Abo
  • Services:

MTA-STS: Neuer Standard sichert Verschlüsselung zwischen Mailservern

Ein neuer Standard soll endlich dafür sorgen, dass die Transportverschlüsselung zwischen Mailservern vernünftig abgesichert wird. Dafür wird über HTTPS eine Policy veröffentlicht.

Artikel veröffentlicht am , Hanno Böck
Die Verschlüsselung von E-Mails ist oft mangelhaft, aber zumindest in Sachen Transportverschlüsselung gibt es jetzt Verbesserungen.
Die Verschlüsselung von E-Mails ist oft mangelhaft, aber zumindest in Sachen Transportverschlüsselung gibt es jetzt Verbesserungen. (Bild: martinak15 / Wikimedia Commons/CC-BY 2.0)

Bei der Verschlüsselung von E-Mails tut sich etwas: Mit MTA-STS gibt es nun einen Standard, der die Absicherung von Verbindungen zwischen Mailservern mittels TLS und Zertifikaten gewährleistet. Dieser wurde von der IETF als RFC 8461 veröffentlicht. Gearbeitet wurde daran seit mehreren Jahren.

Inhalt:
  1. MTA-STS: Neuer Standard sichert Verschlüsselung zwischen Mailservern
  2. Policy wird via HTTPS veröffentlicht
  3. DANE konnte sich nicht durchsetzen

Damit wird ein altes Problem angegangen: Zwar können schon heute Verbindungen zwischen Mailservern mittels STARTTLS verschlüsselt werden, dieses Verfahren hat jedoch mehrere Probleme.

Zum einen ist STARTTLS rein optional. Mit einem Man-in-the-Middle-Angriff kann relativ simpel verhindert werden, dass eine verschlüsselte Verbindung aufgebaut wird. Dafür muss lediglich der entsprechende STARTTLS-Befehl aus der Verbindung herausgefiltert werden.

Zum anderen werden üblicherweise die Zertifikate bei E-Mail-Verbindungen nicht geprüft. Viele Mailhoster nutzen selbstsignierte, abgelaufene oder anderweitig ungültige Zertifikate. Die Zertifikate zu prüfen, würde auch nicht viel bringen: Da Mailserver häufig auf einem anderen Host laufen, der mittels DNS und einem sogenannten MX-Record signalisiert wird, könnte ein Angreifer auch E-Mails schlicht auf seinen eigenen Server umleiten und dort ein gültiges Zertifikat vorzeigen.

STARTTLS schützt nicht vor Man-in-the-Middle-Angriffen

Stellenmarkt
  1. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf
  2. Aareal Bank AG, Wiesbaden

STARTTLS bietet aus diesen Gründen keinen Schutz vor aktiven Angreifern und Man-in-the-Middle-Angriffen. Lediglich das rein passive Mitlauschen von Nachrichten kann damit verhindert werden.

Damit fehlt ein wichtiger Baustein für eine sichere Transportverschlüsselung. Verbindungen zwischen Nutzern und Servern finden heutzutage in aller Regel sicher verschlüsselt statt, entweder über die entsprechenden TLS-gesicherten Varianten von IMAP, POP3 und SMTP oder über ein HTTPS-Interface. Doch die Verbindungen zwischen den Servern sind bislang weitgehend ungeschützt.

Mit MTA-STS soll das nun anders werden. Dafür können Betreiber von Mailservern eine Policy definieren, die mittels HTTPS publiziert wird. Um MTA-STS zu nutzen, legt ein Mailserverbetreiber zunächst im DNS-Server einen TXT-Record an, der signalisiert, dass eine solche Policy vorhanden ist. Der Betreiber des Mailservers example.org würde beispielsweise unter _mta-sts.example.org im DNS folgenden Inhalt ablegen:

v=STSv1; id=96f68b7b71559074ee63475479dc4b15

Der erste Teil - v=STSv1 - gibt die Version des Standards an. Da es bislang nur eine Version von MTA-STS gibt, steht hier immer dasselbe. Die ID kann vom Serverbetreiber als eine Art Versionsnummer für die Policy gewählt werden. Sie besteht aus maximal 32 Zeichen und darf nur Zahlen und Buchstaben enthalten. Sie dient dem Caching von Policies. Die ID muss daher geändert werden, wenn eine neue Policy publiziert wird.

Policy wird via HTTPS veröffentlicht 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. ab 399€
  2. 119,90€
  3. ab 99,98€

tsp 02. Okt 2018 / Themenstart

"Offen" einsehbar im Sinne von Kostenlos verfügbar stimmt definitiv nicht für jeden...

tsp 01. Okt 2018 / Themenstart

Der ist allerdings signifikant simpler als ein kompletter HTTP Stack (+ Parser für das...

RipClaw 30. Sep 2018 / Themenstart

Das ist praktisch bei jedem Dienst den man ernsthaft betreibt so das es eine...

RipClaw 29. Sep 2018 / Themenstart

Danke für den Hinweis. Die Software kannte ich bisher noch nicht. Scheint ja ziemlich...

freebyte 29. Sep 2018 / Themenstart

Die Verpflichtung zur Verschlüsslung hat die BaFin in DE durch die Hintertür bereits...

Kommentieren


Folgen Sie uns
       


Amazons Echo Dot (2018) - Test

Echo Dot steht eigentlich für muffigen Klang. Das ändert sich grundlegend mit dem neuen Echo Dot. Amazons neuer Alexa-Lautsprecher ist damit durchaus zum Musikhören geeignet. Für einen 60 Euro teuren Lautsprecher bietet der neue Echo Dot eine gute Klangqualität.

Amazons Echo Dot (2018) - Test Video aufrufen
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Bundesnetzagentur Regierung will gemeinsames 5G-Netz auf dem Land durchsetzen
  2. Mobilfunk Telekom will 5G-Infrastruktur mit anderen gemeinsam nutzen
  3. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

    •  /