Referansekatalogen for IT-standarder er oppdatert

Anbefalingen om transportsikring av e-post er oppdatert med to nye standarder

Publisert: 18. jan 2019, Sist endret: 29. jan 2019

Siden 2016 har Referansekatalogen for IT-standarder anbefalt bruk av mekanismen STARTTLS som beskrevet i standarden «SMTP Service Extension for Secure SMTP over Transport Layer Security» (RFC 3207) for transportsikring av e-post mellom e-post servere. 
Bruken av denne mekanismen gjør at de aller fleste e-postmeldinger i dag er sikret med kryptering når de overføres mellom e-post servere, men RFC 3207 har noen kjente sårbarheter. Det er utviklet flere løsninger som reduserer risikoen for brudd på transportsikringen og vi har derfor oppdatert anbefalingen.

Med denne oppdateringen ønsker vi å redusere både risikoen for sikkerhetsbrudd som skyldes mellommannsangrep og risikoen for at transportsikringen utilsiktet ikke virker på grunn av feil.

SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (RFC 7672)

Reduserer risikoen for mellommannsangrep.

Publisert i 2015.

Anbefaling oppdatert med to nye standarder

Vi anbefaler å bruke «SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security» (RFC 7672). Dette reduserer risikoen for mellommannsangrep. Vi regner RFC 7672 som en tilstrekkelig moden standard og både Nederland og USA har anbefalt bruk av denne. I Tyskland kreves standarden for sertifisering av sikker e-post.

SMTP TLS Reporting (RFC 8460)

Detekterer mellommannsangrep og utilsiktede feil.

Publisert i 2018.

Det er fremdeles anbefalt å støtte RFC 3207 for kommunikasjon med virksomheter som ikke støtter RFC 7672.

Vi anbefaler også bruk av mekanismen «SMTP TLS Reporting» (RFC 8460). Dette gir mulighet for at serveren som skal sende e-post også kan sende rapporter om feil ved etablering av sikker kommunikasjon og gir mulighet til å detektere både mellommannsangrep og utilsiktede feil.

Vi har også oppdatert anbefalingen av standarden for kryptering til TLS 1.3 (RFC 8446). Det er fremdeles nødvendig med støtte for TLS 1.2, men eldre versjoner enn 1.2 bør ikke brukes.

Viktige forutsetninger

Anbefalingen for transportsikring av e-post og for den saks skyld anbefalingen for å motvirke falske avsendere av e-post, gir kun beskyttelse for transporten mellom e-post servere. Det er også nødvendig å vurdere risikoen for at trusselaktører skaffer seg tilgang som brukere av virksomhetenes systemer. I denne forbindelsen minner vi om standardene «Message Submission for Mail» (RFC 6409) og «Cleartext Considered Obsolete: Use of Transport Layer Security (TLS) for Email Submission and Access» (RFC 8314) som handler om kommunikasjonen mellom brukerens e-postapplikasjon og e-post serveren.

Andre standarder for transportsikring av e-post

SMTP MTA Strict Transport Security (RFC 8461)

Reduserer risiko for brudd på transportsikring.

Publisert i 2018.

Det er flere aktører som arbeider med sikkerhetstiltak og standarder som skal redusere risikoen for brudd på transportsikringen. En standard ble publisert i september i fjor: «SMTP MTA Strict Transport Security (MTA-STS)» (RFC 8461). Aktørene som har foreslått denne er Comcast, Google og Microsoft. Denne standarden kan brukes sammen med RFC 7672. Derfor har vi ikke sett noen grunn til å vente med å oppdatere anbefalingen for transportsikring av e-post, men vi regner det som sannsynlig at det blir nødvendig å vurdere en ny oppdatering av anbefalingen som tar hensyn til RFC 8461. 

Anbefalingene er publisert i referansekatalogen for IT-standarder under bruksområdet Grunnleggende datakommunikasjon.

Deldette

Kontakt