image

Gmail eerste grote provider die MTA-STS-standaard ondersteunt

donderdag 11 april 2019, 09:49 door Redactie, 12 reacties

Gmail is de eerste grote e-mailprovider die de SMTP MTA Strict Transport Security (MTA-STS) standaard ondersteunt, zo heeft Google bekendgemaakt. Dit moet gebruikers tegen man-in-the-middle-aanvallen beschermen, aldus de internetgigant. Voor het versturen en ontvangen van e-mail maakt Gmail gebruik van het Simple Mail Transfer Protocol (SMTP).

Het protocol biedt volgens Google alleen "opportunistische encryptie" en veel SMTP-servers doen niets tegen aanvallen waarbij e-mail onderweg wordt onderschept. "SMTP is daarom kwetsbaar voor man-in-the-middle-aanvallen", zegt Nicolas Kardas van Google Cloud. MTA-STS maakt gebruik van encryptie en authenticatie om dergelijke aanvallen te voorkomen.

Via een MTA-STS-beleid voor een domein kan externe mailservers die e-mails naar het domein willen sturen worden verzocht om alleen berichten te versturen wanneer de SMTP-verbinding is geauthenticeerd met een geldig publiek certificaat en versleuteld met TLS 1.2 of hoger. Dit kan worden gecombineerd met TLS reporting, waarbij het domein rapportages van externe mailservers kan opvragen met informatie over het succes of mislukkingen van e-mails die volgens het MTA-STS-beleid naar het domein zijn gestuurd.

Gmail ondersteunt MTA-STS en TLS reporting voor domeinen die dergelijk beleid hebben ingesteld. Google hoopt dat andere mailproviders zullen volgen, om zo e-mailcommunicatie veiliger te maken. Het instellen van MTA-STS en TLS reporting voor inkomende e-mail moet worden gedaan via DNS-records en serverinstellingen, zoals Google op deze pagina uitlegt.

Reacties (12)
11-04-2019, 10:02 door Anoniem
De algemene term voor dit soort activiteiten is "polishing the turd".

Ja, mooi geboend hoor google. Helaas is PKI nog steeds een drol. Ook als je het op email loslaat.
11-04-2019, 11:21 door Anoniem
Het zorgt er alleen maar voor dat hobbyisten (zowel 'echte' hobbyisten als mensen die niet zo secuur zijn of 2000 euro over hebben voor een certificaat) niet meer goed kunnen gaan E-mailen.
Uiteindelijk gaat het hier om.

"Wij hebben de halve wereldbevolking voorzien van E-mail. Particulier of zakelijk, en als jij nog met ons wilt E-mailen moet je je confirmeren aan onze standaarden, die zijn er voor jouw veiligheid, daar kun je toch niet op tegen zijn?.
Of je neemt gewoon onze producten verplicht af, dan heb je nergens last van...."

.... You can be EVIL, just conceal it in unicorn wrapping-paper ...
11-04-2019, 12:28 door Anoniem
Ja inderdaad iedereen geforceerd aan de amerikaanse certificates, zodat alleen zij het verkeer kunnen zien. Die vage letsencrypt club kan je ook alleen maar gebruiken als je die amazon abuse cloud whitelist.
11-04-2019, 12:54 door Anoniem
Door Anoniem: Het zorgt er alleen maar voor dat hobbyisten (zowel 'echte' hobbyisten als mensen die niet zo secuur zijn of 2000 euro over hebben voor een certificaat) niet meer goed kunnen gaan E-mailen.
Uiteindelijk gaat het hier om.

Inderdaad jij snapt het. Het is gewoon weer een monopolie creeeren en standaarden forceren. Wanneer wordt die EU nu eens wakker en laat het zich niet standaarden van Google forceren, maar maakt ze haar eigen. Prutsers overal
11-04-2019, 12:55 door Anoniem
Google moet eens gaan werken aan die spam die ze versturen. Of mij gaan betalen voor het melden van de overlast die zij veroorzaken.
11-04-2019, 13:17 door Anoniem
Door Anoniem: Het zorgt er alleen maar voor dat hobbyisten (zowel 'echte' hobbyisten als mensen die niet zo secuur zijn of 2000 euro over hebben voor een certificaat) niet meer goed kunnen gaan E-mailen.
Uiteindelijk gaat het hier om.

