Was ist MTA-STS und warum brauchen Sie es? | EasyDMARC

Was ist MTA-STS und warum brauchen Sie es?

10 Min Lesezeit
A laptop and letter images on a blue background, EasyDMARC logo on the right side

Die Erhöhung der E-Mail-Sicherheit ist ein mehrstufiger Prozess. Wir sprechen schon seit einiger Zeit über die Sicherheit ausgehender E-Mails, und dafür ist DMARC gedacht. Viele Domain-Inhaber sind jedoch immer noch besorgt über die Sicherheit eingehender E-Mails.

Im Jahr 2019 hat Google die neue Richtlinie MTA-STS eingeführt, die sicherstellt, dass alle eingehenden E-Mails die Transport Layer Security (TLS) durchlaufen. Letzteres ist ein kryptografisches Protokoll, das die Kommunikation verschlüsselt. Die Notwendigkeit dieser neuen Richtlinie ergab sich aus den Schwächen des Vorgängers und behebt diese.

STARTTLS ist ein Befehl, der den Mail-Server auffordert, die Verbindung zu verschlüsseln. Das Problem dabei ist jedoch, dass es sich um eine optionale Maßnahme handelt. Außerdem erlaubt er keine Authentifizierung des sendenden Servers, was den Befehl anfällig für MITM-Angriffe macht.

Nachdem nun klar ist, dass die Richtlinie geändert werden muss, wollen wir uns nun ansehen, was MTA-STS ist und wie es funktioniert.

Was ist MTA-STS?

Mail Transfer Agent-Strict Transport Security (MTA-STS) ist ein E-Mail-Protokoll, das eingehende E-Mails mit einer Sicherheitsschicht verschlüsselt. Dies ermöglicht eine TLS-verschlüsselte Kommunikation zwischen SMTP-Servern, was wiederum Man-in-the-Middle-Angriffe verhindert.

Die MTA-STS-Richtlinie soll Angreifer daran hindern, den Inhalt von E-Mails zu manipulieren oder die Kommunikation an eine andere Adresse zu senden. Im Gegensatz zu STARTTLS bleibt bei MTA Strict Transport Security TLS immer eingeschaltet. Sie teilt den sendenden Servern mit, dass Ihr E-Mail-Server die Zustellung von E-Mails nur über eine gesicherte Verbindung akzeptiert.

Warum brauchen Sie MTA-STS und TLS-Berichte?

Wie Sie vielleicht verstehen, gibt es keine 100%ige Cybersicherheit. Das Internet ist voll von bösartigen Akteuren, die ihre Angriffe auf der Grundlage der nächsten neuen Richtlinie oder des nächsten Protokolls verbessern und erweitern wollen. Sie hören nie auf.

Dennoch bringen neue Protokolle immer etwas Neues mit sich. Die MTA-STS-DNS-Richtlinie in Verbindung mit TLS-Berichten ist eine zuverlässige Möglichkeit, Ihre E-Mail-Kommunikation ein wenig sicherer zu machen. Die Richtlinie funktioniert folgendermaßen:

  • Sie verhindert Downgrade-Angriffe.
  • Sie beseitigt das Risiko von MITM-Angriffen.
  • Sie behebt das Problem abgelaufener TLS-Zertifikate.

TLS hält Sie auf dem Laufenden über Fehlermeldungen und Korrekturen, die Sie vornehmen können.

Was sind SMTP-TLS-Berichte?

Vor einiger Zeit haben wir einen weiteren ausführlichen Artikel geschrieben, in dem wir das Simple Mail Transfer Protocol (SMTP) und Transport Layer Security (TLS) erklärt haben. Sie wissen also vielleicht schon, wie es funktioniert und was TLS-Berichte sind.

Nun ist es an der Zeit, sich damit zu beschäftigen, was TLS-Berichte für Server mit MTA Strict Transport Security bedeuten. Wenn die Richtlinie auf „enforce“ eingestellt ist und die TLS-Verbindung fehlschlägt, wird die E-Mail nicht in Ihrem Posteingang zugestellt. Nach ein paar weiteren Versuchen wird die E-Mail zurück an den Absender geschickt (Bounce).

