TLS-RPT: transparantie bij TLS-problemen in het e-mailverkeer
TLS-RPT (SMTP TLS Reporting, RFC 8460) is een mechanisme waarmee verzendende mailservers rapporten kunnen sturen naar het ontvangende domein wanneer ze problemen ondervinden met TLS-verbindingen. Deze problemen kunnen zijn: verlopen of ongeldige certificaten, ontbrekende STARTTLS-ondersteuning, mislukte TLS-onderhandeling of schendingen van het MTA-STS- of DANE-beleid. Zonder TLS-RPT blijven deze problemen volledig onopgemerkt, omdat verzendende servers doorgaans stilzwijgend terugvallen op onversleutelde verbindingen.
De waarde van TLS-RPT ligt in de transparantie: het laat je zien hoeveel e-mails via onversleutelde verbindingen op je server aankomen en waarom. Dit is cruciaal voor naleving van regelgeving (de AVG vereist passende beveiligingsmaatregelen voor persoonsgegevens) en voor de beveiliging van bedrijfscommunicatie. Een verlopen certificaat op je mailserver kan honderden onversleutelde verbindingen per dag veroorzaken zonder dat je het weet.
TLS-RPT-configuratie
De configuratie is eenvoudig: één enkel TXT-record onder _smtp._tls.jouwdomein.com met de versie (v=TLSRPTv1) en het adres voor de rapporten (rua=). De rapporten kunnen per e-mail (mailto:) of naar een HTTPS-eindpunt (https://) worden ontvangen. Voor de meeste organisaties is de e-mailoptie het eenvoudigst in te stellen. Het HTTPS-eindpunt verdient de voorkeur bij hoge volumes of voor integratie met geautomatiseerde monitoringsystemen.
TLS-RPT-rapporten interpreteren
TLS-RPT-rapporten zijn in JSON-formaat en worden doorgaans elke 24 uur verstuurd. Elk rapport bevat: het afzenderdomein, de gedekte periode, het type toegepast beleid (MTA-STS, DANE of geen) en voor elk beleid een telling van geslaagde en mislukte sessies met het type fout. De meest voorkomende fouttypes zijn: certificate-expired, certificate-not-trusted, starttls-not-supported en sts-policy-invalid.
Gebruik onze TLS-RPT Lookup om te verifiëren of het record correct is geconfigureerd. Als het rapport fouten van het type certificate-expired toont, controleer dan het certificaat van je mailserver met SSL Check. Bij fouten van het type starttls-not-supported, controleer de SMTP-configuratie van de server met SMTP Diagnostics om er zeker van te zijn dat STARTTLS is ingeschakeld en correct werkt.
TLS-RPT in de context van e-mailbeveiliging
TLS-RPT is de natuurlijke aanvulling op MTA-STS: terwijl MTA-STS het TLS-beveiligingsbeleid definieert, levert TLS-RPT de monitoring. MTA-STS implementeren zonder TLS-RPT is als een alarmsysteem installeren zonder meldingen: het werkt, maar je weet niet wanneer het iets blokkeert of wanneer er problemen optreden. De combinatie van beide protocollen biedt zowel de bescherming als de transparantie die nodig zijn om te garanderen dat e-mails tijdens het transport altijd versleuteld zijn.
Voor een domein met een volledige en veilige e-mailconfiguratie omvat de checklist: werkende MX-records, geldig SPF, actief DKIM, DMARC met handhavingsbeleid, MTA-STS in enforce-modus en TLS-RPT voor continue monitoring. Elk protocol voegt een beveiligings- en transparantielaag toe, en het ontbreken van zelfs maar één ervan laat een gat in de bescherming achter. TLS-RPT, hoewel de nieuwste toevoeging, is het protocol dat de cirkel sluit door de telemetrie te leveren die nodig is om al het andere gezond te houden.
Het implementeren van TLS-RPT is een van de eenvoudigste taken in de gehele e-mailbeveiligingsstack: één enkel DNS-record en een speciaal e-mailadres. Er is geen reden om het niet te configureren. De rapporten die je ontvangt, kunnen beveiligingsproblemen in de e-mailbezorgingsketen aan het licht brengen waarvan je het bestaan niet kende, en stellen je in staat proactief te handelen voordat ze kritiek worden.