Neuer Verschlüsselungsstandard MTA-STS

E-Mails vor Lauschangriffen und Manipulation schützen

| Redakteur: Peter Schmitz

Der neue Verschlüsselungsstandard MTA-STS gestaltet den E-Mail-Versand und -Empfang sicherer.
Der neue Verschlüsselungsstandard MTA-STS gestaltet den E-Mail-Versand und -Empfang sicherer. (Bild: gemeinfrei / Pixabay)

Ein neuer Standard zur Absicherung von Verbindungen zwischen Mailservern und Zertifikaten soll den E-Mail-Versand sicherer machen. MTA-STS hat zum Ziel, die E-Mail-Kommunikation gegen Lauschangriffe und Manipulation abzusichern.

MTA-STS ist die Abkürzung für „Mail Transfer Agent – Strict Transport Security“ (RFC8461). Beteiligt an der Entwicklung waren unter anderem die großen Mailserver-Betreiber, wie Google, Microsoft oder Oath. Ein Mailserver signalisiert mit MTA-STS, dass TLS-gesicherte Verbindungen unterstützt werden. Der anfragende Mailserver wird angewiesen, künftig ausschließlich verschlüsselte Verbindungen zu akzeptieren. Über DNS und HTTPS werden die STS-Informationen bereitgestellt.

„Mit MTA-STS ist tatsächlich der Durchbruch gelungen, die E-Mail-Kommunikation vor Lauschangriffen sowie Manipulation abzusichern, indem er die Verschlüsselung für den Mail-Transport via SMTP erzwingt und so die Verbindung zwischen zwei Servern schützt“, zeigt sich Christian Heutger, IT-Sicherheitsexperte und CTO der PSW Group erfreut.

Mit DANE kommen E-Mails beim richtigen Empfänger an

Mehr E-Mail-Sicherheit mit DANE

Mit DANE kommen E-Mails beim richtigen Empfänger an

03.09.19 - Das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities) erweitert die verbreitete Transportwegverschlüsselung SSL/TLS und sorgt so dafür, dass E-Mails mit Sicherheit beim Richtigen ankommen. DANE verhindert außerdem Man-in-the-Middle-Angriffe, indem es das Zusammenspiel von DNSSEC (Domain Name System Security Extensions) und SSL/TLS sichert. lesen

„Mit STARTTLS, S/MIME, PGP, DANE oder DMARC gibt es zwar schon genügend SMTP-Abkürzungen. Sie alle haben jedoch ihre Schwächen. STARTTLS beispielsweise verhindert zwar das Mitlauschen von Nachrichten, Cyberkriminelle können jedoch leicht verhindern, dass die verschlüsselte Verbindung überhaupt aufgebaut wird. Sie müssen dafür lediglich den STARTTLS-Befehl aus der Verbindung filtern. DANE für SMTP hingegen setzt auf eine Namensauflösung per DNSSEC. Einige große Provider implementierten DANE zügig, jedoch blieb er für zahlreiche Administratoren bis heute nicht umsetzbar, da sich nicht jede Domain per DNSSEC auflösen lässt. Somit konnte sich DANE nie richtig durchsetzen“, blickt Heutger zurück.

„Solche Schwächen können mithilfe von MTA-STS nun deutlich minimiert werden, da MTA-STS den unverschlüsselten E-Mail-Versand zwischen zwei Mailservern von vornherein unterbindet“, so der IT-Sicherheitsexperte. Mit MTA-STS ist es dem empfangenden Mailserver möglich, dem versendenden Mailserver per DNS mitzuteilen, dass dieser TLS zur Transportverschlüsselung nutzen soll. Der Versand-Mailserver wird vor dem E-Mail-Versand in die Lage versetzt, eine MTA-STS-Policy von einem Webserver abzurufen. Hierin wird definiert, welche E-Mail-Server die E-Mails per TLS entgegennehmen. Der Versand-Server speichert eben diese Policy für eine Dauer, die definiert werden kann. Innerhalb dieses Zeitraums werden E-Mails ausschließlich per TLS zugestellt. „Durch diesen Vorgang werden beispielsweise Man-in-the-middle-Attacken (MITM-Attacken) effektiv verhindert. Im Prinzip handelt es sich bei MTA-STS also um eine erzwungene Verschlüsselung für Mailserver“, fasst Christian Heutger zusammen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46106617 / Verschlüsselung)