Aber woher wissen Sie, wie viele Verbindungen fehlgeschlagen sind? Die TLS-Berichte dienen lediglich dazu, Sie über erfolgreiche und fehlgeschlagene E-Mails zu informieren.

Wie in den DMARC-Berichten werden auch in den TLS-Berichten die Gründe für fehlgeschlagene Verbindungen angegeben. Für das Scheitern gibt es drei allgemeine Gründe:

  • Fehlgeschlagene TLS-Aushandlung
  • DNS-bezogene Probleme
  • MTA-STS-Probleme
  • Wie DMARC-Berichte werden auch TLS-Berichte an einen bestimmten URI (Uniform Resource Identifier) geliefert, der über einen DNS-TXT-Eintrag eingerichtet wird.

Der String enthält:

  • Die TLS-Version („v=“)
  • Den URI (Uniform Resource Identifier), der die Berichte erhalten soll („rua=“). Diese Zeile kann mehr als einen Wert enthalten, der durch ein Komma getrennt wird.

Hier ist der String eines DNS-Eintrags:

“v=TLSRPTv1; rua=mailto:[email protected],https://tlsrpt.example.com/v1”

Die Struktur des TLS-Berichts

Im Gegensatz zu den DMARC-XML-Berichten sind die SMTP-TLS-Berichte einfach zu lesen und zu verstehen. Die Berichtsdatei liegt im JSON-Format vor, und hier sind einige der Komponenten, die Sie darin sehen werden:

  • report-id: Der eindeutige Berichtsidentifikator.
  • date-range: Der Zeitrahmen für die gesammelten Ergebnisse, der als Unterkategorie das Anfangs- und Enddatum enthält.
  • organization-name: Der Name der berichtenden Partei.
  • contact-info: Die Kontaktinformationen.
  • policies: Dieser Abschnitt kann Informationen über die verschiedenen aktiven Richtlinien für die gegebene Domain (STARTTLS, DANE, DNSSEC, MTA-STS) enthalten. Im Falle von MTA-STS beispielsweise wird in diesem Abschnitt der String der Richtliniendatei wiederholt (mehr über die Datei und ihre Syntax weiter unten).
  • summary: Dieser Abschnitt schließt mit der Zählung der erfolgreichen und fehlgeschlagenen Sitzungen ab.
  • failure-details: Und schließlich wird in diesem Teil angegeben, was schief gelaufen ist. Der „Ergebnistyp“ kann einen der über 10 festgelegten Werte annehmen, je nachdem, was die Ursache des Fehlers ist. Diese Zeile enthält auch Informationen über den sendenden Server, die empfangende IP und den MX-Hostnamen. Schließlich können Sie die Anzahl der Fehlschläge noch einmal bestätigen.

Dennoch ist es besser, sie in ein für Menschen lesbares Format zu bringen. {Hier ist der Vorschlag von EasyDMARC.}

Wie funktioniert MTA-STS?

MTA-STS ist eine Richtlinie, die die TLS-Verbindung bei jeder an Ihr Ökosystem gesendeten E-Mail verifiziert. Sie teilt dem sendenden SMTP-Server mit, dass die Kommunikation mit Ihrem E-Mail-Server verschlüsselt sein muss und der Domain-Name im TLS-Zertifikat und die Richtlinie übereinstimmen. Wie oben beschrieben, stellt dieser Prozess sicher, dass die gesamte Kommunikation, die an Ihren Posteingang geliefert wird, verschlüsselt ist.

Die Richtlinie enthält einen zweiteiligen Mechanismus: Die MTA-STS-Datei, die auf einem HTTPS-fähigen Webserver veröffentlicht wird, und ein DNS-TXT-Eintrag, der Absendern mitteilt, dass Ihre Domain MTA-STS unterstützt.

