MTA-STS: E-Mails auf dem Transportweg schützen
Bis heute hat sich kein Standard für sichere E-Mail-Kommunikation durchgesetzt. MTA-STS soll nun den Durchbruch bringen.
- Sven Krohlas
Schon lange versuchen E-Mail-Anbieter, die zu übermittelnde Kommunikation vor Lauschangriffen und Manipulation zu schützen. Der neue Standard "SMTP MTA Strict Transport Security" (MTA-STS) soll eine Brücke schlagen zwischen dem als nicht sicher genug eingestuften STARTTLS und dem oft noch nicht realisierbaren DANE (DNS-based Authentication of Named Entities). MTA-STS setzt ähnlich wie der Namensvetter HTTP Strict Transport Security (HSTS) oder Autocrypt auf Trust on First Use (TOFU) als Vertrauensanker.
Vereinfacht gesagt handelt es sich um eine Art DANE ohne DNSSEC. Die Ergebnisse der DNS-Abfragen speichert jedoch ein Cache, sodass Manipulationen bei späteren Verbindungsversuchen während der Vorhaltezeit auffallen können. Das erreicht zwar nicht das Sicherheitsniveau von DANE, erschwert aber Angriffe wie bei STARTTLS erheblich.
MTA-STA-Policy einrichten
Um die Präsenz einer MTA-STA-Policy bekannt zu geben, erhält die Empfänger-Domain im DNS einen Text-Record unter dem Label _mta.sts, beispielsweise:
Das war die Leseprobe unseres heise-Plus-Artikels "MTA-STS: E-Mails auf dem Transportweg schützen". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.