Mail Transfer Agent-Strict Transport Security (MTA-STS) is een nieuwe standaard die aanbieders van e-maildiensten in staat stelt Transport Layer Security (TLS) af te dwingen om SMTP-verbindingen te beveiligen, en te specificeren of de verzendende SMTP-servers moeten weigeren e-mails af te leveren bij MX-hosts die geen TLS met een betrouwbaar servercertificaat bieden. Het is bewezen dat TLS downgrade aanvallen en Man-In-The-Middle (MITM) aanvallen met succes worden tegengegaan.

Eenvoudiger gezegd is MTA-STS een internetstandaard die verbindingen tussen SMTP-mailservers beveiligt. Het meest opvallende probleem met SMTP is dat versleuteling volledig optioneel is en niet wordt afgedwongen tijdens de mailoverdracht. Daarom heeft SMTP het STARTTLS commando aangenomen om van platte tekst naar versleuteling over te gaan. Dit was een waardevolle stap om passieve aanvallen tegen te gaan, maar het aanpakken van aanvallen via actieve netwerken en MITM-aanvallen was nog steeds niet aangepakt.

Het probleem dat MTA-STS oplost is dat SMTP gebruik maakt van opportunistische versleuteling, d.w.z. als er geen versleuteld communicatiekanaal tot stand kan worden gebracht, valt de verbinding terug op onversleutelde tekst, waardoor MITM- en downgrade-aanvallen op afstand worden gehouden.

Wat is een TLS Downgrade aanval?

Zoals bekend werd SMTP niet geleverd met een encryptieprotocol en moest encryptie later worden toegevoegd om de veiligheid van het bestaande protocol te verbeteren door het STARTTLS commando toe te voegen. Indien de client versleuteling (TLS) ondersteunt, zal hij het STARTTLS commando begrijpen en een TLS uitwisseling starten voordat de e-mail wordt verzonden om er zeker van te zijn dat deze is versleuteld. Als de client TLS niet kent, negeert hij het STARTTLS-commando en verzendt hij de e-mail zonder opmaak.

Aangezien de versleuteling in het SMTP-protocol moest worden ingebouwd, moet de upgrade voor versleutelde aflevering berusten op een STARTTLS-commando dat in klare tekst wordt verstuurd. Een MITM-aanvaller kan gemakkelijk misbruik maken van deze mogelijkheid door een downgrade-aanval uit te voeren op de SMTP-verbinding door te knoeien met het upgrade-commando. De aanvaller vervangt eenvoudigweg de STARTTLS door een "garbage string" die de client niet kan identificeren. Daardoor valt de client gemakkelijk terug op het verzenden van de e-mail in platte tekst.

De aanvaller vervangt het commando meestal door de garbage string met hetzelfde aantal karakters, in plaats van het weg te gooien, omdat de pakketgrootte dan behouden blijft en het dus makkelijker is. Met de acht letters in de garbage string in het optie commando kunnen we detecteren en identificeren dat een TLS downgrade aanval is uitgevoerd door een cybercrimineel, en kunnen we de prevalentie meten.

Kortom, een downgrade-aanval wordt vaak uitgevoerd als onderdeel van een MITM-aanval, om een pad te creëren voor het mogelijk maken van een cryptografische aanval die niet mogelijk zou zijn in het geval van een verbinding die is versleuteld over de laatste versie van het TLS-protocol, door het STARTTLS-commando te vervangen of te verwijderen en de communicatie terug te draaien naar klare tekst.

Hoewel het mogelijk is om TLS af te dwingen voor client-naar-server communicatie, omdat we voor die verbindingen weten dat de apps en de server het ondersteunen. Echter, voor server-naar-server communicatie moeten we fail open om legacy servers toe te staan emails te versturen. De kern van het probleem is dat we geen idee hebben of de server aan de andere kant TLS ondersteunt of niet. MTA-STS staat servers toe om aan te geven dat ze TLS ondersteunen, waardoor ze fail close kunnen gaan (d.w.z. de email niet versturen) als de upgrade onderhandeling niet plaatsvindt, waardoor het onmogelijk wordt voor een TLS downgrade aanval om plaats te vinden.

tls rapportage

Hoe schiet MTA-STS te hulp?

MTA-STS werkt door het verhogen van de EXO of Exchange Online e-mail beveiliging en is de ultieme oplossing voor een breed scala van SMTP beveiligings nadelen en problemen. Het lost problemen op in SMTP beveiliging zoals gebrek aan ondersteuning voor veilige protocollen, verlopen TLS certificaten, en certificaten die niet zijn uitgegeven door betrouwbare derde partijen.

Terwijl mailservers overgaan tot het verzenden van e-mails, is de SMTP-verbinding kwetsbaar voor cryptografische aanvallen, zoals downgrade-aanvallen en MITM. Downgrade-aanvallen kunnen worden uitgevoerd door de STARTTLS-respons te verwijderen, waardoor het bericht in ongecodeerde tekst wordt afgeleverd. MITM-aanvallen kunnen ook worden uitgevoerd door het bericht via een onveilige verbinding om te leiden naar een indringer op de server. Met MTA-STS kan uw domein een beleid publiceren dat het verzenden van een e-mail met versleutelde TLS verplicht stelt. Als om een of andere reden de ontvangende server geen STARTTLS blijkt te ondersteunen, zal de e-mail helemaal niet worden verzonden. Dit maakt het onmogelijk om een TLS downgrade aanval uit te voeren.

De laatste tijd hebben de meeste leveranciers van e-maildiensten MTA-STS ingevoerd, waardoor de verbindingen tussen de servers veiliger zijn geworden en versleuteld via het TLS-protocol van een bijgewerkte versie, waardoor TLS-downgrade-aanvallen met succes worden tegengegaan en de mazen in de servercommunicatie worden gedicht.

PowerDMARC biedt u snelle en eenvoudige hosted MTA-STS diensten die uw leven een stuk gemakkelijker maken omdat wij zorg dragen voor alle specificaties die MTA-STS vereist tijdens en na de implementatie, zoals een HTTPS-enabled web server met een geldig certificaat, DNS records, en voortdurend onderhoud. PowerDMARC beheert dit alles volledig op de achtergrond, zodat u er, nadat wij u hebben geholpen met het opzetten, zelfs nooit meer aan hoeft te denken!

Met de hulp van PowerDMARC, kunt u Hosted MTA-STS inzetten in uw organisatie zonder gedoe en in een zeer snel tempo, met de hulp waarvan u kunt afdwingen dat emails naar uw domein worden verzonden over een TLS versleutelde verbinding, waardoor uw verbinding veilig is en TLS downgrade aanvallen op afstand worden gehouden.