Sobald alles eingerichtet ist, erhalten Sie über TLS-RPT Berichte zu Fehlern und Problemen. Die sendenden Server speichern die MTA-STS-Datei im Cache und verwenden sie wiederholt für einen im Dokument angegebenen Zeitraum. Nach Ablauf der Frist fordern die Server die Datei erneut an.

Nachdem Sie nun die grundlegenden Prinzipien verstanden haben, wollen wir die beiden Komponenten der MTA-STS-Richtlinie näher betrachten.

Die MTA-STS-Datei

Wie wir bereits besprochen haben, ist MTA-STS eine TXT-Datei, die über HTTPS ausgeführt wird. Schauen wir uns an, was sie enthält. Obwohl es sich um eine einfache TXT-Datei handelt, sollte sie eine bestimmte Syntax haben, damit der sendende Server sie „lesen und interpretieren“ kann, wie Sie vielleicht vermuten. Die Datei enthält die folgenden Komponenten:

  • version: Welche Version der Richtlinien-Datei Sie gerade sehen. Die korrekte Syntax sieht vor, dass diese Zeile zuerst eingefügt wird. Andere Komponenten können in beliebiger Reihenfolge folgen.
  • mode: Dies ist der Modus der Richtlinie. Er kann die folgenden Werte annehmen:
  • testing: Die Nachrichten, die das TLS nicht passieren, werden nicht blockiert, aber Sie können Daten über sie sammeln. Aktivieren Sie TLS-RPT, um die Berichte zu erhalten. (ahnlich wie die Quarantäne-Richtlinie in DMARC)
  • enforce: In diesem Modus bedeutet das Scheitern des TLS, dass die E-Mails nicht zugestellt werden (ähnlich wie bei der DMARC-Reject-Richtlinie). Sie erhalten jedoch weiterhin Berichte.
  • none: Während die obigen Modi in gewisser Weise mit DMARC-Richtlinien vergleichbar sind, ist diese Richtlinie sehr unterschiedlich. Die „none“-Richtlinie in Ihrer MTA-STS-Datei bedeutet die vollständige Deaktivierung der Richtlinie.
  • mx: Um diesen Teil auszufüllen, müssen Sie Ihre MX-Einträge aus dem DNS ziehen. Geben Sie jeden Host in einer eigenen Zeile an, um die Syntax der Datei einzuhalten.
  • max_age: Diese Komponente gibt an, wie lange der Absender die Richtlinie zwischenspeichern soll. Die Zahl wird in Sekunden angegeben und sollte im Testmodus zwischen 604.800 und 1.209.600 (1-2 Wochen) und im Durchsetzungsmodus zwischen 24 Stunden (86.400 Sekunden) und 31.557.600 (ein Jahr) liegen.
  • Der MTA-STS-DNS-Eintrag

Damit die Absender „wissen“, dass Sie die MTA-STS-Richtlinie implementiert haben, müssen Sie einen DNS-Eintrag einrichten. Er verweist auf die Datei mit der Richtlinie und enthält die folgenden Komponenten:

  • “v=:” ist die Versionsnummer der Richtlinie.
  • “id=:” ist die Kennnummer der Richtlinie und sollte sich ändern, sobald die Richtlinie aktualisiert wird.

Was sind die Voraussetzungen für MTA-STS?

Nicht jeder Server kann mit der Richtlinie MTA Strict Transport Security umgehen. Hier sind einige Voraussetzungen, die Sie vor der Einrichtung prüfen sollten:

  • Kann E-Mail-Übertragungen über eine TLS-Verbindung akzeptieren
  • Verwendet mindestens TLS Version 1.2
  • Die TLS-Zertifikate sollten:
  • auf dem neuesten Stand sein
  • dieselben Server haben, die in Ihren MX-Einträgen erwähnt sind
  • von einer Stammzertifizierungsstelle anerkannt sein

Implementierung Ihrer MTA-STS-Richtlinie

Die Einrichtung Ihrer MTA-STS-DNS-Richtlinie ist relativ einfach. Aber so wichtig es auch ist, die begehrte Richtlinie „enforce“ zu erreichen, der Wechsel von „testing“ in den Durchsetzungsmodus erfordert höchste Aufmerksamkeit. Andernfalls könnten Sie eine Reihe wichtiger E-Mails von wichtigen Absendern verpassen.

