År 1982, när SMTP först specificerades, innehöll det ingen mekanism för att tillhandahålla säkerhet på transportnivå för att säkra kommunikationen mellan postöverföringsagenterna. Men 1999 lades STARTTLS-kommandot till SMTP som i sin tur stödde kryptering av e-postmeddelanden mellan servrarna, vilket ger möjlighet att konvertera en icke-säker anslutning till en säker som krypteras med TLS-protokoll.

Kryptering är dock valfritt i SMTP vilket innebär att e-postmeddelanden kan skickas även i klartext. Mail Transfer Agent-Strict Transport Security (MTA-STS) är en relativt ny standard som gör det möjligt för e-posttjänstleverantörer att genomdriva Transport Layer Security (TLS) för att säkra SMTP-anslutningar och att ange om de sändande SMTP-servrarna ska vägra att leverera e-postmeddelanden till MX-värdar som inte erbjuder TLS med ett tillförlitligt servercertifikat. Det har visat sig framgångsrikt mildra TLS nedgraderingsattacker och Man-In-The-Middle (MITM) attacker. SMTP TLS Reporting (TLS-RPT) är en standard som möjliggör rapportering av problem i TLS-anslutning som upplevs av program som skickar e-postmeddelanden och upptäcker felkonfigurationer. Det möjliggör rapportering av e-postleveransproblem som uppstår när ett e-postmeddelande inte krypteras med TLS. I september 2018 dokumenterades standarden först i RFC 8460.

Varför kräver dina e-postmeddelanden kryptering under överföringen?

Det primära målet är att förbättra säkerheten på transportnivå under SMTP-kommunikation och säkerställa integriteten för e-posttrafik. Dessutom förbättrar kryptering av inkommande och utgående meddelanden informationssäkerheten med hjälp av kryptografi för att skydda elektronisk information.  Dessutom har kryptografiska attacker som Man-In-The-Middle (MITM) och TLS Downgrade blivit populära på senare tid och har blivit en vanlig praxis bland cyberbrottslingar, som kan undvikas genom att genomdriva TLS-kryptering och utöka stödet till säkra protokoll.

Hur lanseras en MITM-attack?

Eftersom kryptering måste eftermonteras till SMTP-protokoll måste uppgraderingen för krypterad leverans förlita sig på ett STARTTLS-kommando som skickas med klartext. En MITM-angripare kan enkelt utnyttja den här funktionen genom att utföra en nedgraderingsattack på SMTP-anslutningen genom att manipulera uppgraderingskommandot, vilket tvingar klienten att falla tillbaka till att skicka e-postmeddelandet i klartext.

Efter att ha snappat upp kommunikationen kan en MITM-angripare enkelt stjäla den dekrypterade informationen och komma åt innehållet i e-postmeddelandet. Detta beror på att SMTP är branschstandarden för postöverföring använder opportunistisk kryptering, vilket innebär att kryptering är valfritt och e-postmeddelanden fortfarande kan levereras i klartext.

Hur startas en TLS-nedgraderingsattack?

Eftersom kryptering måste eftermonteras till SMTP-protokoll måste uppgraderingen för krypterad leverans förlita sig på ett STARTTLS-kommando som skickas med klartext. En MITM-angripare kan utnyttja den här funktionen genom att utföra en nedgraderingsattack på SMTP-anslutningen genom att manipulera uppgraderingskommandot. Angriparen kan helt enkelt ersätta STARTTLS med en sträng som klienten inte kan identifiera. Därför faller klienten lätt tillbaka till att skicka e-postmeddelandet i klartext.

Kort sagt, en nedgraderingsattack startas ofta som en del av en MITM-attack, för att skapa en väg för att aktivera en attack som inte skulle vara möjlig i händelse av en anslutning som krypteras över den senaste versionen av TLS-protokollet, genom att ersätta eller ta bort STARTTLS-kommandot och rulla tillbaka kommunikationen till klartext.

Förutom att förbättra informationssäkerheten och mildra genomgripande övervakningsattacker löser kryptering av meddelanden under överföring också flera SMTP-säkerhetsproblem.

