SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS) er en velkjent Internett-standard som gjør det mulig å forbedre sikkerheten ved tilkoblinger mellom SMTP-servere (Simple Mail Transfer Protocol). MTA-STS løser eksisterende problemer innen SMTP e-postsikkerhet ved å håndheve TLS-kryptering under overføring.
Historien og opprinnelsen til MTA-STS
I år 1982 ble SMTP først spesifisert, og den inneholdt ingen mekanisme for å gi sikkerhet på transportnivå for å sikre kommunikasjon mellom postoverføringsagentene. I 1999 ble imidlertid STARTTLS-kommandoen lagt til SMTP som igjen støttet kryptering av e-poster mellom serverne, og ga muligheten til å konvertere en ikke-sikker tilkobling til en sikker som er kryptert med TLS-protokollen.
I så fall lurer du sikkert på om SMTP tok i bruk STARTTLS for å sikre forbindelser mellom servere, hvorfor overgangen til MTA-STS var nødvendig, og hva den egentlig gjorde. La oss hoppe inn i det i de følgende delene av denne bloggen!
Hva er MTA-STS? (E-postoverføringsagent streng transportsikkerhet – forklart)
MTA-STS er en sikkerhetsstandard som sikrer sikker overføring av e-poster over en kryptert SMTP-forbindelse. Akronymet MTA står for Message Transfer Agent, som er et program som overfører e-postmeldinger mellom datamaskiner. Akronymet STS står for Strict Transport Security, som er protokollen som brukes for å implementere standarden. En MTA-STS-bevisst e-postoverføringsagent (MTA) eller sikker meldingsoverføringsagent (SMTA) opererer i samsvar med denne spesifikasjonen og gir en sikker ende-til-ende-kanal for å sende e-post over usikrede nettverk.
MTA-STS-protokollen lar en SMTP-klient verifisere serveridentitet og sikre at den ikke kobler til en bedrager ved å kreve at serveren oppgir sitt sertifikatfingeravtrykk i TLS-håndtrykket. Klienten verifiserer deretter sertifikatet mot et klareringslager som inneholder sertifikater fra kjente servere.
Introduksjon av MTA-STS e-postsikkerhet
MTA-STS ble introdusert for å tette sikkerhetshullet i SMTP-kommunikasjonen. Som sikkerhetsstandard sørger MTA-STS for sikker overføring av e-post over en kryptert SMTP-tilkobling.
Forkortelsen MTA står for Message Transfer Agent, som er et program som overfører e-postmeldinger mellom datamaskiner. Forkortelsen STS står for Strict Transport Security, som er protokollen som brukes til å implementere standarden. En MTA-STS-bevisst mail transfer agent (MTA) eller secure message transfer agent (SMTA) fungerer i samsvar med denne spesifikasjonen og gir en sikker ende-til-ende-kanal for sending av e-post over usikrede nettverk.
MTA-STS-protokollen lar en SMTP-klient verifisere serveridentitet og sikre at den ikke kobler til en bedrager ved å kreve at serveren oppgir sitt sertifikatfingeravtrykk i TLS-håndtrykket. Klienten verifiserer deretter sertifikatet mot et klareringslager som inneholder sertifikater fra kjente servere.
Behovet for å gå over til forsterket TLS-kryptering
STARTTLS var ikke perfekt, og det løste ikke to store problemer: For det første er det et valgfritt tiltak, og STARTTLS forhindrer derfor ikke MITM-angrep (man-in-the-middle). Dette skyldes at en MITM-angriper enkelt kan endre en tilkobling og forhindre at krypteringsoppdateringen finner sted. Det andre problemet med STARTTLS er at selv om STARTTLS er implementert, er det ingen måte å autentisere identiteten til avsenderserveren på, slik som med SMTP e-postservere ikke validerer sertifikater.
Selv om de fleste utgående e-poster i dag er sikret med Transport Layer Security (TLS) (TLS), en bransjestandard som også er tatt i bruk for e-post til privatpersoner, kan angripere likevel hindre og manipulere e-posten din selv før den blir kryptert. Hvis du sender e-posten din via en sikker tilkobling, kan dataene dine bli kompromittert eller til og med endret og manipulert av en cyberangriper.
Det er her MTA-STS kommer inn i bildet og løser dette problemet, slik at e-postene dine kan sendes trygt og MITM-angrepene reduseres. I tillegg lagrer MTA-er MTA-STS-policyfiler, noe som gjør det vanskeligere for angripere å utføre et DNS-spoofing-angrep.
Hvordan fungerer MTA-STS?