Im Folgenden finden Sie einige Schritte, die Sie vor der Erstellung des DNS-Eintrags und der MTA-STS-Datei selbst ausführen müssen:

  • Listen Sie alle Domains und Subdomains auf, die Sie schützen wollen.
  • Verwenden Sie einen TLS-Checker, um eventuelle Probleme mit der Konfiguration zu erkennen.
  • Vergewissern Sie sich, dass die Zertifikate auf dem neuesten Stand sind und die TLS-Version 1.2 oder höher ist.
  • Stellen Sie sicher, dass Ihr Server das Secure Socket Layer-Zertifikat (SSL) unterstützt. HTTP reicht nicht aus – Sie brauchen HTTPS.
  • Verwenden Sie eine ganzheitliche Lösung, um die Einhaltung der Richtlinien zu erleichtern.

Nun, da Sie alles vorbereitet haben, können Sie mit dem dreistufigen Implementierungsprozess beginnen:

Schritt 1. Erstellen Sie die Datei mit der Richtlinie

Erstellen Sie zunächst die MTA-STS-Richtlinien-Datei. Folgen Sie der Syntax, die wir oben beschrieben haben. Setzen Sie den Modus zunächst auf „testing“, um zu sehen, wie sich die Richtlinie verhält.

Schritt 2. Laden Sie die TXT-Datei ins Internet hoch

Stellen Sie sicher, dass die Datei auf Anfrage im Internet zugänglich ist, damit die Absender sie finden können, sobald der DNS-Eintrag auf sie verweist. Die URL sollte dieser Syntax folgen:

https://mta-sts.example.com/.well-known/mta-sts.txt

Das bedeutet, dass Sie einen „.well-known“-Ordner erstellen und das Dokument dort ablegen sollten.

Schritt 3. Veröffentlichen Sie den DNS-Eintrag

Über diesen einfachen DNS-Befehl haben wir bereits oben gesprochen. Veröffentlichen Sie ihn einfach, bestätigen Sie ihn und gehen Sie zur nächsten Phase über, der TLS-Konfiguration.

Schritt 4. Richten Sie das TLS-RPT ein

Erstellen Sie den DNS-TLS-Eintrag wie oben beschrieben und beginnen Sie mit dem Empfang der Berichte. Vergessen Sie nicht, dass dies ein MTA-STS-Test ist. Sobald Sie sehen, dass alles korrekt funktioniert, können Sie zum nächsten Schritt übergehen.

Schritt 5. Ändern Sie den Modus auf „Enforce“

Nach diesem ersten MTA-STS-Test können Sie, wenn alles reibungslos läuft, den Modus in der MTA-STS-Datei auf „enforce“ setzen. Dadurch werden unverschlüsselte E-Mails gefiltert.

Schritt 6. Aktualisieren Sie die Versions-ID in Ihrem DNS-Eintrag

Vergessen Sie nicht, als letzten Schritt den DNS mit der neuen Versions-ID zu aktualisieren.

Fazit

Bei EasyDMARC ging es schon immer um Schutz. DMARC schützt Ihr Unternehmen nach innen und außen. Dennoch ist die Sicherheit eingehender Kommunikation ein ständiges Thema. Die Richtlinie MTA-STS ist ein weiterer Schritt, um Sie vor Lauschangriffen, Manipulationen der Kommunikation und Downgrading-Angriffen zu schützen.

Nach der Erläuterung von MTA-STS überlassen wir es Ihnen, die neuen Tools und Verfahren zu erkunden. Überstürzen Sie nichts, gehen Sie nicht zu früh zur Durchsetzung über und seien Sie gründlich.

Der Weg zum sicheren E-Mail-Verkehr ist manchmal überwältigend, und Sie müssen akribisch und technisch vorgehen. Es gibt jedoch nichts Besseres als den Seelenfrieden, den Sie haben, wenn Sie sehen, dass die Mechanismen für Sie funktionieren.