Running your own mail server?
Make sure it's secure and trusted. In my latest blog post on OpenTech Pulse, i cover the four essential building blocks:
✅ SPF
✅ DKIM
✅ DMARC
✅ MTA-STS
Learn how to protect your domain from spoofing, phishing, and delivery issues.
#EmailSecurity #SelfHosting #SPF #DKIM #DMARC #MTASTS #OpenTechPuls
https://www.opentechpulse.org/Securing-Your-Self-Hosted-Mail-Server
Die kürzlich veröffentlichte Cyber-Sicherheitsempfehlung "Upgrade für die E-Mail-Sicherheit" ist ein Paradebeispiel für die lösungsorientierte Zusammenarbeit zwischen verschiedenen Abteilungen im BSI. Nur so konnten wir praxisnahe Empfehlungen aussprechen, die auf Beobachtungen der echten Welt da draußen beruhen. Oft können Unternehmen, die E-Mails über eine eigene Domain senden und empfangen, nämlich schon mit überschaubaren Aufwand ihre Sicherheit deutlich verbessern.
#MailSecurity #TeamBSI #SPF #DKIM #DMARC #STARTTLS #DNSSEC #DANE #MTASTS #TLSRPT
Think you have your email hosted with @protonprivacy's Proton Mail set up right?
Your DMARC, SPF, DKIM, and TLS-RPT are all in order because DNS is easy, but what about MTA-STS?
See @wonderfall's "Setting up MTA-STS with a custom domain on Proton Mail"
MTA-STS на вашем почтовом сервере
В данной статье мы рассмотрим настройку почтового сервера в части, касающейся политики SMTP MTA Strict Transport Security (MTA-STS). MTA-STS — стандарт, который был разработан для обеспечения использования TLS для подключений между почтовыми серверами. Крупные провайдеры почтовых служб, такие как Google, давно используют политику MTA-STS, описанную в стандарте RFC 8461 . В нашей стране, среди первых оказалась служба Mail.ru, которая с 2020 года начала применять MTA-STS.
Claudia Plattner, President of German BSI, has just been featured in an article on email security in eco's dotmagazine. It's a wake up call and invitation to enhance email security in a joined effort :blobs:
I like it :ablobsmile:
#SPF #DKIM #DMARC #DANE #TLSA #MTASTS #TLSRPT #Mailsecurity #TeamBSI @bsi
[Перевод] Атаки на понижение версии SMTP и MTA-STS
Когда был создан SMTP, он работал, передавая данный в открытом виде, поскольку тогда мы ещё не разработали решение для безопасной передачи данных, то, что мы называем сейчас «безопасность транспортного уровня» (transport layer security, TLS). Когда TLS наконец-то был готов, нам потребовалось придумать способ поэтапного внедрения TLS. Был создан STARTTLS, предлагающий шифрование «по возможности». По сути, почтовый сервер отправителя мог спросить почтовый сервер получателя: «Поддерживашь ли ты шифрование?», и, если ответ был положительным, устанавливалось TLS-соединение с использованием сертификата, предоставленного сервером. Если нет, использовалось SMTP-соединение с передачей данных в открытом виде. Любой, кто знаком с темой сетевой безопасности, увидит здесь проблему. Активно действующий злоумышленник, осуществляющий атаку «атакующий посередине» (attacker-in-the-middle, AitM), может подставить свой собственный ответ, указывая, что шифрование не поддерживается, и обманом заставить отправителя использовать открытый текст, что позволит злоумышленнику перехватывать сообщения. Это классическая атака понижения версии . Читать про MTA-STS
The Internet Security Days 2024 marked the starting point for a new effort by eco and @bsi to raise adoption of modern email security standards across Germany and worldwide. I'm honored that I was allowed to shape some of the contents of this great event and mailsecurity is finally getting the attention it deserves 💌 :blobcatthx:
https://international.eco.de/news/internet-security-days-2024-it-security-for-email-ai-and-nis2/
#DMARC #SPF #DKIM #DANE #TLSA #MTASTS #TLSRPT #Mailsecurity #TeamBSI
Any email experts know which certificate authorities are generally considered trusted for the purposes of MTA-STS validation? RFC8461 says: "It is expected that Sending MTAs use a set of trusted CAs similar to those in widely deployed web browsers and operating systems." Web browsers publish the list of CAs they trust, but I don't see equivalent docs for gmail and others.
I very much recommend this article on #EmailSecurity written by my colleague Kristina for eco's dotmagazine :blobcatreading: It'll give you a brief overview on both of our Technical Guidelines (BSI TR-03108 and BSI TR-03182) and what we released them for 😀👍
#SPF #DKIM #DMARC #DANE #TLSA #MTASTS #TLSRPT #Mailsecurity #TeamBSI
SMTP MTA Strict Transport Security (MTA-STS) is a relatively young protocol that allows you to signal the use of trusted certificates when encrypting electronic mail during SMTP transmission.
The transmission of electronic mail uses so-called opportunistic encryption. The client side connects to the server, notifies the server of its intention to encrypt the communication using STARTTLS and establishes an anonymous TLS connection, i.e. without authenticating the identity of the counterparty. If anything goes wrong at the beginning of the communication, the client switches to the backup plan and the mail is transmitted unencrypted.
The RFC even explicitly states that encryption must not be enforced for the sake of interoperability between servers. That is the reason why we have MTA-STS that is somewhat similar to HSTS in the HTTPS world. And Exchange Online in Office 365 supports MTA-STS for incoming and also outgoing emails. It just needs to be configured.
Learn how to configure MTA-STS for Office 365 from my today's blog post https://www.cswrld.com/2024/04/how-to-enable-mta-sts-in-office-365/
#mtasts #smtp #email #office365 #exchangeonline #cybersecurity #tips
MTA-STS? A must have or not?
I've updated my MailPolicyExplainer #PowerShell module. Now, it can evaluate #SPF records recursively, counting how many #DNS lookups all of those "include" tokens consume. Does your SPF record return a PermError? Try the new `-Recurse` parameter and find out!
Of course, it still checks the usual #email things: #DKIM, #DMARC, #BIMI, #DANE, #DNSSEC, #MTASTS, #NullMX records, and #IPv4 and #IPv6 reachability. Version 1.3.0 is now live in #PSGallery and on #GitHub.
https://www.powershellgallery.com/packages/MailPolicyExplainer/1.3.0
#Email can be confusing. There's the big three -- #SPF, #DKIM, and #DMARC -- but do you know how to test #MTASTS, #DANE, #TLSRPT, or #BIMI? And what about #DNSSEC?
My colleagues have asked me the same questions, so my new#opensource #PowerShell module goes out to every sysadmin, #Office365 administrator, account manager, #mailsec worker, and help desk technician out there. MailPolicyExplainer will explain it all to you. https://github.com/rhymeswithmogul/MailPolicyExplainer
Hey @Vivaldi noticed that vivaldi.net is one of the all-greens on Hardenize.
I'd move my mails to vivaldi.net, but I have size worries, still use other providers, & own domain.
Do you have any plans to implement paid size plan, & features like automatic IMAP fetch, external sending SMTP, own domain management?
#vivaldi #netsecurity #netsec #websecurity #websec #mailsecurity #mailsec #dnssec #dane #tls #tlsrpt #mtasts #spf #dmarc #dkim #security #privacy
