Problemet: e-mail-kryptering er frivillig
E-mail-transport mellem servere bruger som udgangspunkt “opportunistisk” kryptering: serverne krypterer, hvis begge parter kan — men falder lydløst tilbage til klartekst, hvis ikke. En angriber med adgang til netværksvejen kan udnytte det med et nedgraderingsangreb: han fjerner blot krypteringstilbuddet, og mailen sendes ukrypteret, hvor den kan læses og manipuleres.
For en virksomhed, der modtager kontrakter, persondata eller fakturaer pr. mail, er det et reelt hul.
Sådan lukker MTA-STS hullet
Med MTA-STS publicerer I en politik (en lille tekstfil på https://mta-sts.jeresdomæne.dk plus en DNS-record), der siger: “Mail til os SKAL leveres over TLS med gyldigt certifikat — ellers lad være.” Afsendende servere, der understøtter standarden (herunder Microsoft og Google), cacher politikken og nægter derefter at falde tilbage til klartekst.
I enforce-tilstand er nedgraderingsangrebet dermed elimineret for al trafik fra de store udbydere.
TLS-RPT: jeres øjne på leveringen
TLS-RPT (TLS Reporting) er en DNS-record, der beder afsendende servere sende daglige rapporter om TLS-fejl til en adresse, I vælger. Rapporterne afslører certifikatproblemer, fejlkonfigurationer — og aktive angrebsforsøg. Uden TLS-RPT kører MTA-STS i blinde: I opdager først problemer, når vigtige mails udebliver.
Sammen med SPF, DKIM og DMARC udgør MTA-STS/TLS-RPT den komplette moderne e-mail-sikkerhedsstak: DMARC beskytter mod forfalskning af afsender, MTA-STS beskytter indholdet under transport.