SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS) er en velkjent Internett-standard som gjør det mulig å forbedre sikkerheten ved tilkoblinger mellom SMTP-servere (Simple Mail Transfer Protocol). MTA-STS løser eksisterende problemer innen SMTP e-postsikkerhet ved å håndheve TLS-kryptering under overføring.

Historien og opprinnelsen til MTA-STS 

I år 1982 ble SMTP først spesifisert, og den inneholdt ingen mekanisme for å gi sikkerhet på transportnivå for å sikre kommunikasjon mellom postoverføringsagentene. I 1999 ble imidlertid STARTTLS-kommandoen lagt til SMTP som igjen støttet kryptering av e-poster mellom serverne, og ga muligheten til å konvertere en ikke-sikker tilkobling til en sikker som er kryptert med TLS-protokollen.

I så fall lurer du sikkert på om SMTP tok i bruk STARTTLS for å sikre forbindelser mellom servere, hvorfor overgangen til MTA-STS var nødvendig, og hva den egentlig gjorde. La oss hoppe inn i det i de følgende delene av denne bloggen!

Hva er MTA-STS? (E-postoverføringsagent streng transportsikkerhet – forklart)

MTA-STS er en sikkerhetsstandard som sikrer sikker overføring av e-poster over en kryptert SMTP-forbindelse. Akronymet MTA står for Message Transfer Agent, som er et program som overfører e-postmeldinger mellom datamaskiner. Akronymet STS står for Strict Transport Security, som er protokollen som brukes for å implementere standarden. En MTA-STS-bevisst e-postoverføringsagent (MTA) eller sikker meldingsoverføringsagent (SMTA) opererer i samsvar med denne spesifikasjonen og gir en sikker ende-til-ende-kanal for å sende e-post over usikrede nettverk.

MTA-STS-protokollen lar en SMTP-klient verifisere serveridentitet og sikre at den ikke kobler til en bedrager ved å kreve at serveren oppgir sitt sertifikatfingeravtrykk i TLS-håndtrykket. Klienten verifiserer deretter sertifikatet mot et klareringslager som inneholder sertifikater fra kjente servere.

Introduksjon av MTA-STS e-postsikkerhet 

MTA-STS ble introdusert for å tette sikkerhetshullet i SMTP-kommunikasjonen. Som sikkerhetsstandard sørger MTA-STS for sikker overføring av e-post over en kryptert SMTP-tilkobling.

Forkortelsen MTA står for Message Transfer Agent, som er et program som overfører e-postmeldinger mellom datamaskiner. Forkortelsen STS står for Strict Transport Security, som er protokollen som brukes til å implementere standarden. En MTA-STS-bevisst mail transfer agent (MTA) eller secure message transfer agent (SMTA) fungerer i samsvar med denne spesifikasjonen og gir en sikker ende-til-ende-kanal for sending av e-post over usikrede nettverk.

MTA-STS-protokollen lar en SMTP-klient verifisere serveridentitet og sikre at den ikke kobler til en bedrager ved å kreve at serveren oppgir sitt sertifikatfingeravtrykk i TLS-håndtrykket. Klienten verifiserer deretter sertifikatet mot et klareringslager som inneholder sertifikater fra kjente servere.

Behovet for å gå over til forsterket TLS-kryptering

STARTTLS var ikke perfekt, og det løste ikke to store problemer: For det første er det et valgfritt tiltak, og STARTTLS forhindrer derfor ikke MITM-angrep (man-in-the-middle). Dette skyldes at en MITM-angriper enkelt kan endre en tilkobling og forhindre at krypteringsoppdateringen finner sted. Det andre problemet med STARTTLS er at selv om STARTTLS er implementert, er det ingen måte å autentisere identiteten til avsenderserveren på, slik som med SMTP e-postservere ikke validerer sertifikater.

Selv om de fleste utgående e-poster i dag er sikret med Transport Layer Security (TLS) (TLS), en bransjestandard som også er tatt i bruk for e-post til privatpersoner, kan angripere likevel hindre og manipulere e-posten din selv før den blir kryptert. Hvis du sender e-posten din via en sikker tilkobling, kan dataene dine bli kompromittert eller til og med endret og manipulert av en cyberangriper.

Det er her MTA-STS kommer inn i bildet og løser dette problemet, slik at e-postene dine kan sendes trygt og MITM-angrepene reduseres. I tillegg lagrer MTA-er MTA-STS-policyfiler, noe som gjør det vanskeligere for angripere å utføre et DNS-spoofing-angrep.

Hvordan fungerer MTA-STS?

