Wat is SMTP TLS Rapportage?
TLS Reporting is een omgekeerd feedbackmechanisme dat domeineigenaren helpt bij het nauwkeurig opsporen van problemen met de e-mailaflevering. Het werkt samen met de MTA-STS protocol en biedt trackinggegevens over gebouncede e-mails die niet zijn afgeleverd vanwege een mislukte TLS-handdruk.
Wat betekent TLS-rapportage?
TLS-rapportage (TLS-RPT) is een standaard voor het rapporteren van problemen met e-mailaflevering die optreden wanneer een e-mail niet met TLS is versleuteld. Het ondersteunt het MTA-STS-protocol dat wordt gebruikt om te garanderen dat alle e-mail die naar uw domein wordt verzonden, met TLS wordt versleuteld.
- TLS-encryptie zorgt ervoor dat elke e-mail die naar u wordt verzonden, veilig wordt afgeleverd. Een aanvaller kan echter proberen een SMTP downgrade uit te voeren, een type aanval waarbij de e-mail naar je wordt verzonden zonder te zijn versleuteld, waardoor ze de inhoud kunnen lezen of ermee kunnen knoeien. MTA-STS gaat dit tegen door ervoor te zorgen dat alle e-mails worden versleuteld voordat ze naar jou worden verzonden. Als een aanvaller probeert een SMTP-downgrade uit te voeren, wordt de e-mail helemaal niet verzonden.
- TLS-RPT maakt het mogelijk voor u, de eigenaar van het domein, om rapporten te ontvangen over elke e-mail die niet gecodeerd wordt en niet naar u verzonden kan worden. U kunt dan de bron van het probleem identificeren en uw afleveringsproblemen oplossen.
Hoe werkt TLS-rapportage?
TLS-rapportering (TLS-RPT) wordt gebruikt om het MTA-STS protocol te ondersteunen, dat ervoor zorgt dat emails worden versleuteld alvorens te worden afgeleverd. Normaal gesproken onderhandelt uw e-mailserver of Mail Transfer Agent (MTA) met de ontvangende server om te zien of deze het STARTTLS commando ondersteunt. Als dat het geval is, wordt de e-mail versleuteld met TLS en afgeleverd bij de ontvangende MTA.
Een aanvaller zou op dit punt een SMTP downgrade aanval kunnen uitvoeren, waarbij de onderhandeling tussen de verzendende en ontvangende MTA wordt geblokkeerd. De verzendende server denkt dat de ontvanger het STARTTLS commando niet ondersteunt en verstuurt de e-mail zonder TLS encryptie, waardoor de aanvaller de inhoud van de e-mail kan bekijken of er mee kan knoeien.
Wanneer je MTA-STS implementeert in je domein, is je verzendserver verplicht om berichten te versleutelen voordat ze worden verzonden. Als een aanvaller een SMTP-downgrade aanval probeert, wordt de e-mail gewoon niet verzonden. Hierdoor is TLS-versleuteling op al je e-mails gegarandeerd.
TLS-rapportage (TLS-RPT) is een protocol dat u, de domeineigenaar, op de hoogte stelt wanneer er problemen zijn met de aflevering van e-mails die via uw domein zijn verzonden. Als een e-mail niet kan worden verzonden vanwege een SMTP-downgrade of een ander probleem, ontvangt u een rapport in een JSON-bestandsindeling met de details van de e-mail die is mislukt. Dit rapport bevat niet de inhoud van de e-mail.
Waarom hebt u SMTP TLS rapportering nodig?
Het is essentieel voor domeineigenaren om op de hoogte te blijven van problemen met e-mailaflevering als gevolg van storingen in TLS-versleuteling voor e-mails die zijn verzonden vanaf een domein dat geschikt is voor MTA-STS. TLS-rapportage maakt dit mogelijk door deze informatie te verstrekken.
Feedbackrapporten ontvangen
Als een bericht niet verzonden kan worden, helpt TLS-rapportage je om hiervan op de hoogte te worden gesteld.