Uppnå tvingad TLS-kryptering av e-postmeddelanden med MTA-STS

Om du misslyckas med att transportera dina e-postmeddelanden via en säker anslutning kan dina data äventyras eller till och med ändras och manipuleras av en cyberanfallare. Här kliver MTA-STS in och åtgärdar det här problemet, vilket möjliggör säker transitering för dina e-postmeddelanden samt framgångsrikt mildrar kryptografiska attacker och förbättrar informationssäkerheten genom att genomdriva TLS-kryptering. Enkelt uttryckt upprätthåller MTA-STS de e-postmeddelanden som ska överföras över en TLS-krypterad väg, och om en krypterad anslutning inte kan fastställas levereras e-postmeddelandet inte alls, istället för att levereras med klartext. Dessutom lagrar MTA-STS-principfiler, vilket gör det svårare för angripare att starta en DNS-förfalskningsattack.

 

MTA-STS erbjuder skydd mot:

  • Nedgradera attacker
  • Man-in-the-Middle (MITM) attacker
  • Det löser flera SMTP-säkerhetsproblem, inklusive utgångna TLS-certifikat och brist på stöd för säkra protokoll.

Stora leverantörer av e-posttjänster som Microsoft, Oath och Google stöder MTA-STS. Google är den största branschaktör, uppnår centrum samtidigt som man antar något protokoll, och införandet av MTA-STS av google indikerar förlängningen av stödet mot säkra protokoll och belyser vikten av e-postkryptering under överföringen.

Felsökningsproblem i e-postleverans med TLS-RPT

SMTP TLS Reporting ger domänägare diagnostiska rapporter (i JSON-filformat) detaljerad information om e-postmeddelanden som har skickats till din domän och står inför leveransproblem, eller inte kunde levereras på grund av en nedgraderingsattack eller andra problem, så att du kan lösa problemet proaktivt. Så snart du aktiverar TLS-RPT kommer medgivande e-postöverföringsagenter att börja skicka diagnostiska rapporter om problem med e-postleverans mellan att kommunicera servrar till den angivna e-postdomänen. Rapporterna skickas vanligtvis en gång om dagen, vilket täcker och förmedlar MTA-STS-policyerna som observerats av avsändare, trafikstatistik samt information om fel eller problem i e-postleverans.

Behovet av att distribuera TLS-RPT:

  • Om ett e-postmeddelande inte skickas till din mottagare på grund av problem i leveransen kommer du att meddelas.
  • TLS-RPT ger ökad synlighet på alla dina e-postkanaler så att du får bättre insikt om allt som händer i din domän, inklusive meddelanden som inte levereras.
  • TLS-RPT tillhandahåller djupgående diagnostiska rapporter som gör att du kan identifiera och komma till roten till problemet med e-postleverans och åtgärda det utan dröjsmål.

Anta MTA-STS och TLS-RPT enkelt och snabbt med PowerDMARC

MTA-STS kräver en HTTPS-aktiverad webbserver med ett giltigt certifikat, DNS-poster och konstant underhåll. PowerDMARC gör ditt liv mycket enklare genom att hantera allt detta för dig, helt i bakgrunden - från att generera certifikat och MTA-STS-policyfil till policyövervakning, hjälper vi dig att undvika de enorma komplexiteterna i att anta protokollet. När vi hjälper dig att ställa in det med bara några klick behöver du aldrig ens tänka på det igen.

Med hjälp av PowerDMARC:s e-postautentiseringstjänster kan du distribuera värdbaserade MTA-STS i din organisation utan krångel och i mycket snabb takt, med hjälp av vilka du kan genomdriva e-postmeddelanden som ska skickas till din domän via en TLS-krypterad anslutning, vilket gör din anslutning säker och håller MITM-attacker i schack.

PowerDMARC gör ditt liv enklare genom att göra implementeringsprocessen för SMTP TLS Reporting (TLS-RPT) enkel och snabb, till hands! Så snart du registrerar dig med PowerDMARC och aktiverar SMTP TLS-rapportering för din domän tar vi smärtan av att konvertera de komplicerade JSON-filerna som innehåller dina rapporter om e-postleveransproblem, till enkla, läsbara dokument (per resultat och per sändande källa), som du enkelt kan gå igenom och förstå! PowerDMARC: s plattform upptäcker automatiskt och förmedlar därefter de problem du står inför i e-postleverans, så att du snabbt kan adressera och lösa dem på nolltid!

Registrera dig för att få din gratis DMARC idag!