MTA-STS-protokollen implementeres ved å ha en DNS-post som angir at en e-postserver kan hente en policyfil fra et bestemt underdomene. Denne policyfilen hentes via HTTPS og autentiseres med sertifikater, sammen med listen over navnene på mottakerens e-postservere. Det er enklere å implementere MTA-STS på mottakersiden enn på avsendersiden, ettersom det krever støtte fra programvaren på e-postserveren. Noen e-postservere støtter MTA-STS, f.eks. PostFixer det ikke alle som gjør det.

Store e-postleverandører som Microsoft, Oath og Google støtter MTA-STS. Googles Gmail har allerede vedtatt MTA-STS-retningslinjer i nyere tid. MTA-STS har fjernet ulempene med sikkerhet for e-posttilkobling ved å gjøre prosessen med å sikre tilkoblinger enkel og tilgjengelig for støttede e-postservere.

Forbindelsene fra brukerne til e-postserverne er vanligvis beskyttet og kryptert med TLS-protokollen, men til tross for dette var det mangel på sikkerhet i forbindelsene mellom e-postserverne før implementeringen av MTA-STS. Med økt bevissthet om e-postsikkerhet i den senere tid og støtte fra store e-postleverandører over hele verden, forventes det at de fleste serverforbindelser vil bli kryptert i nær fremtid. MTA-STS sørger dessuten for at nettkriminelle på nettverkene ikke kan lese innholdet i e-posten.

Fremgangsmåte for å konfigurere MTA-STS for domenet ditt

Følg trinnene nedenfor for å konfigurere MTA-STS for domenet ditt: 

• Sjekk om domenet ditt har eksisterende MTA-STS-konfigurasjoner. Hvis du bruker Google Workspace for e-postene dine, kan du enkelt gjøre det ved hjelp av denne veiledning.
• Opprett og publiser en MTA-STS-policy som konfigureres separat for hvert domene. MTA-STS-policyfilen definerer MTA-STS-aktiverte e-postservere som brukes av domenet. 
• Når du har opprettet policyfilen, må du laste den opp til en offentlig webserver som er lett tilgjengelig for eksterne servere. 
• Til slutt oppretter og publiserer du en MTA-STS DNS-oppføring ("_mta-sts" TXT-oppføring) for å informere mottakerserverne om at e-postene dine må være TLS-kryptert for å anses som autentiske, og at de bare skal få tilgang til mottakerens innboks hvis førstnevnte er oppfylt.

Når du har en aktiv policyfil, vil eksterne e-postservere ikke gi tilgang til e-post uten en sikker tilkobling. 

3 MTA-STS-retningslinjemoduser: Ingen, Testing og Håndhev

De tre tilgjengelige verdiene for MTA-STS-policymodusene er som følger: 

1. Ingen: Denne policyen opphever MTA-STS-konfigurasjonen, ettersom eksterne servere vil anse protokollen som inaktiv for domenet.
2. Testing: Med denne policyen vil e-poster som overføres via en ukryptert tilkobling ikke bli avvist, men med TLS-RPT aktivert vil du fortsette å motta TLS-rapporter om leveringsstien og e-postens oppførsel.
3. Håndhevelse: Endelig vil e-post som overføres via en ukryptert SMTP-tilkobling, bli avvist av serveren din når du har valgt å håndheve retningslinjene.

MTA-STS gir beskyttelse mot:

• Nedgrader angrep
• Man-In-The-Middle-angrep (MITM)
• Den løser flere SMTP-sikkerhetsproblemer, blant annet utløpte TLS-sertifikater og manglende støtte for sikre protokoller.

Enkel distribusjon av MTA-STS med PowerDMARC

MTA-STS krever en HTTPS-aktivert webserver med gyldig sertifikat, DNS-poster og kontinuerlig vedlikehold. PowerDMARCs DMARC-analysator verktøyet gjør livet ditt mye enklere ved å håndtere alt dette for deg, helt i bakgrunnen. Når vi først har hjulpet deg med å konfigurere det, trenger du aldri å tenke på det igjen.

Ved hjelp av PowerDMARC kan du implementere vertsbaserte MTA-STS i organisasjonen din uten problemer med å håndtere offentlige sertifikater. Vi hjelper deg:

• Gjør policyoppdateringer og optimaliseringer av oppføringen med ett klikk uten å måtte gå inn i DNS-innstillingene.
• Bekreft policyversjonen og sertifikatvalideringen
• Oppdage feil i anvendelsen av MTA-STS-policyer 
• Vert for tekstfilen med MTA-STS-policyer
• Oppdag tilkoblingsfeil, vellykkede tilkoblinger og tilkoblingsproblemer raskere med forenklede rapporter.

Registrer deg i dag for raskt å håndheve at e-post sendes til domenet ditt via en TLS-kryptert tilkobling, og sikre tilkoblingen mot MITM og andre cyberangrep.