Mail Transfer Agent-Strict Transport Security (MTA-STS) är en ny standard som gör det möjligt för e-posttjänstleverantörer med möjlighet att genomdriva Transport Layer Security (TLS) för att säkra SMTP-anslutningar och för att ange om de sändande SMTP-servrarna ska vägra att leverera e-postmeddelanden till MX-värdar som inte erbjuder TLS med ett tillförlitligt servercertifikat. Det har visat sig framgångsrikt mildra TLS nedgraderingsattacker och Man-In-The-Middle (MITM) attacker.

Enklare uttryckt är MTA-STS en internetstandard som säkrar anslutningar mellan SMTP-e-postservrar. Det mest framträdande problemet med SMTP är att kryptering är helt valfritt och inte tillämpas under e-postöverföring. Det är därför SMTP antog STARTTLS-kommandot för att uppgradera från klartext till kryptering. Detta var ett värdefullt steg mot att mildra passiva attacker, men att ta itu med attacker via aktiva nätverk och MITM-attacker förblev fortfarande oadresserat.

Därför är problemet MTA-STS löser att SMTP använder opportunistisk kryptering, det vill säga om en krypterad kommunikationskanal inte kan upprättas faller anslutningen tillbaka till klartext och därmed håller MITM och nedgraderar attacker i schack.

Vad är en TLS-nedgraderingsattack?

Som vi redan vet kom SMTP inte med ett krypteringsprotokoll och kryptering måste eftermonteras senare för att förbättra säkerheten för det befintliga protokollet genom att lägga till STARTTLS-kommandot. Om klienten stöder kryptering (TLS) kommer den att förstå STARTTLS-verbet och initierar ett TLS-utbyte innan e-postmeddelandet skickas för att säkerställa att det är krypterat. Om klienten inte känner till TLS ignorerar den helt enkelt STARTTLS-kommandot och skickar e-postmeddelandet i klartext.

Eftersom kryptering måste eftermonteras till SMTP-protokoll måste uppgraderingen för krypterad leverans därför förlita sig på ett STARTTLS-kommando som skickas med klartext. En MITM-angripare kan enkelt utnyttja den här funktionen genom att utföra en nedgraderingsattack på SMTP-anslutningen genom att manipulera uppgraderingskommandot. Angriparen ersatte helt enkelt STARTTLS med en skräpsträng som klienten inte kan identifiera. Därför faller klienten lätt tillbaka till att skicka e-postmeddelandet i klartext.

Angriparen ersätter vanligtvis kommandot med skräpsträngen som innehåller samma antal tecken, i stället för att kasta ut det, eftersom det bevarar paketstorleken och därför gör det enklare. De åtta bokstäverna i skräpsträngen i alternativkommandot gör det möjligt för oss att upptäcka och identifiera att en TLS-nedgraderingsattack har utförts av en cyberbrottslig, och vi kan mäta dess prevalens.

Kort sagt, en nedgraderingsattack startas ofta som en del av en MITM-attack, för att skapa en väg för att aktivera en kryptografisk attack som inte skulle vara möjlig i händelse av en anslutning som krypteras över den senaste versionen av TLS-protokollet, genom att ersätta eller ta bort STARTTLS-kommandot och rulla tillbaka kommunikationen till klartext.

Även om det är möjligt att genomdriva TLS för kommunikation mellan klienter och servrar, som för de anslutningar vi vet att apparna och servern stöder det. Men för server-till-server-kommunikation måste vi misslyckas öppna för att tillåta äldre servrar att skicka e-postmeddelanden. Kruxet med problemet är att vi inte har någon aning om servern på andra sidan stöder TLS eller inte. MTA-STS tillåter servrar att indikera att de stöder TLS, vilket gör det möjligt för dem att misslyckas nära (dvs. inte skicka e-postmeddelandet) om uppgraderingsförhandlingen inte äger rum, vilket gör det omöjligt för en TLS-nedgraderingsattack att äga rum.

tls rapportering

Hur kommer MTA-STS till undsättning?

MTA-STS fungerar genom att öka EXO- eller Exchange Online-e-postsäkerheten och är den ultimata lösningen på ett brett utbud av SMTP-säkerhets nackdelar och problem. Den löser problem i SMTP-säkerhet, till exempel brist på stöd för säkra protokoll, utgångna TLS-certifikat och certifikat som inte utfärdas av pålitliga tredje parter.

När e-postservrar fortsätter att skicka ut e-postmeddelanden är SMTP-anslutningen sårbar för kryptografiska attacker som nedgraderingsattacker och MITM. Nedgraderingsattacker kan startas genom att TA BORT STARTTLS-svaret och därmed leverera meddelandet i klartext. På samma sätt kan MITM-attacker också startas genom att omdirigera meddelandet till en serverintrångare över en osäker anslutning. MTA-STS gör det möjligt för din domän att publicera en policy som gör det obligatoriskt att skicka ett e-postmeddelande med krypterad TLS. Om den mottagande servern av någon anledning inte har stöd för STARTTLS skickas inte e-postmeddelandet alls. Detta gör det omöjligt att starta en TLS-nedgraderingsattack.

På senare tid har majoriteten av e-posttjänstleverantörer antagit MTA-STS och därigenom gjort anslutningar mellan servrar säkrare och krypterade via TLS-protokollet i en uppdaterad version, vilket framgångsrikt mildrar TLS-nedgraderingsattacker och upphäver kryphålen i serverkommunikationen.

PowerDMARC ger dig snabba och enkla MTA-STS-tjänster som gör ditt liv mycket enklare eftersom vi tar hand om alla specifikationer som krävs av MTA-STS under och efter implementeringen, till exempel en HTTPS-aktiverad webbserver med ett giltigt certifikat, DNS-poster och konstant underhåll. PowerDMARC hanterar allt detta helt i bakgrunden så att när vi hjälper dig att ställa in det behöver du aldrig ens tänka på det igen!

Med hjälp av PowerDMARC kan du distribuera Värdbaserad MTA-STS i din organisation utan krångel och i mycket snabb takt, med hjälp av vilken du kan genomdriva e-postmeddelanden som ska skickas till din domän via en TLS-krypterad anslutning, vilket gör din anslutning säker och håller TLS-nedgraderingsattacker i schack.