Totale zichtbaarheid van e-mailkanalen krijgen
Verkrijg gedetailleerde inzichten in uw e-mailstroom via TLS-rapportage
Leveringsproblemen elimineren
TLS-rapportage helpt u de bron van het probleem te identificeren en het zonder vertraging op te lossen
Stappen voor het activeren van TLS-rapportage
U kunt TLS-rapportage voor uw domein inschakelen door een TXT-record voor TLS-RPT aan te maken en dit in uw DNS te publiceren. Dit record moet gepubliceerd worden op het subdomein _smtp._tls.uwdomein.com
Voorbeeld TLS-RPT record
v=TLSRPTv1; rua=mailto:[email protected];
Laten we de onderdelen van de geleverde TLS-record uitsplitsen:
v=TLSRPTv1:
Deze tag specificeert de versie van het TLS-RPT protocol dat wordt gebruikt. In dit geval, "TLSRPTv1 de eerste versie van het TLS-RPT protocol.
rua=mailto:[email protected]:
Deze tag geeft de rapporterende URI voor de geaggregeerde rapporten (RUAs) aan. Het specificeert waar de mailserver van de ontvanger geaggregeerde rapporten over TLS-fouten naartoe moet sturen. rua staat voor "Reporting URI for Aggregated Reports".
De waarde "mailto:[email protected]" is een URI die een e-mailadres specificeert ([email protected]) waarnaar de samengevoegde rapporten via e-mail moeten worden verzonden.
In de praktijk zou je het volgende vervangen "uwdomein.nl" vervangen door de domeinnaam waarop u deze rapporten wilt ontvangen.
De betekenis van elk onderdeel:
v=TLSRPTv1:
Dit geeft de versie van het TLS-RPT protocol aan dat gebruikt wordt. Het helpt om compatibiliteit tussen de verzender en ontvanger van de rapporten te garanderen.
rua=mailto:[email protected]:
Dit specificeert de bestemming van geaggregeerde rapporten voor problemen met TLS-aflevering. Door een e-mailadres voor rapportage op te geven, kunnen domeineigenaren informatie ontvangen over mislukte of problematische TLS-verbindingen. De rapporten zijn waardevol voor het diagnosticeren van potentiële beveiligings- of configuratieproblemen met betrekking tot e-mailcommunicatie.
TLS-rapportageformaat en -rapportvoorbeeld
Een JSON TLS rapport volgt een specifiek formaat dat gedefinieerd is door de TLS-RPT (Transport Layer Security Reporting Policy) specificatie. Dit formaat wordt gebruikt om informatie over te brengen over problemen met e-mailaflevering die gerelateerd zijn aan TLS-encryptie. Hieronder staat een voorbeeld van hoe een JSON TLS-rapport eruit zou kunnen zien:
Hier is de uitsplitsing van de belangrijkste velden in dit JSON TLS-rapport:
organisatie: De domeinorganisatie die eigenaar is van de TLS-RPT record.
e-mail: Het e-mailadres waar de samengevoegde rapporten naartoe worden gestuurd.
begindatum: De begindatum van de rapportageperiode.
einddatum: De einddatum van de rapportageperiode.
beleid: Een matrix van beleidsobjecten die de beleidsregels beschrijven die tijdens de rapportageperiode zijn toegepast.
beleid: Bevat informatie over het toegepaste beleid.
beleidstype: Geeft het type beleid aan (bijvoorbeeld "policy" voor een TLS-beleid).
beleidsring: Specificeert de beleidsstring die bij het beleid hoort (bijvoorbeeld "reject" voor een strikt TLS-beleid).
samenvatting: Bevat samenvattende informatie over de sessies die geprobeerd zijn.
totaal_geslaagde_sessie_aantal: De totale telling van succesvol opgezette TLS-sessies.
totaal_storingen_sessie_aantal: De totale telling van mislukte TLS-sessies.
fout_gegevens: Een matrix van objecten met details over specifieke fouten.
reden: Een tekenreeks die de reden van de mislukking aangeeft (bijv. "certificate_expired").
tellen: Het aantal sessies dat is mislukt om een specifieke reden.
Fouten in TLS-codering Redenen en typen
Certificaatkwesties:
- certificaat_verlopen: Het certificaat van de externe server is verlopen, waardoor het niet betrouwbaar is voor encryptie.
- certificaat_niet_geldig: Het door de externe server gepresenteerde certificaat is nog niet geldig, mogelijk door een onjuiste servertijd of voortijdig certificaatgebruik.
- certificaat_herroepen: Het certificaat van de externe server is ingetrokken door de certificeringsinstantie vanwege beveiligingsproblemen.
- niet-vertrouwd_certificaat: De certificaatketen die wordt aangeboden door de externe server wordt niet vertrouwd door de mailserver of client van de afzender, wat duidt op een potentieel veiligheidsrisico.
