Een alom bekende internetstandaard waarmee de beveiliging van verbindingen tussen SMTP-servers (Simple Mail Transfer Protocol) kan worden verbeterd, is SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS lost bestaande problemen in SMTP op e-mailbeveiliging door het afdwingen van TLS encryptie in transit.
De geschiedenis en het ontstaan van MTA-STS
In 1982 werd SMTP voor het eerst gespecificeerd en het bevatte geen mechanisme om beveiliging te bieden op het transportniveau om de communicatie tussen de mail transfer agents te beveiligen. In 1999 werd echter het STARTTLS-commando aan SMTP toegevoegd, dat op zijn beurt de versleuteling van e-mail tussen de servers ondersteunde, en de mogelijkheid bood om een niet-veilige verbinding om te zetten in een veilige verbinding die met het TLS-protocol was versleuteld.
In dat geval vraag je je vast af of SMTP STARTTLS gebruikt om verbindingen tussen servers te beveiligen, waarom de overstap naar MTA-STS nodig was en wat het zelfs deed. Laten we daar dieper op ingaan in de volgende secties van deze blog!
Wat is MTA-STS? (Mail Transfer Agent Strict Transport Security - Uitleg)
MTA-STS is een beveiligingsstandaard die de veilige verzending van e-mailberichten via een versleutelde SMTP-verbinding garandeert. Het acroniem MTA staat voor Message Transfer Agent, een programma dat e-mailberichten tussen computers transporteert. Het acroniem STS staat voor Strict Transport Security, het protocol dat wordt gebruikt om de standaard te implementeren. Een MTA-STS-aware mail transfer agent (MTA) of secure message transfer agent (SMTA) werkt in overeenstemming met deze specificatie en biedt een beveiligd end-to-end kanaal voor het verzenden van e-mail over onbeveiligde netwerken.
Het MTA-STS-protocol stelt een SMTP-cliënt in staat de identiteit van de server te verifiëren en zich ervan te vergewissen dat hij geen verbinding maakt met een bedrieger door van de server te verlangen dat hij zijn vingerafdruk van het certificaat in de TLS-handshake verstrekt. De client verifieert vervolgens het certificaat aan de hand van een "trust store" die certificaten van bekende servers bevat.
Introductie van MTA-STS e-mailbeveiliging
MTA-STS werd geïntroduceerd om het gat in de beveiliging tijdens SMTP-communicatie te dichten. Als beveiligingsstandaard zorgt MTA-STS voor de veilige verzending van e-mails via een versleutelde SMTP-verbinding.
De afkorting MTA staat voor Message Transfer Agent, een programma dat e-mailberichten tussen computers uitwisselt. Het acroniem STS staat voor Strict Transport Security, het protocol dat wordt gebruikt om de standaard te implementeren. Een MTA-STS-bewuste mail transfer agent (MTA) of secure message transfer agent (SMTA) werkt in overeenstemming met deze specificatie en biedt een veilig end-to-end kanaal voor het verzenden van e-mail over onbeveiligde netwerken.
Het MTA-STS-protocol stelt een SMTP-cliënt in staat de identiteit van de server te verifiëren en zich ervan te vergewissen dat hij geen verbinding maakt met een bedrieger door van de server te verlangen dat hij zijn vingerafdruk van het certificaat in de TLS-handshake verstrekt. De client verifieert vervolgens het certificaat aan de hand van een "trust store" die certificaten van bekende servers bevat.
De noodzaak om over te schakelen op gedwongen TLS-codering
STARTTLS was niet perfect en slaagde er niet in om twee grote problemen aan te pakken: het eerste probleem is dat het een optionele maatregel is, waardoor STARTTLS er niet in slaagt om man-in-the-middle (MITM) aanvallen te voorkomen. Dit komt omdat een MITM-aanvaller gemakkelijk een verbinding kan wijzigen en kan voorkomen dat de versleutelingsupdate plaatsvindt. Het tweede probleem is dat zelfs als STARTTLS is geïmplementeerd, er geen manier is om de identiteit van de verzendende server te verifiëren zoals SMTP mailservers certificaten niet valideren.
Hoewel de meeste uitgaande e-mails tegenwoordig beveiligd zijn met Transport Layer Security (TLS) encryptie, een industriestandaard die zelfs door consumentenmail wordt gebruikt, kunnen aanvallers nog steeds je e-mail belemmeren en ermee knoeien nog voordat deze is versleuteld. Als je e-mails via een beveiligde verbinding verstuurt, kunnen je gegevens in gevaar komen of zelfs worden gewijzigd en gemanipuleerd door een cyberaanvaller.
Hier komt MTA-STS om de hoek kijken en lost dit probleem op, waardoor een veilige doorvoer van je e-mails wordt gegarandeerd en MITM-aanvallen met succes worden beperkt. Bovendien slaan MTA's MTA-STS beleidsbestanden op, waardoor het voor aanvallers moeilijker wordt om een DNS-spoofing aanval.
Hoe werkt MTA-STS?
