Beim E-Mail-Transport ist Verschlüsselung immer noch optional. Der soeben verabschiedete RFC 8461 zu SMTP MTA Strict Transport Security, kurz MTA-ST, soll das ändern. Er bringt das HSTS von HTTPS jetzt auch für Mail-Server.

Bisher konnten aktive Angreifer eine verschlüsselte SMTP-Verbindung verhindern, etwa indem sie den ungesicherten Verbindungsaufbau manipulierten. So kann etwa ein Router das starttls-Kommando durch Unsinn wie startXXX ersetzen. Dann liefert der Server die Mail in aller Regel ungesichert ab – und der Man-in-the-Middle auf dem Router kann mitlesen. Das ist kein theoretisches Problem, sondern passiert ganz real.

SMTP nur verschlüsselt

Mit MTA-STS signalisiert ein Mail-Server, dass er TLS-gesicherte Verbindungen unterstützt und weist dem anfragenden Mail-Server an, zukünftig nur noch solche verschlüsselten Verbindungen zu akzeptieren. Die STS-Informationen werden über DNS und HTTPS bereitgestellt.

Ähnliches ging auch bisher bereits via DANE. Doch dies krankt an der geringen Verbreitung des dazu erforderlichen DNSSEC. Deshalb wollen die Internet-Architekten eine Alternative für den sicheren Mail-Transport ohne DNSSEC anbieten. (ju)