- geen_geldige_handtekening: Het certificaat dat wordt aangeboden door de externe server is niet correct ondertekend door een vertrouwde certificeringsinstantie, waardoor bezorgdheid ontstaat over de echtheid ervan.
- niet-ondersteund_certificaat: Het door de externe server gepresenteerde certificaat gebruikt versleutelingsalgoritmen of sleutellengtes die niet worden ondersteund door de mailserver van de afzender, waardoor een veilige verbinding niet mogelijk is.
Hostnaam en identiteit komen niet overeen
- hostnaam_incongruentie: De hostnaam in het certificaat van de server komt niet overeen met de hostnaam van de server waarmee de mailserver van de afzender verbinding probeert te maken, wat duidt op een mogelijke man-in-the-middle aanval of een configuratieprobleem.
Cijfersuite en versleutelingsconfiguratie
- onveilige_cijfer_suite: De cipher suite waarover is onderhandeld tussen de mailservers van de verzender en de ontvanger wordt als zwak of onveilig beschouwd, waardoor de vertrouwelijkheid en integriteit van de communicatie in gevaar kan komen.
- protocol_versie_mismatch: Er is een mismatch in de ondersteunde TLS-protocolversies tussen de mailservers van de verzender en de ontvanger, waardoor ze geen compatibele versleutelde verbinding tot stand kunnen brengen.
- geen_gedeelde_cijfersuite: Er is geen gemeenschappelijke codeersuite beschikbaar voor de mailservers van zowel de verzender als de ontvanger voor codering, wat resulteert in een mislukte verbinding.
Handdruk en protocolproblemen
- handdruk_fout: Er heeft zich een probleem voorgedaan tijdens het initiële TLS-handshake-proces tussen de mailserver van de verzender en de mailserver van de ontvanger, waardoor het beveiligde kanaal niet tot stand kon worden gebracht.
- onverwacht_bericht: De mailserver van de afzender heeft een onverwacht of niet-ondersteund bericht ontvangen tijdens het TLS-handshake-proces, wat duidt op een mogelijke protocol- of implementatieafwijking.
MTA-STS Beleidskwesties
- mta_sts_policy_not_found: Deze fout treedt op wanneer de mailserver van de afzender geen MTA-STS beleid kan vinden voor het domein van de ontvanger.
- mta_sts_policy_invalid: Deze fout treedt op wanneer het MTA-STS beleid gevonden in DNS voor het domein van de ontvanger ongeldig is, fouten bevat of niet voldoet aan de MTA-STS specificatie.
- mta_sts_policy_fetch_error: Deze fout treedt op wanneer de mailserver van de afzender een foutmelding krijgt tijdens het ophalen van het MTA-STS-beleid uit de DNS-records van het domein van de ontvanger.
- mta_sts_connection_failure: Deze fout treedt op wanneer de mailserver van de verzender een beveiligde verbinding probeert op te zetten met MTA-STS, maar faalt om redenen zoals niet-vertrouwde certificaten, niet-ondersteunde cipher suites of andere TLS-problemen.
- mta_sts_invalid_hostname: Deze fout treedt op wanneer de hostnaam van de mailserver van de ontvanger, zoals gespecificeerd in het MTA-STS beleid, niet overeenkomt met de werkelijke hostnaam van de server.
- mta_sts_beleid_upgrade: Deze fout treedt op wanneer de mailserver van de verzender de verbinding probeert te upgraden naar een beveiligde verbinding met behulp van MTA-STS, maar de server van de ontvanger de upgrade niet ondersteunt.
Vereenvoudigde SMTP TLS-rapportage met PowerDMARC
De SMTP TLS-rapportage van PowerDMARC is gericht op het verbeteren van uw beveiliging terwijl uw leven eenvoudiger wordt met een gehoste service.
Vertaalde TLS-verslagen
Complexe JSON-rapporten voor TLS-rapportage worden omgezet in vereenvoudigde informatie die u in enkele seconden kunt doorbladeren of in detail kunt lezen.
Autodetectie problemen
Het PowerDMARC-platform lokaliseert automatisch het probleem waarmee u wordt geconfronteerd, zodat u het kunt oplossen zonder tijd te verspillen
- Wat is e-mailversleuteling en wat zijn de verschillende typen? - dinsdag 29 november 2023
- DMARC zwarte vrijdag: Versterk uw e-mails deze feestdagen - 23 november 2023
- Google en Yahoo vernieuwen vereisten voor e-mailverificatie voor 2024 - 15 november 2023