"Wij hebben de halve wereldbevolking voorzien van E-mail. Particulier of zakelijk, en als jij nog met ons wilt E-mailen moet je je confirmeren aan onze standaarden, die zijn er voor jouw veiligheid, daar kun je toch niet op tegen zijn?.
Of je neemt gewoon onze producten verplicht af, dan heb je nergens last van...."

.... You can be EVIL, just conceal it in unicorn wrapping-paper ...

Onze standaarden zijn een beetje dubbel, ze hanteren open standaarden maar hun policy is om geen plain text email te ontvangen meer..
11-04-2019, 14:20 door Anoniem
Ik had nog nooit van deze standaard gehoord, ik zal het toch eens gaan implementeren, zo moeilijk is het niet.

En voor wat betreft de kosten (waar hierboven wat opmerkingen over staan): Zowel voor de TLS op je MTA als op je webserver (beiden zijn nodig voor MTA-STS) kan je letsencrypt gebruiken. Ook voor een hobbyist moet het te doen zijn een webservertje met een enkele file op te tuigen en die op https te laten draaien.
11-04-2019, 15:58 door Anoniem
Door Anoniem: Ik had nog nooit van deze standaard gehoord, ik zal het toch eens gaan implementeren, zo moeilijk is het niet.

En voor wat betreft de kosten (waar hierboven wat opmerkingen over staan): Zowel voor de TLS op je MTA als op je webserver (beiden zijn nodig voor MTA-STS) kan je letsencrypt gebruiken. Ook voor een hobbyist moet het te doen zijn een webservertje met een enkele file op te tuigen en die op https te laten draaien.

Nee je kunt niet letsencrypt gebruiken, want dan moet je je infrastructuur inrichten zoals zij dat willen.
11-04-2019, 19:06 door Anoniem
Door Anoniem:
Door Anoniem: Ik had nog nooit van deze standaard gehoord, ik zal het toch eens gaan implementeren, zo moeilijk is het niet.

En voor wat betreft de kosten (waar hierboven wat opmerkingen over staan): Zowel voor de TLS op je MTA als op je webserver (beiden zijn nodig voor MTA-STS) kan je letsencrypt gebruiken. Ook voor een hobbyist moet het te doen zijn een webservertje met een enkele file op te tuigen en die op https te laten draaien.

Nee je kunt niet letsencrypt gebruiken, want dan moet je je infrastructuur inrichten zoals zij dat willen.
Kan je toelichten wat je daar precies mee bedoeld?
Ik heb hier met minimale aanpassingen de boel kunnen configureren om de validatie van letsencrypt te kunnen uitvoeren en dat periodiek te automatiseren, en ik zie niet in hoe dat een probleem vormt voor de gemiddelde thuisknutselaar (waar de eerdere opmerkingen over dure certificaten over gingen).
12-04-2019, 12:53 door Anoniem
Ik erger me dood aan het niveau van de mensen die op dit artikel reageren. Lees eerst eens zorgvuldig het artikel en de RFC's voordat je onzin uit gaat kramen. Een certificaat kost geen 2000 euro, het kan gewoon gratis met CA's zoals Let's Encrypt. Er zijn ook nog meer gratis alternatieven. De certificaten hoeven ook niet van Amerikaanse bodem te zijn. (WTF?)

Het gebruik van MTA-STS en TLS-RPT is net als DANE (icm DNSSEC) optioneel en is een extra beveiligingslaag om fraude en MiTM aanvallen te voorkomen. Het slaat nergens op dat als je straks deze techniek niet hebt je niet meer kan e-mailen.
15-04-2019, 17:37 door Anoniem
Voor de mensen die aan de slag willen met TLS Reporting in combinatie met TLSA en DANE en de rapporten willen ontvangen en analyseren is er nu een (gratis) online tool https://www.uriports.com. Het is de enige dienst die ik kon vinden met ondersteuning voor TLSRPT en is van Nederlandse bodem. Na het toevoegen van het DNS record kreeg ik de volgende dag al rapporten binnen.
16-04-2019, 07:19 door Eric-Jan H te D
Is Google zelf niet de mitm. Zij gebruiken de inhoud van onze E-mails voor hun verdienmodel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.