Gmail eerste grote provider die MTA-STS-standaard ondersteunt
Gmail is de eerste grote e-mailprovider die de SMTP MTA Strict Transport Security (MTA-STS) standaard ondersteunt, zo heeft Google bekendgemaakt. Dit moet gebruikers tegen man-in-the-middle-aanvallen beschermen, aldus de internetgigant. Voor het versturen en ontvangen van e-mail maakt Gmail gebruik van het Simple Mail Transfer Protocol (SMTP).
Het protocol biedt volgens Google alleen "opportunistische encryptie" en veel SMTP-servers doen niets tegen aanvallen waarbij e-mail onderweg wordt onderschept. "SMTP is daarom kwetsbaar voor man-in-the-middle-aanvallen", zegt Nicolas Kardas van Google Cloud. MTA-STS maakt gebruik van encryptie en authenticatie om dergelijke aanvallen te voorkomen.
Via een MTA-STS-beleid voor een domein kan externe mailservers die e-mails naar het domein willen sturen worden verzocht om alleen berichten te versturen wanneer de SMTP-verbinding is geauthenticeerd met een geldig publiek certificaat en versleuteld met TLS 1.2 of hoger. Dit kan worden gecombineerd met TLS reporting, waarbij het domein rapportages van externe mailservers kan opvragen met informatie over het succes of mislukkingen van e-mails die volgens het MTA-STS-beleid naar het domein zijn gestuurd.
Gmail ondersteunt MTA-STS en TLS reporting voor domeinen die dergelijk beleid hebben ingesteld. Google hoopt dat andere mailproviders zullen volgen, om zo e-mailcommunicatie veiliger te maken. Het instellen van MTA-STS en TLS reporting voor inkomende e-mail moet worden gedaan via DNS-records en serverinstellingen, zoals Google op deze pagina uitlegt.
Ja, mooi geboend hoor google. Helaas is PKI nog steeds een drol. Ook als je het op email loslaat.
Uiteindelijk gaat het hier om.
"Wij hebben de halve wereldbevolking voorzien van E-mail. Particulier of zakelijk, en als jij nog met ons wilt E-mailen moet je je confirmeren aan onze standaarden, die zijn er voor jouw veiligheid, daar kun je toch niet op tegen zijn?.
Of je neemt gewoon onze producten verplicht af, dan heb je nergens last van...."
.... You can be EVIL, just conceal it in unicorn wrapping-paper ...
Uiteindelijk gaat het hier om.
Inderdaad jij snapt het. Het is gewoon weer een monopolie creeeren en standaarden forceren. Wanneer wordt die EU nu eens wakker en laat het zich niet standaarden van Google forceren, maar maakt ze haar eigen. Prutsers overal
Uiteindelijk gaat het hier om.
"Wij hebben de halve wereldbevolking voorzien van E-mail. Particulier of zakelijk, en als jij nog met ons wilt E-mailen moet je je confirmeren aan onze standaarden, die zijn er voor jouw veiligheid, daar kun je toch niet op tegen zijn?.
Of je neemt gewoon onze producten verplicht af, dan heb je nergens last van...."
.... You can be EVIL, just conceal it in unicorn wrapping-paper ...
Onze standaarden zijn een beetje dubbel, ze hanteren open standaarden maar hun policy is om geen plain text email te ontvangen meer..
En voor wat betreft de kosten (waar hierboven wat opmerkingen over staan): Zowel voor de TLS op je MTA als op je webserver (beiden zijn nodig voor MTA-STS) kan je letsencrypt gebruiken. Ook voor een hobbyist moet het te doen zijn een webservertje met een enkele file op te tuigen en die op https te laten draaien.
En voor wat betreft de kosten (waar hierboven wat opmerkingen over staan): Zowel voor de TLS op je MTA als op je webserver (beiden zijn nodig voor MTA-STS) kan je letsencrypt gebruiken. Ook voor een hobbyist moet het te doen zijn een webservertje met een enkele file op te tuigen en die op https te laten draaien.
Nee je kunt niet letsencrypt gebruiken, want dan moet je je infrastructuur inrichten zoals zij dat willen.
En voor wat betreft de kosten (waar hierboven wat opmerkingen over staan): Zowel voor de TLS op je MTA als op je webserver (beiden zijn nodig voor MTA-STS) kan je letsencrypt gebruiken. Ook voor een hobbyist moet het te doen zijn een webservertje met een enkele file op te tuigen en die op https te laten draaien.
Nee je kunt niet letsencrypt gebruiken, want dan moet je je infrastructuur inrichten zoals zij dat willen.
Ik heb hier met minimale aanpassingen de boel kunnen configureren om de validatie van letsencrypt te kunnen uitvoeren en dat periodiek te automatiseren, en ik zie niet in hoe dat een probleem vormt voor de gemiddelde thuisknutselaar (waar de eerdere opmerkingen over dure certificaten over gingen).
Het gebruik van MTA-STS en TLS-RPT is net als DANE (icm DNSSEC) optioneel en is een extra beveiligingslaag om fraude en MiTM aanvallen te voorkomen. Het slaat nergens op dat als je straks deze techniek niet hebt je niet meer kan e-mailen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.