MTA-STS-protokollen implementeres ved å ha en DNS-post som angir at en e-postserver kan hente en policyfil fra et bestemt underdomene. Denne policyfilen hentes via HTTPS og autentiseres med sertifikater, sammen med listen over navnene på mottakerens e-postservere. Det er enklere å implementere MTA-STS på mottakersiden enn på avsendersiden, ettersom det krever støtte fra programvaren på e-postserveren. Noen e-postservere støtter MTA-STS, f.eks. PostFixer det ikke alle som gjør det.
Store e-postleverandører som Microsoft, Oath og Google støtter MTA-STS. Googles Gmail har allerede vedtatt MTA-STS-retningslinjer i nyere tid. MTA-STS har fjernet ulempene med sikkerhet for e-posttilkobling ved å gjøre prosessen med å sikre tilkoblinger enkel og tilgjengelig for støttede e-postservere.
Forbindelsene fra brukerne til e-postserverne er vanligvis beskyttet og kryptert med TLS-protokollen, men til tross for dette var det mangel på sikkerhet i forbindelsene mellom e-postserverne før implementeringen av MTA-STS. Med økt bevissthet om e-postsikkerhet i den senere tid og støtte fra store e-postleverandører over hele verden, forventes det at de fleste serverforbindelser vil bli kryptert i nær fremtid. MTA-STS sørger dessuten for at nettkriminelle på nettverkene ikke kan lese innholdet i e-posten.
Fremgangsmåte for å konfigurere MTA-STS for domenet ditt
Følg trinnene nedenfor for å konfigurere MTA-STS for domenet ditt:
- Sjekk om domenet ditt har eksisterende MTA-STS-konfigurasjoner. Hvis du bruker Google Workspace for e-postene dine, kan du enkelt gjøre det ved hjelp av denne veiledning.
- Opprett og publiser en MTA-STS-policy som konfigureres separat for hvert domene. MTA-STS-policyfilen definerer MTA-STS-aktiverte e-postservere som brukes av domenet.
- Når du har opprettet policyfilen, må du laste den opp til en offentlig webserver som er lett tilgjengelig for eksterne servere.
- Til slutt oppretter og publiserer du en MTA-STS DNS-oppføring ("_mta-sts" TXT-oppføring) for å informere mottakerserverne om at e-postene dine må være TLS-kryptert for å anses som autentiske, og at de bare skal få tilgang til mottakerens innboks hvis førstnevnte er oppfylt.
Når du har en aktiv policyfil, vil eksterne e-postservere ikke gi tilgang til e-post uten en sikker tilkobling.
3 MTA-STS-retningslinjemoduser: Ingen, Testing og Håndhev
De tre tilgjengelige verdiene for MTA-STS-policymodusene er som følger:
- Ingen: Denne policyen opphever MTA-STS-konfigurasjonen, ettersom eksterne servere vil anse protokollen som inaktiv for domenet.
- Testing: Med denne policyen vil e-poster som overføres via en ukryptert tilkobling ikke bli avvist, men med TLS-RPT aktivert vil du fortsette å motta TLS-rapporter om leveringsstien og e-postens oppførsel.
- Håndhevelse: Endelig vil e-post som overføres via en ukryptert SMTP-tilkobling, bli avvist av serveren din når du har valgt å håndheve retningslinjene.
MTA-STS gir beskyttelse mot:
- Nedgrader angrep
- Man-In-The-Middle-angrep (MITM)
- Den løser flere SMTP-sikkerhetsproblemer, blant annet utløpte TLS-sertifikater og manglende støtte for sikre protokoller.
Enkel distribusjon av MTA-STS med PowerDMARC
MTA-STS krever en HTTPS-aktivert webserver med gyldig sertifikat, DNS-poster og kontinuerlig vedlikehold. PowerDMARCs DMARC-analysator verktøyet gjør livet ditt mye enklere ved å håndtere alt dette for deg, helt i bakgrunnen. Når vi først har hjulpet deg med å konfigurere det, trenger du aldri å tenke på det igjen.
Ved hjelp av PowerDMARC kan du implementere vertsbaserte MTA-STS i organisasjonen din uten problemer med å håndtere offentlige sertifikater. Vi hjelper deg:
- Gjør policyoppdateringer og optimaliseringer av oppføringen med ett klikk uten å måtte gå inn i DNS-innstillingene.
- Bekreft policyversjonen og sertifikatvalideringen
- Oppdage feil i anvendelsen av MTA-STS-policyer
- Vert for tekstfilen med MTA-STS-policyer
- Oppdag tilkoblingsfeil, vellykkede tilkoblinger og tilkoblingsproblemer raskere med forenklede rapporter.
Registrer deg i dag for raskt å håndheve at e-post sendes til domenet ditt via en TLS-kryptert tilkobling, og sikre tilkoblingen mot MITM og andre cyberangrep.