Een alom bekende internetstandaard waarmee de beveiliging van verbindingen tussen SMTP-servers (Simple Mail Transfer Protocol) kan worden verbeterd, is SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS lost bestaande problemen in SMTP op e-mailbeveiliging door het afdwingen van TLS encryptie in transit. Encryptie is optioneel in SMTP, wat betekent dat e-mails in platte tekst kunnen worden verzonden. MTA-STS stelt leveranciers van maildiensten in staat om Transport Layer Security (TLS) af te dwingen om SMTP-verbindingen te beveiligen en om aan te geven of de verzendende SMTP-servers moeten weigeren om e-mails af te leveren aan MX-hosts die TLS niet ondersteunen met een betrouwbaar servercertificaat. Het is bewezen dat het met succes TLS downgrade aanvallen en Man-In-The-Middle (MITM) aanvallen tegengaat.
Belangrijkste opmerkingen
- SMTP ontbrak aanvankelijk aan beveiliging, kreeg optionele encryptie via STARTTLS, maar bleef kwetsbaar voor MITM en downgrade aanvallen.
- MTA-STS verbetert de beveiliging van e-mail door TLS-encryptie te verplichten voor server-naar-server communicatie, waardoor terugval naar platte tekst wordt voorkomen.
- Implementatie bestaat uit een beleidsbestand dat wordt gehost via HTTPS en een DNS-record, waarin regels en vertrouwde mailservers worden gedefinieerd.
- MTA-STS werkt in modi (Geen, Testen, Afdwingen) waardoor een geleidelijke uitrol en afdwinging van encryptiebeleid mogelijk is.
- TLS-RPT vult MTA-STS aan door diagnostische rapporten te leveren over mislukte TLS-verbindingen, wat helpt bij het oplossen van problemen en de deliverability verbetert.
De geschiedenis en oorsprong van MTA-STS
In 1982 werd SMTP voor het eerst gespecificeerd en het bevatte geen mechanisme voor het bieden van beveiliging op transportniveau om de communicatie tussen de mail transfer agents te beveiligen. In 1999 werd echter het commando STARTTLS toegevoegd aan SMTP, dat op zijn beurt de versleuteling van e-mails tussen de servers ondersteunde en de mogelijkheid bood om een niet-veilige verbinding om te zetten in een veilige verbinding die werd versleuteld met behulp van het TLS-protocol.
In dat geval vraag je je vast af of SMTP STARTTLS gebruikt om verbindingen tussen servers te beveiligen, waarom de overstap naar MTA-STS nodig was en wat het zelfs deed. Laten we daar dieper op ingaan in de volgende secties van deze blog!
Beveiliging vereenvoudigen met PowerDMARC!
Wat is MTA-STS? (Mail Transfer Agent Strict Transport Security - Uitleg)
MTA-STS staat voor Mail Transfer Agent - Strict Transport Security. Het is een beveiligingsstandaard die de veilige verzending van e-mails via een versleutelde SMTP-verbinding garandeert. De afkorting MTA staat voor Message Transfer Agent, een programma dat e-mailberichten overdraagt tussen computers. Het acroniem STS staat voor Strict Transport Security, het protocol dat wordt gebruikt om de standaard te implementeren. Een MTA-STS-bewuste mail transfer agent (MTA) of secure message transfer agent (SMTA) werkt in overeenstemming met deze specificatie en biedt een veilig end-to-end kanaal voor het verzenden van e-mail over onbeveiligde netwerken.
Met het MTA-STS protocol kan een SMTP client de identiteit van de server verifiëren en er zeker van zijn dat hij geen verbinding maakt met een bedrieger door de server te vragen om zijn certificaat vingerafdruk te geven in de TLS handdruk. De cliënt verifieert vervolgens het certificaat aan de hand van een vertrouwenswinkel met certificaten van bekende servers.
Introductie van MTA-STS e-mailbeveiliging
MTA-STS werd geïntroduceerd om het gat in de beveiliging tijdens SMTP-communicatie te dichten. Als beveiligingsstandaard zorgt MTA-STS voor de veilige verzending van e-mails via een versleutelde SMTP-verbinding.
De afkorting MTA staat voor Message Transfer Agent, een programma dat e-mailberichten tussen computers uitwisselt. Het acroniem STS staat voor Strict Transport Security, het protocol dat wordt gebruikt om de standaard te implementeren. Een MTA-STS-bewuste mail transfer agent (MTA) of secure message transfer agent (SMTA) werkt in overeenstemming met deze specificatie en biedt een veilig end-to-end kanaal voor het verzenden van e-mail over onbeveiligde netwerken.
