MTA-STS statt STARTTLS: Mit dem neuen Standard E-Mails schützen

Leider genügt STARTTLS nicht, um E-Mails auf dem Transportweg abzusichern. Und DANE lässt sich oft noch nicht umsetzen – hier kommt MTA-STS ins Spiel.

In Pocket speichern vorlesen Druckansicht 48 Kommentare lesen
MTA-STS statt STARTTLS: Mit dem neuen Standard E-Mails schützen
Lesezeit: 1 Min.

Obwohl es schon lange technisch machbar wäre, ist der Datentransfer der meisten E-Mail-Konversationen noch immer unverschlüsselt. Mit STARTTLS existiert zwar ein verbreiteter Standard, doch er lässt sich von Angreifern aushebeln – verschlüsselt der Nutzer seine Nachrichten nicht mit einem weiteren Werkzeug wie PGP, liegt der Inhalt im Klartext vor.

Erst nach den Enthüllungen durch Edward Snowden erblickte DANE 2015 das Licht der Welt. Doch wie Sven Krohlas in der aktuellen iX 12/2018 schreibt, kommt der offene Standard noch immer nicht bei den Nutzern an. Grund ist, dass DANE auf einer manipulationssicheren und authentifizierten Namensauflösung per DNSSEC aufsetzt. Aber nicht jede Domain ist per DNSSEC auflösbar.

Als Alternative soll SMTP MTA Strict Transport Security (MTA-STS) dienen – zumindest bis sich DANE durchsetzen kann. Als Vertrauensanker setzt der Standard auf Trust on First Use (TOFU). Das Ergebnis der DNS-Abfrage hinterlegt MTA-STS in einem Cache. Manipuliert ein Angreifer zu einem späteren Zeitpunkt die Verbindung, fällt das auf.

Wie Administratoren den Standard in der eigenen E-Mail-Umgebung umsetzen können und welche Mailboxprovider welchen Standard bereits unterstützen, finden Interessierte im kostenlosen Artikel:

(fo)