STARTTLS

Onderwerpen

  1. In het kort
  2. Hoe werkt het
  3. Waarom zou jij je hier druk om maken?
  4. Test STARTTLS op jouw domein
  5. Wat kun je doen aan de foutmeldingen

1. In het kort

Het STARTTLS is een protocol (afspraak of standaard) dat een verbinding start dat niet cryptografisch versleuteld is. Met andere woorden je zou alle gegevens in die communicatie op het netwerk kunnen inzien. E-mails verzenden (SMTP) is van oudsher onversleuteld. Net als met een beveiligde website verbinding, gebruiken mailservers TLS om met certificaten een beveiligde verbinding op te bouwen.

2. Hoe werkt het

Om zowel de oude technologie (backward compatible) als de moderne technologie te kunnen gebruiken biedt STARTTLS de mogelijkheid om beide te gebruiken. Met STARTTLS wordt eerst over de onversleutelde verbinding TLS als optie aangeboden zodat de communicatie verder versleuteld (met zogenaamde Cipher Suites) kan verlopen. De mailservers die mail willen afleveren zonder een TLS verbinding op te zetten kunnen zo toch nog mails afleveren.

3. Waarom zou jij je hier druk om maken

De mailservers die mail willen afleveren zonder een TLS verbinding op te zetten kunnen zo toch nog mails afleveren. Het probleem daarmee is dat misbruik kan worden gemaakt van een niet beveiligde verbinding. STARTTLS is de basis van een veilige verbinding, maar er kan veel mis gaan. Zoals:

  • verlopen TLS-certificaten
  • certificaten die niet de serverdomeinnamen bevatten (mx.voorbeeld.nl)
  • de uitgegeven certificaten zijn afkomstig van onbetrouwbare derde partijen
  • er wordt een verouderde TLS versie gebruikt (lager dan versie 1.2, huidig is TLS versie 1.3)
  • gebruik van onvoldoende veilige Cipher Suites en overige beveiligde protocollen

De fouten in STARTTLS onderdelen, of erger de afwezigheid ervan, betekent een onveilige verbinding tussen jouw mailserver en die van de verzender. Door dit toe te laten staat jouw mailserver bloot aan man-in-the-middle-aanvallen en andere typen schadelijke aanvallen en kunnen e-mails, zonder dat jouw mailserver en die van de verzender, worden aangepast met schadelijke data.

4. Test STARTTLS op jouw domein

Er zijn verschillende tests. Op Cadra wordt testen met internet.nl gepromoot. Die geeft een heel goed beeld van de kwaliteit. Voor een meer technisch inzicht van wat er gebeurt kun je een rapport opstellen met https://www.checktls.com.

Let op: Alhoewel dit de veiligheid aanzienlijk verhoogt, kan het nadelige gevolgen voor de communicatie. Je sluit hiermee mogelijk een groep uit waar je mee wil communiceren, maar de beveiliging niet op orde heeft.

4.1. MTA-STS

Een onderdeel dat eind 2018 is toegevoegd is de aanwezigheid van MTA-STS. Net als SPF, DKIM en DMARC is ook dit een stukje tekst dat in de domein administratie wordt opgenomen. Het verplicht de mailserver dat een e-mail bericht naar de mailserver op jouw domein wil afleveren dat er een versleutelde verbinding tussen de twee computers wordt opgebouwd. Wanneer dit niet zo is, wordt de verbinding niet opgezet.

Cadra heeft dit onderwerp nog niet uitgewerkt, maar je kunt in dit artikel tests uitvoeren en artikelen over lezen.

5. Wat kun je doen aan foutmeldingen?

Behalve het uitvoeren van tests (zie hierboven) en vast te stellen of het in orde is kun je niet doen. Wanneer dit niet in orde is kun je de webhoster verzoeken dit in orde te maken, maar als dit nu nog niet in orde is is het is een duidelijke indicatie dat beveiliging niet hoog op de prioriteitenlijst staat. Iets anders dus wel en dat zal overal binnen dat bedrijf resoneren. Het zou een goede aanleiding zijn om de mail, maar misschien ook het domein te verhuizen. Cadra heeft gekozen voor een mailprovider in de cloud met G Suite Business, maar ook Office 365 is een prima oplossing. Het domein is ondergebracht bij TransIP*.

*) Met deze link ondersteun je Cadra.nl. Naast klant is Cadra.nl ook affiliate bij TransIP.

Heb je vragen, suggesties of een aanvulling / correctie op de artikelen? Stuur dan een bericht naar info@.