Sending E-Mail Today MX Priority #1 SMTP Exchange - - PowerPoint PPT Presentation

sending e mail today
SMART_READER_LITE
LIVE PREVIEW

Sending E-Mail Today MX Priority #1 SMTP Exchange - - PowerPoint PPT Presentation

Apr 12, 2023 374 likes •485 views

DANE and SMTP: TLS Protec4on for SMTP Using DANE and DNSSEC Russ Mundy & Wes Hardaker Parsons <Russ.Mundy@parsons.com> <mundy@4slabs.com> 7/17/13

slide-1
SLIDE 1

DANE ¡and ¡SMTP: ¡

TLS ¡Protec4on ¡for ¡SMTP ¡ Using ¡DANE ¡and ¡DNSSEC ¡

Russ ¡Mundy ¡& ¡Wes ¡Hardaker ¡ Parsons ¡ <Russ.Mundy@parsons.com> ¡ <mundy@4slabs.com> ¡

1 ¡ 7/17/13 ¡

slide-2
SLIDE 2

Sending ¡E-­‑Mail ¡Today ¡

  • 1. Sender transmits
  • utgoing email to

their mail server, i.e., Mail Transfer Agent (MTA)

  • 2. The sender’s MTA

uses the receiver’s DNS “MX” records to find a destination MTA address.

MX ¡Priority ¡#1 ¡ Sender’s ¡ MTA ¡ Receiver’s ¡ MTA ¡ DNS ¡ Records ¡ Email ¡ Author ¡ SMTP ¡Exchange ¡

  • 3. The sender’s MTA

sends email to the receiver’s MTA address.

2 ¡ 7/17/13 ¡

slide-3
SLIDE 3

Problem ¡#1: ¡Fake ¡MX ¡Records ¡

MX ¡Priority ¡#1 ¡ MX ¡Priority ¡#2 ¡ Sender’s ¡ MTA ¡ Receiver’s ¡ MTA’s ¡ ‘Plain’ ¡DNS ¡ Records ¡ Email ¡ Author ¡ Up-­‑To-­‑No-­‑Good ¡ Server ¡

Unfortunately, it is possible to create fake MX records, allowing an attacker to pretend to be the right “real” destination. Maybe ¡ Delivers ¡ but ¡May ¡ ¡ Not ¡

SMTP ¡Exchange ¡

3 ¡ 7/17/13 ¡

slide-4
SLIDE 4

Solu4on ¡#1: ¡DNSSEC ¡

MX ¡Priority ¡#1 ¡ M X ¡ P r i

  • r

i t y ¡ # 1 ¡ Sender’s ¡ MTA ¡ Receiver’s ¡ MTA’s ¡ DNSSEC ¡Protected ¡ Records ¡ Email ¡ Author ¡ Up-­‑To-­‑No-­‑Good ¡ Server ¡

DNSSEC ensures that only good DNS records are believable.

SMTP ¡Exchange ¡

4 ¡ 7/17/13 ¡

slide-5
SLIDE 5

Problem ¡#2: ¡Unprotected ¡SMTP ¡

MX ¡Priority ¡#1 ¡ Sender’s ¡ MTA ¡ Receiver’s ¡ MTA ¡ Email ¡ Author ¡

Most SMTP server to server exchanges are unencrypted.

E a v e s d r

  • p

p i n g ¡ I s ¡ E a s y ! ¡ SMTP ¡Exchange ¡

5 ¡ 7/17/13 ¡

slide-6
SLIDE 6

Solu4on ¡#2: ¡TLS-­‑Protected ¡SMTP ¡

MX ¡Priority ¡#1 ¡ Sender’s ¡ MTA ¡ Receiver’s ¡ MTA ¡ Email ¡ Author ¡

SMTP can run over encrypted TLS, but:

  • Few server to server exchanges have TLS turned on
  • Management of CA Trust Anchors impractical for operators
  • MTA servers don’t normally distribute trust anchor lists
  • DANE records are being defined to act as a DNS-based trust anchor

SMTP ¡Exchange ¡

6 ¡ 7/17/13 ¡

slide-7
SLIDE 7

Problem ¡#3: ¡SMTP ¡Man-­‑in-­‑the-­‑Middle ¡

Sender’s ¡ MTA ¡ Receiver’s ¡ MTA ¡ Email ¡ Author ¡

SMTP over TLS uses the “STARTTLS” command

  • Attackers “in path” can pretend to be the receiver’s MTA
  • Man-in-the-middle allows for “I don’t support STARTTLS”
  • Current default policy must be to deliver unencrypted if

TLS is unavailable

I ¡don’t ¡speak ¡ TLS, ¡sorry! ¡ Up-­‑To-­‑No-­‑Good ¡ Server ¡

7 ¡ 7/17/13 ¡

slide-8
SLIDE 8

Solu4on ¡#3: ¡SMTP ¡over ¡TLS ¡with ¡DANE ¡

Sender’s ¡ ISP ¡ Receiver’s ¡ ISP ¡ Email ¡ Author ¡

A DANE record can indicate you MUST use TLS!

MX ¡Priority ¡#1 ¡ SMTP ¡Exchange ¡

8 ¡ 7/17/13 ¡

slide-9
SLIDE 9

SMTP ¡Over ¡TLS ¡with ¡DNSSEC ¡& ¡DANE ¡

  • Protects ¡against ¡MX ¡record ¡forgeries ¡
  • Protects ¡against ¡eavesdropping ¡
  • Protects ¡against ¡STARTTLS ¡Man-­‑in-­‑the-­‑Middle ¡
  • Provides ¡secured ¡X.509 ¡trust-­‑anchors ¡for ¡TLS ¡

9 ¡ 7/17/13 ¡