Met het MTA-STS protocol kan een SMTP client de identiteit van de server verifiëren en er zeker van zijn dat hij geen verbinding maakt met een bedrieger door de server te vragen om zijn certificaat vingerafdruk te geven in de TLS handdruk. De cliënt verifieert vervolgens het certificaat aan de hand van een vertrouwenswinkel met certificaten van bekende servers.
De noodzaak om over te schakelen op gedwongen TLS-codering
STARTTLS was niet perfect en slaagde er niet in om twee grote problemen aan te pakken: het eerste probleem is dat het een optionele maatregel is, waardoor STARTTLS er niet in slaagt om man-in-the-middle (MITM) aanvallen te voorkomen. Dit komt omdat een MITM-aanvaller gemakkelijk een verbinding kan wijzigen en kan voorkomen dat de versleutelingsupdate plaatsvindt. Het tweede probleem is dat zelfs als STARTTLS is geïmplementeerd, er geen manier is om de identiteit van de verzendende server te verifiëren zoals SMTP mailservers certificaten niet valideren.
Hoewel de meeste uitgaande e-mails tegenwoordig beveiligd zijn met Transport Layer Security (TLS) versleuteling, een industriestandaard die zelfs door consumentenmail wordt gebruikt, kunnen aanvallers nog steeds je e-mail belemmeren en ermee knoeien, zelfs voordat deze versleuteld is. Omdat de beveiliging achteraf in SMTP moest worden ingebouwd om ervoor te zorgen dat het achterwaarts compatibel zou zijn, door het STARTTLS commando toe te voegen om TLS encryptie te initiëren, valt de communicatie terug naar cleartext als de client TLS niet ondersteunt. Op deze manier kunnen e-mails die onderweg zijn ten prooi vallen aan alomtegenwoordige afluisteraanvallen zoals MITM, waarbij cybercriminelen je berichten kunnen afluisteren en informatie kunnen wijzigen en manipuleren door het versleutelingscommando (STARTTLS) te vervangen of te verwijderen, waardoor de communicatie terugvalt naar onbewerkte tekst. Een MITM-aanvaller kan eenvoudigweg de STARTTLS vervangen door een rommelstring die de client niet herkent. Daarom valt de client gemakkelijk terug op het versturen van de e-mail in platte tekst. Als u uw e-mails niet via een beveiligde verbinding verstuurt, kunnen uw gegevens in gevaar komen of zelfs gewijzigd en gemanipuleerd worden door een cyberaanvaller.
Hier komt MTA-STS om de hoek kijken en lost dit probleem op, waardoor een veilige doorvoer van je e-mails wordt gegarandeerd en MITM-aanvallen met succes worden beperkt. MTA-STS dwingt af dat e-mails worden verzonden via een versleuteld TLS-pad en als er geen versleutelde verbinding tot stand kan worden gebracht, wordt de e-mail helemaal niet afgeleverd, in plaats van in cleartext. Bovendien slaan MTA's MTA-STS beleidsbestanden op, waardoor het voor aanvallers moeilijker wordt om een DNS-spoofing aanval. Het primaire doel is het verbeteren van de beveiliging op transportniveau tijdens SMTP-communicatie en het waarborgen van de privacy van e-mailverkeer. Bovendien verbetert versleuteling van inkomende en uitgaande berichten de informatiebeveiliging, waarbij cryptografie wordt gebruikt om elektronische informatie te beveiligen.
MTA-STS instellen met PowerDMARC!
Hoe werkt MTA-STS?
Het MTA-STS protocol wordt ingezet door een DNS record dat specificeert dat een mailserver een beleidsbestand kan ophalen van een specifiek subdomein. Dit beleidsbestand wordt opgehaald via HTTPS en geverifieerd met certificaten, samen met de lijst met namen van de mailservers van de ontvanger. Het implementeren van MTA-STS is eenvoudiger aan de kant van de ontvanger dan aan de kant van de verzending, omdat het ondersteund moet worden door de mailserver software. Sommige mailservers ondersteunen MTA-STS, zoals PostFixniet allemaal. Met MTA-STS kunnen servers aangeven dat ze TLS ondersteunen, waardoor ze een fail close kunnen uitvoeren (d.w.z. de e-mail niet verzenden) als de TLS-upgrade-onderhandeling niet plaatsvindt, waardoor het onmogelijk wordt om een TLS-downgrade-aanval uit te voeren.
Grote mailproviders zoals Microsoft, Oath en Google ondersteunen MTA-STS. Google's Gmail heeft onlangs al het MTA-STS-beleid overgenomen. MTA-STS heeft de nadelen in de beveiliging van e-mailverbindingen weggenomen door het proces van het beveiligen van verbindingen eenvoudig en toegankelijk te maken voor ondersteunde mailservers.
