Wat is MTA-STS en waarom hebt u het nodig?

mta sts blog

Een algemeen bekende internetnorm die de beveiliging van verbindingen tussen SMTP-servers (Simple Mail Transfer Protocol) vergemakkelijkt door deze te verbeteren, is de SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS lost bestaande problemen met de beveiliging van SMTP-mail op door TLS-encryptie in transit af te dwingen.

De geschiedenis en het ontstaan van MTA-STS

In 1982 werd SMTP voor het eerst gespecificeerd en het bevatte geen mechanisme om beveiliging te bieden op het transportniveau om de communicatie tussen de mail transfer agents te beveiligen. In 1999 werd echter het STARTTLS-commando aan SMTP toegevoegd, dat op zijn beurt de versleuteling van e-mail tussen de servers ondersteunde, en de mogelijkheid bood om een niet-veilige verbinding om te zetten in een veilige verbinding die met het TLS-protocol was versleuteld.

In dat geval vraag je je vast af of SMTP STARTTLS heeft aangenomen om verbindingen tussen servers te beveiligen, waarom de overstap naar MTA-STS nodig was, en wat het eigenlijk doet? Laten we daar in de volgende secties van deze blog op ingaan!

Wat is MTA-STS? (Mail Transfer Agent Strict Transport Security - Uitleg)

MTA-STS is een beveiligingsstandaard die de veilige verzending van e-mailberichten via een versleutelde SMTP-verbinding garandeert. Het acroniem MTA staat voor Message Transfer Agent, een programma dat e-mailberichten tussen computers transporteert. Het acroniem STS staat voor Strict Transport Security, het protocol dat wordt gebruikt om de standaard te implementeren. Een MTA-STS-aware mail transfer agent (MTA) of secure message transfer agent (SMTA) werkt in overeenstemming met deze specificatie en biedt een beveiligd end-to-end kanaal voor het verzenden van e-mail over onbeveiligde netwerken.

Het MTA-STS-protocol stelt een SMTP-cliënt in staat de identiteit van de server te verifiëren en zich ervan te vergewissen dat hij geen verbinding maakt met een bedrieger door van de server te verlangen dat hij zijn vingerafdruk van het certificaat in de TLS-handshake verstrekt. De client verifieert vervolgens het certificaat aan de hand van een "trust store" die certificaten van bekende servers bevat.

De noodzaak om over te schakelen op MTA-STS

STARTTLS was niet perfect, en heeft twee grote problemen niet aangepakt: het eerste is dat het een optionele maatregel is, waardoor STARTTLS man-in-the-middle (MITM) aanvallen niet voorkomt. Een MITM-aanvaller kan namelijk gemakkelijk een verbinding wijzigen en voorkomen dat de versleuteling wordt bijgewerkt. Het tweede probleem is dat zelfs indien STARTTLS is geïmplementeerd, er geen manier is om de identiteit van de verzendende server te verifiëren, aangezien SMTP-mailservers geen certificaten valideren.

Hoewel de meeste uitgaande e-mails tegenwoordig beveiligd zijn met Transport Layer Security (TLS) encryptie, een industriestandaard die zelfs door consumentenmail wordt gebruikt, kunnen aanvallers je e-mail nog steeds verstoren en ermee knoeien nog voordat deze versleuteld is. Als je e-mails over een beveiligde verbinding transporteert, kunnen je gegevens in gevaar komen of zelfs worden gewijzigd en gemanipuleerd door een cyberaanvaller. Hier komt MTA-STS om de hoek kijken en lost dit probleem op, waardoor een veilige doorvoer van je e-mails wordt gegarandeerd en MITM-aanvallen met succes worden beperkt. Bovendien slaan MTA's MTA-STS-beleidsbestanden op, waardoor het voor aanvallers moeilijker wordt om een DNS-spoofingaanval uit te voeren.

MTA-STS biedt bescherming tegen :

  • Aanvallen op downgrades
  • Man-In-The-Middle (MITM) -aanvallen
  • Het lost meerdere SMTP beveiligingsproblemen op, waaronder verlopen TLS certificaten en gebrek aan ondersteuning voor veilige protocollen.

Hoe werkt MTA-STS?

Het MTA-STS protocol wordt toegepast door een DNS record dat specificeert dat een mailserver een beleidsbestand kan ophalen van een specifiek subdomein. Dit beleidsbestand wordt opgehaald via HTTPS en geauthenticeerd met certificaten, samen met de lijst met namen van de mailservers van de ontvanger. De implementatie van MTA-STS is eenvoudiger aan de kant van de ontvanger dan aan de kant van de zender, omdat het door de mailserversoftware moet worden ondersteund. Hoewel sommige mailservers MTA-STS ondersteunen, zoals PostFix, doen ze dat niet allemaal.

gehost MTA STS

Grote aanbieders van e-maildiensten, zoals Microsoft, Oath en Google, ondersteunen MTA-STS. Google's Gmail heeft het MTA-STS-beleid de afgelopen tijd al overgenomen. MTA-STS heeft de nadelen van de beveiliging van e-mailverbindingen weggenomen door het proces van het beveiligen van verbindingen eenvoudig en toegankelijk te maken voor ondersteunde mailservers.

Verbindingen van de gebruikers naar de mailservers worden gewoonlijk beschermd en versleuteld met het TLS-protocol, maar desondanks bestond er vóór de invoering van MTA-STS een gebrek aan veiligheid in de verbindingen tussen de mailservers. Nu het bewustzijn over e-mailbeveiliging de laatste tijd toeneemt en grote mailproviders over de hele wereld dit ondersteunen, wordt verwacht dat de meerderheid van de serververbindingen in de nabije toekomst versleuteld zal zijn. Bovendien zorgt MTA-STS er effectief voor dat cybercriminelen op de netwerken niet in staat zijn e-mailinhoud te lezen.

Eenvoudige en snelle implementatie van gehoste MTA-STS-diensten door PowerDMARC

MTA-STS vereist een HTTPS-enabled web server met een geldig certificaat, DNS records, en constant onderhoud. PowerDMARC's DMARC analyzer tool maakt uw leven een stuk eenvoudiger door dit allemaal voor u af te handelen, volledig op de achtergrond. Zodra wij u helpen het op te zetten, hoeft u er zelfs nooit meer aan te denken.

Met behulp van PowerDMARC, kunt u Hosted MTA-STS implementeren in uw organisatie zonder gedoe en in een zeer snel tempo, met de hulp waarvan u kunt afdwingen dat e-mails worden verzonden naar uw domein over een TLS versleutelde verbinding, waardoor uw verbinding veilig is en MITM-aanvallen op afstand worden gehouden.

MTA-STS

Nieuwste berichten van Ahona Rudra (zie alle)
/door
Misschien vind je het ook leuk
belangrijke phishing-termen5 belangrijke phishingtermen die alle marketeers moeten kennen
gratis dmarc opzoekenKan uw e-maildomein worden vervalst? Controleer uw domein nu!
powerdMARC MTA STS TLS RPTWat zijn MTA-STS en TLS-RPT en waarom heb je ze nodig?
man in the middle snifferWat is TLS Downgrade aanval? Hoe komt MTA-STS tot de redding?
2021 oplichtingTop 5 geëvolueerde oplichtingspraktijken via e-mail: Trends voor 2023
mta sts blogVerbetering van e-mailbeveiliging met MTA-STS en SMTP TLS-rapportage
Waarom moet u BIMI implementeren om de merkbekendheid te vergroten?powerbimi blogman in the middle snifferWat is TLS Downgrade aanval? Hoe komt MTA-STS tot de redding?