Een algemeen bekende internetnorm die de beveiliging van verbindingen tussen SMTP-servers (Simple Mail Transfer Protocol) vergemakkelijkt door deze te verbeteren, is de SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).
In 1982 werd SMTP voor het eerst gespecificeerd en het bevatte geen mechanisme om beveiliging te bieden op het transportniveau om de communicatie tussen de mail transfer agents te beveiligen. In 1999 werd echter het STARTTLS-commando aan SMTP toegevoegd, dat op zijn beurt de versleuteling van e-mail tussen de servers ondersteunde en de mogelijkheid bood om een niet-veilige verbinding om te zetten in een veilige verbinding die is versleuteld met gebruikmaking van het TLS-protocol.
In dat geval vraag je je vast af: als SMTP STARTTLS gebruikt om verbindingen tussen servers te beveiligen, waarom was de overstap naar MTA-STS dan nodig? Laten we daar in het volgende deel van deze blog op ingaan!
De noodzaak om over te schakelen op MTA-STS
STARTTLS was niet perfect en slaagde er niet in twee grote problemen aan te pakken: het eerste is dat het een optionele maatregel is, waardoor STARTTLS er niet in slaagt man-in-the-middle (MITM)-aanvallen te voorkomen. Dit komt doordat een MITM-aanvaller gemakkelijk een verbinding kan wijzigen en kan voorkomen dat de encryptie-update plaatsvindt. Het tweede probleem is dat, zelfs als STARTTLS is geïmplementeerd, er geen manier is om de identiteit van de verzendende server te verifiëren, aangezien SMTP-mailservers geen certificaten valideren.
Hoewel de meeste uitgaande e-mails tegenwoordig worden beveiligd met TLS-encryptie (Transport Layer Security), een industrienorm die zelfs door e-mail voor consumenten wordt gehanteerd, kunnen aanvallers uw e-mail nog steeds belemmeren en ermee knoeien nog voordat deze wordt versleuteld. Als u e-mailt om uw e-mails over een beveiligde verbinding te transporteren, kunnen uw gegevens worden gecompromitteerd of zelfs worden gewijzigd en gemanipuleerd door een cyberaanvaller. Hier komt MTA-STS om de hoek kijken en lost dit probleem op door een veilige doorvoer van uw e-mails te garanderen en MITM-aanvallen met succes te onderdrukken. Bovendien slaan MTA's MTA-STS-beleidsbestanden op, waardoor het voor aanvallers moeilijker wordt om een DNS-spoofingaanval uit te voeren.
MTA-STS biedt bescherming tegen :
- Aanvallen op downgrades
- Man-In-The-Middle (MITM) -aanvallen
- Het lost meerdere SMTP beveiligingsproblemen op, waaronder verlopen TLS certificaten en gebrek aan ondersteuning voor veilige protocollen.
Hoe werkt MTA-STS?
Het MTA-STS protocol wordt toegepast door een DNS record dat specificeert dat een mailserver een beleidsbestand kan ophalen van een specifiek subdomein. Dit beleidsbestand wordt opgehaald via HTTPS en geauthenticeerd met certificaten, samen met de lijst met namen van de mailservers van de ontvangers. De implementatie van MTA-STS is eenvoudiger aan de kant van de ontvanger dan aan de kant van de zender, omdat het door de mailserversoftware moet worden ondersteund. Hoewel sommige mailservers MTA-STS ondersteunen, zoals PostFix, doen ze dat niet allemaal.
Grote aanbieders van e-maildiensten, zoals Microsoft, Oath en Google, ondersteunen MTA-STS. Google's Gmail heeft het MTA-STS-beleid de afgelopen tijd al overgenomen. MTA-STS heeft de nadelen van de beveiliging van e-mailverbindingen weggenomen door het proces van het beveiligen van verbindingen eenvoudig en toegankelijk te maken voor ondersteunde mailservers.
Verbindingen van de gebruikers naar de mailservers worden gewoonlijk beschermd en versleuteld met het TLS-protocol, maar desondanks bestond er vóór de invoering van MTA-STS een gebrek aan veiligheid in de verbindingen tussen de mailservers. Nu het bewustzijn over e-mailbeveiliging de laatste tijd toeneemt en grote mailproviders over de hele wereld dit ondersteunen, wordt verwacht dat de meerderheid van de serververbindingen in de nabije toekomst versleuteld zal zijn. Bovendien zorgt MTA-STS er effectief voor dat cybercriminelen op de netwerken niet in staat zijn e-mailinhoud te lezen.
Eenvoudige en snelle implementatie van gehoste MTA-STS-diensten door PowerDMARC
MTA-STS vereist een HTTPS-geschikte webserver met een geldig certificaat, DNS records, en voortdurend onderhoud. PowerDMARC maakt uw leven een stuk eenvoudiger door dat allemaal voor u te regelen, volledig op de achtergrond. Zodra wij u helpen het op te zetten, hoeft u er zelfs nooit meer aan te denken.
Met behulp van PowerDMARC, kunt u Hosted MTA-STS implementeren in uw organisatie zonder gedoe en in een zeer snel tempo, met de hulp waarvan u kunt afdwingen dat e-mails worden verzonden naar uw domein over een TLS versleutelde verbinding, waardoor uw verbinding veilig is en MITM-aanvallen op afstand worden gehouden.