Verbindingen van gebruikers naar mailservers zijn meestal beveiligd en versleuteld met het TLS-protocol, maar desondanks was er vóór de implementatie van MTA-STS een gebrek aan beveiliging in de verbindingen tussen mailservers. Met een toenemend bewustzijn over e-mailbeveiliging in de afgelopen tijd en ondersteuning van grote e-mailproviders wereldwijd, wordt verwacht dat de meerderheid van de serververbindingen in de nabije toekomst versleuteld zal zijn. Bovendien zorgt MTA-STS er effectief voor dat cybercriminelen op de netwerken de inhoud van e-mail niet kunnen lezen.
Het MTA-STS beleidsbestand
Het MTA-STS beleidsbestand is een platte tekst MTA-STS configuratiebestand dat gehost wordt op de webserver van een domein onder een HTTPS URL: Het definieert regels voor het tot stand brengen van veilige verbindingen tussen mailservers, het afdwingen van TLS-encryptie en het specificeren van acties die moeten worden ondernomen als er geen veilige verbinding tot stand kan worden gebracht.
https://mta-sts.<domain>//.well-known/mta-sts.txt
Structuur van MTA-STS beleidsbestand
Velden | Beschrijving | Voorbeeld |
versie | De versie van het MTA-STS beleidsformaat | STS1 |
stand | Het handhavingsniveau van het beleid uit 3 beschikbare opties: none, testing en enforce | testen |
mx | Een lijst met geldige MX-servers (Mail Exchange) van het domein | mail.domein.com |
maximumleeftijd | De duur in seconden gedurende welke het beleid in de cache moet worden geplaatst door externe mailservers | 86400 |
MTA-STS beleidsvoorbeeld
versie: STSv1
modus: afdwingen
mx: mail.example.com
mx: backupmail.example.com
max_leeftijd: 86400
Vereisten voor implementatie van MTA-STS
Voor je aan de slag gaat met je MTA-STS setup, heb je het volgende nodig:
- Een geregistreerde domeinnaam
- Geldige TLS-certificaten
- TLS-certificaten moeten worden uitgegeven door een vertrouwde CA
- Certificaten moeten up-to-date en niet verlopen zijn
- Moet minstens TLS versie 1.2 of hoger zijn
- Een DNS TXT-record voor MTA-STS
- HTTPS webserver
- Mailserver geconfigureerd om TLS te gebruiken
- Hostnaam van mailserver die overeenkomt met de vermeldingen in het mx-veld van uw beleidsbestand
- Een testomgeving of gehoste MTA-STS service om logs te monitoren en waar nodig aanpassingen te doen
Stappen om MTA-STS in te stellen voor uw domein
Om MTA-STS in te stellen voor je domein kun je de onderstaande stappen volgen:
- Controleer of je domein bestaande MTA-STS configuraties heeft. Als je Google Workspace gebruikt voor je e-mails kun je dat eenvoudig doen met behulp van deze gids.
- Maak en publiceer een MTA-STS beleid, afzonderlijk geconfigureerd voor elk domein. Het MTA-STS beleidsbestand definieert voor MTA-STS geschikte e-mailservers die door dat domein worden gebruikt.
- Na het maken van je beleidsbestand moet je dit bestand uploaden naar een publieke webserver die gemakkelijk toegankelijk is voor externe servers
- Maak en publiceer ten slotte uw MTA-STS DNS-record ("_mta-sts" TXT-record) om ontvangende servers te laten weten dat uw e-mails TLS-versleuteld moeten zijn om als authentiek te worden beschouwd en alleen toegang mogen krijgen tot de inbox van uw ontvanger als het eerste het geval is.
Zodra je een actief beleidsbestand hebt, zullen externe mailservers geen toegang meer geven tot e-mail zonder een beveiligde verbinding.
3 MTA-STS beleidsmodi: Geen, Testen en Afdwingen
De drie beschikbare waarden voor de MTA-STS beleidsmodi zijn als volgt:
- Geen: Dit beleid maakt je MTA-STS configuratie ongeldig omdat externe servers het protocol als inactief zullen beschouwen voor het domein.
- Test: Als dit beleid is ingeschakeld, worden e-mails die worden verzonden via een niet-versleutelde verbinding niet geweigerd. In plaats daarvan blijft u met TLS-RPT ingeschakeld TLS-rapporten ontvangen over het afleverpad en het e-mailgedrag.
- afdwingen: Tot slot, als het beleid is ingeschakeld om af te dwingen, worden e-mails die worden verzonden via een niet-versleutelde SMTP-verbinding geweigerd door uw server.
MTA-STS biedt bescherming tegen :
- Downgrade aanvallen
- Man-in-the-Middle-aanvallen (MITM)
- Het lost meerdere SMTP-beveiligingsproblemen op, waaronder verlopen TLS-certificaten, gebrek aan ondersteuning voor veilige protocollen en certificaten die niet zijn uitgegeven door betrouwbare derde partijen.
