Tutanota aktiviert MTA-STS für eigene Domains mit Let's Encrypt.
Die Einführung von MTA-STS für eigene Domains unterstreicht Tutanotas Fokus auf Datenschutz, Sicherheit und Benutzerfreundlichkeit.
MTA-STS für eigene Domains
Mit dieser Aktualisierung müssen Besitzer von eigenen Domains nur zwei DNS-Einträge bei ihrem Domain-Provider aktualisieren. Dann verwalten und aktualisieren Tutanota und Let’s Encrypt automatisch die TLS-Zertifikate, einschließlich MTA-STS. Dieser einfache Prozess zur Aktivierung dieses wichtigen Sicherheitsmerkmals wird von keinem anderen Anbieter erreicht.
Bisher bietet nur Google Mail auch MTA-STS-Unterstützung für Benutzer von eigenen Domains, aber der Prozess zur Aktivierung der Unterstützung ist viel komplizierter, da Google die Zertifikate für seine Benutzer nicht verwaltet. Ohne diese automatische Aktualisierung ist das Hinzufügen von MTA-STS für die meisten Domainbesitzer jedoch viel zu kompliziert. Durch die Automatisierung dieses Prozesses ermöglicht es Tutanota allen Benutzern der eigenen Domain, MTA-STS einfach einzuschalten.
Mission zur Verschlüsselung des Web
Unsere Mission und die Mission von Let’s Encrypt ist es, das Internet Schritt für Schritt sicherer zu machen. Let’s Encrypt hat die TLS-Handhabung für uns und unsere Benutzer von eigenen Domains so viel einfacher gemacht, dass wir es für sehr wichtig hielten, Zeit in das Hinzufügen von MTA-STS-Unterstützung auch für benutzerdefinierte Domains zu investieren. Bei Tutanota stehen Sicherheit und Datenschutz immer an erster Stelle.
Warum wir MTA-STS brauchen
MTA-STS (Mail Transfer Agent Strict Transport Security) ist ein neuer Standard, der die Sicherheit von SMTP verbessert, indem er es Domaininhabern ermöglicht, sich für einen strengen Sicherheitsmodus der Transportübertragung zu entscheiden, der eine Authentifizierung (gültige öffentliche Zertifikate) und Verschlüsselung (TLS) erzwingt, wodurch gezielte Downgrade-Angriffe und DNS-Spoofing-Angriffe verhindert werden.
Mit einfachen Worten: MTA-STS ist für E-Mail das, was striktes HTTPS für Webseiten ist: Es erzwingt TLS-Verschlüsselung, wann immer TLS-Verschlüsselung möglich ist.
In Tutanota ist dies besonders wichtig für E-Mails an andere Mailserver. Alle E-Mails zwischen Tutanota-Benutzern sind durchgehend verschlüsselt und somit immer vollständig gesichert. E-Mails an andere Mailserver müssen mit Transport Layer Encryption (TLS) geschützt werden. Wenn MTA-STS aktiviert ist, werden nur E-Mails an Mail-Server, die STARTTLS nicht unterstützen (was heute nur sehr wenige sind), über eine unverschlüsselte Verbindung verschickt.
Man-In-The-Middle (MITM)-Angriffe durch MTA-STS verhindern
MTA-STS stoppt mehrere Angriffsvektoren für über SMTP versandte E-Mails. Es stellt sicher, dass die E-Mails nur über eine verschlüsselte TLS-Verbindung zwischen den entsprechenden Mailservern gesendet werden.
DNS-Spoofing-Angriff
Ein Angreifer könnte eine böswillige DNS-Antwort injizieren, die den sendenden Mailserver dazu verleitet, die E-Mail an einen anderen, vom Angreifer kontrollierten Mailserver zuzustellen, der die E-Mail dann an den Mailserver des Empfängers weitersenden kann, ohne dass dieser bemerkt, dass jemand eingegriffen hat.
Herabstufungs-Angriff
Ohne MTA-STS könnte die STARTTLS-Verhandlung unterbrochen werden, um den sendenden Mail-Server auszutricksen, so dass er die E-Mail ohne TLS-Verschlüsselung sendet. Mit MTA-STS erzwingen die Mailserver eine TLS-Verschlüsselung.
Beide Angriffe ermöglichen es dem Angreifer, die E-Mail während der Übertragung zu lesen und zu manipulieren. Beide Angriffe sind nicht mehr möglich, wenn MTA-STS aktiviert ist.
Fokus auf Sicherheit
Die Einführung von MTA-STS für benutzerdefinierte Domains unterstreicht Tutanotas Fokus auf Datenschutz, Sicherheit und Benutzerfreundlichkeit. Gemeinsam werden wir das gesamte Web verschlüsseln!