Con questo aggiornamento i proprietari di domini personalizzati devono aggiornare solo due voci DNS con il loro fornitore di dominio. Poi Tutanota e Let's Encrypt gestiranno e aggiorneranno automaticamente i certificati TLS, incluso MTA-STS. Questo semplice processo di attivazione di questa importante funzione di sicurezza non ha eguali in nessun altro provider.
Ad oggi solo Google Mail offre anche il supporto MTA-STS per i suoi utenti di dominio personalizzati, ma il processo di attivazione del supporto è molto più complicato in quanto Google non gestisce i certificati per i suoi utenti. Eppure, senza questo aggiornamento automatico, l'aggiunta di MTA-STS è troppo complessa per la maggior parte dei proprietari di domini. Automatizzando questo processo, Tutanota permette a tutti i suoi utenti di domini personalizzati di attivare facilmente MTA-STS.
La nostra missione e la missione di Let's Encrypt è di rendere internet più sicuro passo dopo passo. Let's Encrypt ha reso la gestione di TLS così facile per noi e per i nostri utenti di domini personalizzati che abbiamo ritenuto molto importante investire tempo nell'aggiunta del supporto MTA-STS anche per i domini personalizzati. A Tutanota la sicurezza e la privacy vengono sempre al primo posto.
MTA-STS (Mail Transfer Agent Strict Transport Security) è un nuovo standard che migliora la sicurezza dell'SMTP consentendo ai nomi di dominio di optare per la modalità di sicurezza strict transport layer che richiede l'autenticazione (certificati pubblici validi) e la crittografia (TLS), prevenendo così attacchi mirati di downgrade e attacchi di spoofing DNS.
In parole povere, MTA-STS è quello di inviare via e-mail a un sito web ciò che è rigoroso HTTPS: Applica la crittografia TLS ogni volta che la crittografia TLS è possibile.
A Tutanota questo è particolarmente importante per le e-mail ad altri server di posta. Tutte le email tra gli utenti di Tutanota sono criptate Ende-zu-Ende e, quindi, sempre completamente protette. Le email ad altri server di posta devono essere protette con la crittografia del livello di trasporto (TLS). Con MTA-STS abilitato, solo le email verso i server di posta che non supportano STARTTLS (che oggi sono solo molto pochi) saranno inviate utilizzando una connessione non criptata.
MTA-STS blocca diversi vettori di attacco per le email inviate via SMTP assicurandosi che le email vengano inviate solo attraverso una connessione TLS criptata tra i corrispondenti server di posta.
Un aggressore potrebbe iniettare una risposta DNS dannosa ingannando il server di posta di invio per consegnare l'e-mail a un altro server di posta controllato dall'aggressore che può poi inviare la posta al server di posta del destinatario senza che si accorga che qualcuno ha interferito.
Senza MTA-STS, la negoziazione STARTTLS potrebbe essere interrotta per ingannare il server di invio della posta in modo da inviare l'e-mail senza crittografia TLS. Con MTA-STS i server di posta applicano la crittografia TLS.
Entrambi gli attacchi consentono all'aggressore di leggere e manipolare le e-mail durante la trasmissione. Entrambi gli attacchi non sono più possibili quando MTA-STS è attivato.
Il lancio di MTA-STS per i domini personalizzati sottolinea l'attenzione di Tutanota per la privacy, la sicurezza e la facilità d'uso. Insieme cripteremo l'intero web!