• IT-Karriere:
  • Services:

MTA-STS: Neuer Standard sichert Verschlüsselung zwischen Mailservern

Ein neuer Standard soll endlich dafür sorgen, dass die Transportverschlüsselung zwischen Mailservern vernünftig abgesichert wird. Dafür wird über HTTPS eine Policy veröffentlicht.

Artikel veröffentlicht am , Hanno Böck
Die Verschlüsselung von E-Mails ist oft mangelhaft, aber zumindest in Sachen Transportverschlüsselung gibt es jetzt Verbesserungen.
Die Verschlüsselung von E-Mails ist oft mangelhaft, aber zumindest in Sachen Transportverschlüsselung gibt es jetzt Verbesserungen. (Bild: martinak15 / Wikimedia Commons/CC-BY 2.0)

Bei der Verschlüsselung von E-Mails tut sich etwas: Mit MTA-STS gibt es nun einen Standard, der die Absicherung von Verbindungen zwischen Mailservern mittels TLS und Zertifikaten gewährleistet. Dieser wurde von der IETF als RFC 8461 veröffentlicht. Gearbeitet wurde daran seit mehreren Jahren.

Inhalt:
  1. MTA-STS: Neuer Standard sichert Verschlüsselung zwischen Mailservern
  2. Policy wird via HTTPS veröffentlicht
  3. DANE konnte sich nicht durchsetzen

Damit wird ein altes Problem angegangen: Zwar können schon heute Verbindungen zwischen Mailservern mittels STARTTLS verschlüsselt werden, dieses Verfahren hat jedoch mehrere Probleme.

Zum einen ist STARTTLS rein optional. Mit einem Man-in-the-Middle-Angriff kann relativ simpel verhindert werden, dass eine verschlüsselte Verbindung aufgebaut wird. Dafür muss lediglich der entsprechende STARTTLS-Befehl aus der Verbindung herausgefiltert werden.

Zum anderen werden üblicherweise die Zertifikate bei E-Mail-Verbindungen nicht geprüft. Viele Mailhoster nutzen selbstsignierte, abgelaufene oder anderweitig ungültige Zertifikate. Die Zertifikate zu prüfen, würde auch nicht viel bringen: Da Mailserver häufig auf einem anderen Host laufen, der mittels DNS und einem sogenannten MX-Record signalisiert wird, könnte ein Angreifer auch E-Mails schlicht auf seinen eigenen Server umleiten und dort ein gültiges Zertifikat vorzeigen.

STARTTLS schützt nicht vor Man-in-the-Middle-Angriffen

Stellenmarkt
  1. Deloitte, Leipzig
  2. Porsche Deutschland GmbH, Bietigheim-Bissingen

STARTTLS bietet aus diesen Gründen keinen Schutz vor aktiven Angreifern und Man-in-the-Middle-Angriffen. Lediglich das rein passive Mitlauschen von Nachrichten kann damit verhindert werden.

Damit fehlt ein wichtiger Baustein für eine sichere Transportverschlüsselung. Verbindungen zwischen Nutzern und Servern finden heutzutage in aller Regel sicher verschlüsselt statt, entweder über die entsprechenden TLS-gesicherten Varianten von IMAP, POP3 und SMTP oder über ein HTTPS-Interface. Doch die Verbindungen zwischen den Servern sind bislang weitgehend ungeschützt.

Mit MTA-STS soll das nun anders werden. Dafür können Betreiber von Mailservern eine Policy definieren, die mittels HTTPS publiziert wird. Um MTA-STS zu nutzen, legt ein Mailserverbetreiber zunächst im DNS-Server einen TXT-Record an, der signalisiert, dass eine solche Policy vorhanden ist. Der Betreiber des Mailservers example.org würde beispielsweise unter _mta-sts.example.org im DNS folgenden Inhalt ablegen:

v=STSv1; id=96f68b7b71559074ee63475479dc4b15

Der erste Teil - v=STSv1 - gibt die Version des Standards an. Da es bislang nur eine Version von MTA-STS gibt, steht hier immer dasselbe. Die ID kann vom Serverbetreiber als eine Art Versionsnummer für die Policy gewählt werden. Sie besteht aus maximal 32 Zeichen und darf nur Zahlen und Buchstaben enthalten. Sie dient dem Caching von Policies. Die ID muss daher geändert werden, wenn eine neue Policy publiziert wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Policy wird via HTTPS veröffentlicht 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

My1 19. Mär 2019

ja die beiden DANE-Modi sind schon geil, da man eben entweder mit einem unabhängigen end...

ikhaya 06. Feb 2019

Es geht immer darum die Latte so hoch wie möglich zu legen. Wenn etwas sicherer ist als...

tsp 02. Okt 2018

"Offen" einsehbar im Sinne von Kostenlos verfügbar stimmt definitiv nicht für jeden...

RipClaw 30. Sep 2018

Das ist praktisch bei jedem Dienst den man ernsthaft betreibt so das es eine...

freebyte 29. Sep 2018

Die Verpflichtung zur Verschlüsslung hat die BaFin in DE durch die Hintertür bereits...


Folgen Sie uns
       


Amazons FireTV Cube mit Sprachsteuerung - Test

Der Fire TV Cube ist mehr als ein Fire-TV-Modell. Er kann auf Zuruf gesteuert werden und wir zeigen im Video, wie gut das gelöst ist.

Amazons FireTV Cube mit Sprachsteuerung - Test Video aufrufen
Weltraumsimulation: Die Star-Citizen-Euphorie ist ansteckend
Weltraumsimulation
Die Star-Citizen-Euphorie ist ansteckend

Jubelnde Massen, ehrliche Entwickler und ein 30 Kilogramm schweres Modell des Javelin-Zerstörers: Die Citizencon 2949 hat gezeigt, wie sehr die Community ihr Star Citizen liebt. Auf der anderen Seite reden Entwickler Klartext, statt Marketing-Floskeln zum Besten zu geben. Das steckt an.
Ein IMHO von Oliver Nickel

  1. Theatres of War angespielt Star Citizen wird zu Battlefield mit Raumschiffen
  2. Star Citizen Mit der Carrack ins neue Sonnensystem
  3. Star Citizen Squadron 42 wird noch einmal verschoben

Netzwerke: Warum 5G nicht das bessere Wi-Fi ist
Netzwerke
Warum 5G nicht das bessere Wi-Fi ist

5G ist mit großen Marketing-Versprechungen verbunden. Doch tatsächlich wird hier mit immensem technischem und finanziellem Aufwand überwiegend das umgesetzt, was Wi-Fi bereits kann - ohne dessen Probleme zu lösen.
Eine Analyse von Elektra Wagenrad

  1. Rechenzentren 5G lässt Energiebedarf stark ansteigen
  2. Hamburg Telekom startet 5G in weiterer Großstadt
  3. Campusnetze Bisher nur sechs Anträge auf firmeneigenes 5G-Netz

Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt
Medizin
Updateprozess bei Ärztesoftware Quincy war ungeschützt

In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern.
Ein Bericht von Hanno Böck

  1. Tracking TK arbeitet nicht mehr mit Ada zusammen
  2. Projekt Nightingale Google wertet Daten von Millionen US-Patienten aus
  3. Digitale Versorgung Ärzte dürfen Apps verschreiben

    •  /