Nieuwe veiligheidsstandaarden Gmail voorkomen ‘SMTP-man-in-the-middle’-aanvallen

Google’s Gmail ondersteunt als eerste grote e-mailprovider MTA-STS en TLS reporting. De twee nieuwe veiligheidsstandaarden helpen e-mailproviders bij het tot stand brengen van cryptografisch beveiligde verbindingen om zo SMTP-man-in-the-middle-aanvallen te voorkomen.

De nieuwe veiligheidsstandaarden zijn extensies van het Simple Mail Transfer Protocol (SMTP), een protocol waarmee alle e-mails worden verzonden. Zogeheten SMTP man-in-the-middle-aanvallen vormen een groot probleem voor het hedendaagse e-maillandschap. Malafide exploitanten van e-mailservers zijn in staat om e-mails te onderscheppen, lezen en wijzigingen aan te brengen. 

De twee nieuwe standaarden zouden deze aanvallen moeten voorkomen, door legitieme e-mailproviders toe te staan een beveiligd kanaal te creëren voor het uitwisselen van e-mails. 

MTA-STS

SMTP MTA Strict Transport Security (MTA-STS) stelt beheerders van e-mailservers in staat om een MTA-STS-beleid op hun server in te stellen. Hierdoor is het mogelijk voor een legitieme provider om voor externe e-mailservers de beveiliging van SMTP-verbindingen te verifiëren. Een actie die wordt uitgevoerd vóórdat e-mails worden verzonden.

Ook is het mogelijk om minimale eisen toe te kennen, afhankelijk van de voorkeuren. Zo kan een externe e-mailserver bijvoorbeeld gedwongen worden om zichzelf te verifiëren met een geldig openbaar certificaat gecodeerd met TLS 1.2 of hoger. E-mails die naar de server van een bedrijf worden verzonden, kunnen zo via een verplicht en correct gecodeerd kanaal reizen.

TLS Reporting

Naast MTA-STS is ook TLS Reporting toegevoegd als nieuwe veiligheidsstandaard. Deze SMTP-extensie betreft een rapportagemechanisme, waarmee een legitieme e-mailserver dagelijkse rapporten van andere e-mailservers kan opvragen. Het gaat dan om rapporten over bijvoorbeeld succesvolle of mislukte e-mails, die naar het domein van de legitieme server zijn verzonden.

Wanneer MTA-STS en TLS reporting worden gecombineerd, kunnen ze e-mailserverbeheerders SMTP man-in-the-middle-aanvallen tegen hun eigen e-mailverkeer helpen voorkomen of identificeren.

Standaardisatie

ZDnet vermoedt dat ook Microsoft, Comcast en Yahoo snel zullen volgen in het uitrollen van MTA-STS en TLS Reporting. Zeker gezien alle drie de partijen met Google-engineers samengewerkt zouden hebben in het standaardiseren van de twee SMTP-beveiligingsextensies bij de Internet Engineering Task Force (IETF). De organisatie die internetstandaarden goedkeurt, heeft overigens ook al de twee beveiligingsextensies gestandaardiseerd: MTA-STS is IETF standard RFC 8461 en TLS Reporting is IETF standard RFC 8460.

Lees ook: Gmail werkt aan een functie om e-mails te plannen