die door dat domein worden gebruikt. 
  • Na het maken van je beleidsbestand moet je dit bestand uploaden naar een publieke webserver die gemakkelijk toegankelijk is voor externe servers 
  • Maak en publiceer ten slotte je MTA-STS DNS-record ("_mta-sts" TXT-record) om ontvangende servers te laten weten dat je e-mails TLS-versleuteld moeten zijn om als authentiek te worden beschouwd en alleen toegang mogen krijgen tot de inbox van je ontvanger als het eerste het geval is.

Zodra je een actief beleidsbestand hebt, zullen externe mailservers geen toegang meer geven tot e-mail zonder een beveiligde verbinding. 

3 MTA-STS beleidsmodi: Geen, Testen en Afdwingen

De drie beschikbare waarden voor de MTA-STS beleidsmodi zijn als volgt: 

  1. Geen: Dit beleid maakt je MTA-STS configuratie ongeldig omdat externe servers het protocol als inactief zullen beschouwen voor het domein.
  2. Test: Als dit beleid is ingeschakeld, worden e-mails die worden verzonden via een niet-versleutelde verbinding niet geweigerd. In plaats daarvan blijft u met TLS-RPT ingeschakeld TLS-rapporten ontvangen over het afleverpad en het e-mailgedrag.
  3. afdwingen: Tot slot, als het beleid is ingeschakeld om af te dwingen, worden e-mails die worden verzonden via een niet-versleutelde SMTP-verbinding geweigerd door uw server.

MTA-STS biedt bescherming tegen :

  • Aanvallen op downgrades
  • Man-in-the-Middle-aanvallen (MITM)
  • Het lost meerdere SMTP-beveiligingsproblemen op, waaronder verlopen TLS-certificaten en een gebrek aan ondersteuning voor veilige protocollen.

TLS-rapportage: De gaten in de e-mailbezorging bewaken na de installatie van MTA-STS 

TLS-RPT (Transport Layer Security Reporting) is een protocol waarmee domeineigenaren gedetailleerde rapporten kunnen ontvangen over TLS-coderingsfouten in e-mailcommunicatie. TLS-rapportage werkt samen met MTA-STS. 

De belangrijkste kenmerken zijn: 

  • Foutrapportage: Het biedt gedetailleerde rapporten over leveringsproblemen of mislukkingen veroorzaakt door TLS-problemen, zoals verlopen certificaten of verouderde TLS-versies, en TLS-encryptiefouten.
  • Zichtbaarheid: Het helpt je om problemen met je MTA-STS implementatie en e-mail deliverability te monitoren. 
  • Verbeterde e-mailbeveiliging: Door fouten met mislukte TLS-coderingsonderhandelingen op te lossen, kunt u de algehele doeltreffendheid van uw MTA-STS-setup verbeteren en zo cyberaanvallen effectiever voorkomen. 

Eenvoudige implementatie van MTA-STS met PowerDMARC

MTA-STS vereist een HTTPS-geschikte webserver met een geldig certificaat, DNS-records en constant onderhoud. PowerDMARC's DMARC analyser tool maakt je leven een stuk eenvoudiger door dat allemaal voor je af te handelen, volledig op de achtergrond. Als we je eenmaal helpen het op te zetten, hoef je er nooit meer aan te denken.

Met behulp van PowerDMARC kun je het volgende implementeren Gehoste MTA-STS in uw organisatie implementeren zonder het gedoe met uw publieke certificaten. Wij helpen u:

  • Voer met één klik beleidsupdates en optimalisaties door voor uw record zonder dat u uw DNS-instellingen hoeft te openen.
  • Controleer uw beleidsversie en certificaatvalidatie
  • Fouten in MTA-STS-beleid detecteren 
  • Host je MTA-STS beleid tekstbestand
  • Verbindingsfouten, verbindingssuccessen en verbindingsproblemen sneller opsporen met vereenvoudigde rapporten

Aanmelden vandaag nog om snel af te dwingen dat e-mails naar uw domein worden verzonden via een TLS-gecodeerde verbinding, en uw verbinding te beveiligen tegen MITM en andere cyberaanvallen.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten )
E-mailverificatie: Uw complete gids voor hoogwaardige e-maillijstenBeste AutoSPF Alternatieven: Gedetailleerde Eigenschap Vergelijking