TLS-rapportage: De gaten in de e-mailbezorging bewaken na de installatie van MTA-STS
TLS-RPT (Transport Layer Security Reporting) is een protocol waarmee domeineigenaren gedetailleerde rapporten kunnen ontvangen over TLS-coderingsfouten in e-mailcommunicatie. TLS-rapportage werkt samen met MTA-STS. Het maakt de rapportage mogelijk van problemen in TLS-connectiviteit die wordt ervaren door toepassingen die e-mails versturen en het detecteert misconfiguraties. Het maakt de rapportage mogelijk van problemen met e-mailaflevering die plaatsvinden wanneer een e-mail niet is versleuteld met TLS. In september 2018 werd de standaard voor het eerst gedocumenteerd in RFC 8460.
De belangrijkste kenmerken zijn:
- Foutrapportage: Het biedt gedetailleerde rapporten over afleverproblemen of mislukkingen veroorzaakt door TLS-problemen zoals verlopen certificaten of verouderde TLS-versies en TLS-coderingsfouten. Zodra je TLS-RPT inschakelt, zullen compliant Mail Transfer Agents beginnen met het verzenden van diagnostische rapporten over e-mail afleveringsproblemen tussen communicerende servers naar het aangewezen e-maildomein. De rapporten worden normaal gesproken één keer per dag verstuurd en bevatten het MTA-STS-beleid dat door afzenders is waargenomen, verkeersstatistieken en informatie over mislukte e-mailafleveringen of problemen met e-mailaflevering.
- Zichtbaarheid: Het helpt u bij het monitoren van problemen met uw MTA-STS implementatie en e-mail deliverability. TLS-RPT biedt verbeterde zichtbaarheid op al uw e-mailkanalen, zodat u beter inzicht krijgt in alles wat er in uw domein gebeurt, inclusief berichten die niet worden afgeleverd.
- Verbeterde e-mailbeveiliging: Door fouten met mislukte TLS-coderingsonderhandelingen op te lossen, kunt u de algehele doeltreffendheid van uw MTA-STS-setup verbeteren en zo cyberaanvallen effectiever voorkomen. Bovendien biedt het diepgaande diagnostische rapporten waarmee u het probleem met de e-mailaflevering kunt identificeren en bij de wortel kunt aanpakken om het zonder enige vertraging op te lossen.
Eenvoudige implementatie van MTA-STS met PowerDMARC
MTA-STS vereist een HTTPS-geschikte webserver met een geldig certificaat, DNS-records en constant onderhoud. Het implementeren van MTA-STS kan een lastige taak zijn die complexiteiten met zich meebrengt tijdens de implementatie. Van het genereren van beleidsbestanden en records tot het onderhouden van de webserver en het hosten van certificaten, het is een langdurig proces. PowerDMARC's DMARC-analyser maakt je leven een stuk eenvoudiger door dit allemaal voor je af te handelen, volledig op de achtergrond. Als we je eenmaal helpen het op te zetten, hoef je er nooit meer aan te denken.
Met behulp van PowerDMARC kun je het volgende implementeren Gehoste MTA-STS in uw organisatie implementeren zonder het gedoe met uw publieke certificaten. Wij helpen u:
- Publiceer uw DNS CNAME-records met slechts een paar klikken
- Voer met één klik beleidsupdates en optimalisaties door voor uw record zonder dat u uw DNS-instellingen hoeft te openen.
- Controleer uw beleidsversie en certificaatvalidatie
- Fouten in MTA-STS-beleid detecteren
- Host je MTA-STS beleid tekstbestand
- De verantwoordelijkheid nemen voor het onderhouden van de beleidswebserver en het hosten van de certificaten
- Verbindingsfouten, verbindingssuccessen en verbindingsproblemen sneller opsporen met vereenvoudigde rapporten
- RFC-naleving en ondersteuning voor de nieuwste TLS-standaarden garanderen
PowerDMARC maakt het implementeren van SMTP TLS Reporting (TLS-RPT) eenvoudig en snel. Wij zetten de ingewikkelde JSON-bestanden met uw rapporten over problemen met e-mailaflevering om in eenvoudige, leesbare documenten (per resultaat en per verzendbron) die u gemakkelijk kunt begrijpen.
Aanmelden vandaag nog om snel af te dwingen dat e-mails naar uw domein worden verzonden via een TLS-gecodeerde verbinding, en uw verbinding te beveiligen tegen MITM en andere cyberaanvallen.
"`
- Een DMARC record maken en publiceren - 3 maart 2025
- Hoe "Geen SPF-record gevonden" repareren in 2025 - 21 januari 2025
- Een DMARC-rapport lezen - 19 januari 2025