Ein neuer Standard zur Absicherung von Verbindungen zwischen Mailservern und Zertifikaten soll den E-Mail-Versand sicherer machen. MTA-STS hat zum Ziel, die E-Mail-Kommunikation gegen Lauschangriffe und Manipulation abzusichern.
MTA-STS ist die Abkürzung für „Mail Transfer Agent – Strict Transport Security“ (RFC8461). Beteiligt an der Entwicklung waren unter anderem die großen Mailserver-Betreiber, wie Google, Microsoft oder Oath. Ein Mailserver signalisiert mit MTA-STS, dass TLS-gesicherte Verbindungen unterstützt werden. Der anfragende Mailserver wird angewiesen, künftig ausschließlich verschlüsselte Verbindungen zu akzeptieren. Über DNS und HTTPS werden die STS-Informationen bereitgestellt.
„Mit MTA-STS ist tatsächlich der Durchbruch gelungen, die E-Mail-Kommunikation vor Lauschangriffen sowie Manipulation abzusichern, indem er die Verschlüsselung für den Mail-Transport via SMTP erzwingt und so die Verbindung zwischen zwei Servern schützt“, zeigt sich Christian Heutger, IT-Sicherheitsexperte und CTO der PSW Group erfreut.
„Mit STARTTLS, S/MIME, PGP, DANE oder DMARC gibt es zwar schon genügend SMTP-Abkürzungen. Sie alle haben jedoch ihre Schwächen. STARTTLS beispielsweise verhindert zwar das Mitlauschen von Nachrichten, Cyberkriminelle können jedoch leicht verhindern, dass die verschlüsselte Verbindung überhaupt aufgebaut wird. Sie müssen dafür lediglich den STARTTLS-Befehl aus der Verbindung filtern. DANE für SMTP hingegen setzt auf eine Namensauflösung per DNSSEC. Einige große Provider implementierten DANE zügig, jedoch blieb er für zahlreiche Administratoren bis heute nicht umsetzbar, da sich nicht jede Domain per DNSSEC auflösen lässt. Somit konnte sich DANE nie richtig durchsetzen“, blickt Heutger zurück.
„Solche Schwächen können mithilfe von MTA-STS nun deutlich minimiert werden, da MTA-STS den unverschlüsselten E-Mail-Versand zwischen zwei Mailservern von vornherein unterbindet“, so der IT-Sicherheitsexperte. Mit MTA-STS ist es dem empfangenden Mailserver möglich, dem versendenden Mailserver per DNS mitzuteilen, dass dieser TLS zur Transportverschlüsselung nutzen soll. Der Versand-Mailserver wird vor dem E-Mail-Versand in die Lage versetzt, eine MTA-STS-Policy von einem Webserver abzurufen. Hierin wird definiert, welche E-Mail-Server die E-Mails per TLS entgegennehmen. Der Versand-Server speichert eben diese Policy für eine Dauer, die definiert werden kann. Innerhalb dieses Zeitraums werden E-Mails ausschließlich per TLS zugestellt. „Durch diesen Vorgang werden beispielsweise Man-in-the-middle-Attacken (MITM-Attacken) effektiv verhindert. Im Prinzip handelt es sich bei MTA-STS also um eine erzwungene Verschlüsselung für Mailserver“, fasst Christian Heutger zusammen.
Autor: Peter Schmitz
(c)2019
Vogel Communications Group
Bitte beachten Sie
Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.
Vogel Communications Group