Het MTA-STS protocol wordt ingezet door een DNS record dat specificeert dat een mailserver een beleidsbestand kan ophalen van een specifiek subdomein. Dit beleidsbestand wordt opgehaald via HTTPS en geverifieerd met certificaten, samen met de lijst met namen van de mailservers van de ontvanger. Het implementeren van MTA-STS is eenvoudiger aan de kant van de ontvanger dan aan de kant van de verzending, omdat het ondersteund moet worden door de mailserver software. Sommige mailservers ondersteunen MTA-STS, zoals PostFixniet allemaal.
Grote aanbieders van e-maildiensten, zoals Microsoft, Oath en Google, ondersteunen MTA-STS. Google's Gmail heeft het MTA-STS-beleid de afgelopen tijd al overgenomen. MTA-STS heeft de nadelen van de beveiliging van e-mailverbindingen weggenomen door het proces van het beveiligen van verbindingen eenvoudig en toegankelijk te maken voor ondersteunde mailservers.
Verbindingen van gebruikers naar mailservers zijn meestal beveiligd en versleuteld met het TLS-protocol, maar desondanks was er vóór de implementatie van MTA-STS een gebrek aan beveiliging in de verbindingen tussen mailservers. Met een toenemend bewustzijn over e-mailbeveiliging in de afgelopen tijd en ondersteuning van grote e-mailproviders wereldwijd, wordt verwacht dat de meerderheid van de serververbindingen in de nabije toekomst versleuteld zal zijn. Bovendien zorgt MTA-STS er effectief voor dat cybercriminelen op de netwerken de inhoud van e-mail niet kunnen lezen.
Stappen om MTA-STS in te stellen voor uw domein
Om MTA-STS in te stellen voor je domein kun je de onderstaande stappen volgen:
- Controleer of je domein bestaande MTA-STS configuraties heeft. Als je Google Workspace gebruikt voor je e-mails kun je dat eenvoudig doen met behulp van deze gids.
- Maak en publiceer een MTA-STS beleid, afzonderlijk geconfigureerd voor elk domein. Het MTA-STS beleidsbestand definieert voor MTA-STS geschikte e-mailservers die door dat domein worden gebruikt.
- Na het maken van je beleidsbestand moet je dit bestand uploaden naar een publieke webserver die gemakkelijk toegankelijk is voor externe servers
- Maak en publiceer ten slotte je MTA-STS DNS-record ("_mta-sts" TXT-record) om ontvangende servers te laten weten dat je e-mails TLS-versleuteld moeten zijn om als authentiek te worden beschouwd en alleen toegang mogen krijgen tot de inbox van je ontvanger als het eerste het geval is.
Zodra je een actief beleidsbestand hebt, zullen externe mailservers geen toegang meer geven tot e-mail zonder een beveiligde verbinding.
3 MTA-STS beleidsmodi: Geen, Testen en Afdwingen
De drie beschikbare waarden voor de MTA-STS beleidsmodi zijn als volgt:
- Geen: Dit beleid maakt je MTA-STS configuratie ongeldig omdat externe servers het protocol als inactief zullen beschouwen voor het domein.
- Test: Als dit beleid is ingeschakeld, worden e-mails die worden verzonden via een niet-versleutelde verbinding niet geweigerd. In plaats daarvan blijft u met TLS-RPT ingeschakeld TLS-rapporten ontvangen over het afleverpad en het e-mailgedrag.
- afdwingen: Tot slot, als het beleid is ingeschakeld om af te dwingen, worden e-mails die worden verzonden via een niet-versleutelde SMTP-verbinding geweigerd door uw server.
MTA-STS biedt bescherming tegen :
- Aanvallen op downgrades
- Man-in-the-Middle-aanvallen (MITM)
- Het lost meerdere SMTP-beveiligingsproblemen op, waaronder verlopen TLS-certificaten en een gebrek aan ondersteuning voor veilige protocollen.
Eenvoudige implementatie van MTA-STS met PowerDMARC
MTA-STS vereist een HTTPS-geschikte webserver met een geldig certificaat, DNS-records en constant onderhoud. PowerDMARC's DMARC analyser tool maakt je leven een stuk eenvoudiger door dat allemaal voor je af te handelen, volledig op de achtergrond. Als we je eenmaal helpen het op te zetten, hoef je er nooit meer aan te denken.
Met behulp van PowerDMARC kun je het volgende implementeren Gehoste MTA-STS in uw organisatie implementeren zonder het gedoe met uw publieke certificaten. Wij helpen u:
- Voer met één klik beleidsupdates en optimalisaties door voor uw record zonder dat u uw DNS-instellingen hoeft te openen.
- Controleer uw beleidsversie en certificaatvalidatie
- Fouten in MTA-STS-beleid detecteren
- Host je MTA-STS beleid tekstbestand
- Verbindingsfouten, verbindingssuccessen en verbindingsproblemen sneller opsporen met vereenvoudigde rapporten
Aanmelden vandaag nog om snel af te dwingen dat e-mails naar uw domein worden verzonden via een TLS-gecodeerde verbinding, en uw verbinding te beveiligen tegen MITM en andere cyberaanvallen.
- SPF-fout oplossen: Overwin SPF te veel DNS opzoekingen limiet - 26 april 2024
- Hoe publiceer je een DMARC Record in 3 stappen? - 2 april 2024
- Waarom faalt DMARC? DMARC-falen oplossen in 2024 - 2 april 2024