En 1982, cuando se especificó por primera vez SMTP, no contenía ningún mecanismo para proporcionar seguridad a nivel de transporte para asegurar las comunicaciones entre los agentes de transferencia de correo. Sin embargo, en 1999 se añadió a SMTP el comando STARTTLS que, a su vez, soportaba el cifrado de los correos electrónicos entre los servidores, proporcionando la capacidad de convertir una conexión no segura en una segura cifrada mediante el protocolo TLS.

Sin embargo, el cifrado es opcional en SMTP, lo que implica que los correos electrónicos pueden enviarse incluso en texto plano. Agente de transferencia de correo-Seguridad de transporte estricta (MTA-STS) es un estándar relativamente nuevo que permite a los proveedores de servicios de correo la capacidad de imponer la seguridad de la capa de transporte (TLS) para asegurar las conexiones SMTP, y especificar si los servidores SMTP remitentes deben rechazar la entrega de correos electrónicos a hosts MX que no ofrezcan TLS con un certificado de servidor fiable. Se ha demostrado que mitiga con éxito los ataques de degradación de TLS y los ataques Man-In-The-Middle (MITM). Informes SMTP TLS (TLS-RPT) es un estándar que permite informar de los problemas de conectividad TLS que experimentan las aplicaciones que envían correos electrónicos y detectar configuraciones erróneas. Permite informar de los problemas de entrega de correo electrónico que tienen lugar cuando un correo electrónico no está cifrado con TLS. En septiembre de 2018 el estándar se documentó por primera vez en el RFC 8460.

¿Por qué sus correos electrónicos requieren encriptación en tránsito?

El objetivo principal es mejorar la seguridad a nivel de transporte durante la comunicación SMTP y garantizar la privacidad del tráfico de correo electrónico. Además, el cifrado de los mensajes entrantes y salientes mejora la seguridad de la información, utilizando la criptografía para salvaguardar la información electrónica. Por otra parte, los ataques criptográficos como el Man-In-The-Middle (MITM) y el TLS Downgrade han ido ganando popularidad en los últimos tiempos y se han convertido en una práctica habitual entre los ciberdelincuentes, que se puede eludir aplicando el cifrado TLS y ampliando el soporte a los protocolos seguros.

¿Cómo se lanza un ataque MITM?

Dado que el cifrado tuvo que ser adaptado al protocolo SMTP, la actualización para la entrega cifrada tiene que depender de un comando STARTTLS que se envía en texto claro. Un atacante MITM puede explotar fácilmente esta característica realizando un ataque de downgrade en la conexión SMTP manipulando el comando de actualización, forzando al cliente a volver a enviar el correo electrónico en texto plano.

Tras interceptar la comunicación, un atacante MITM puede robar fácilmente la información descifrada y acceder al contenido del correo electrónico. Esto se debe a que el SMTP, que es el estándar de la industria para la transferencia de correo, utiliza un cifrado oportunista, lo que implica que el cifrado es opcional y los correos electrónicos pueden seguir entregándose en texto claro.

¿Cómo se lanza un ataque de degradación de TLS?

Dado que el cifrado tuvo que ser adaptado al protocolo SMTP, la actualización para la entrega cifrada tiene que depender de un comando STARTTLS que se envía en texto claro. Un atacante MITM puede explotar esta característica realizando un ataque de downgrade en la conexión SMTP manipulando el comando de actualización. El atacante puede simplemente sustituir el STARTTLS por una cadena que el cliente no identifique. Por lo tanto, el cliente vuelve a enviar fácilmente el correo electrónico en texto plano.

En resumen, un ataque de downgrade se lanza a menudo como parte de un ataque MITM, con el fin de crear una vía para permitir un ataque que no sería posible en caso de una conexión cifrada sobre la última versión del protocolo TLS, sustituyendo o borrando el comando STARTTLS y haciendo retroceder la comunicación a texto claro.

Además de mejorar la seguridad de la información y mitigar los ataques de vigilancia generalizados, el cifrado de mensajes en tránsito también resuelve múltiples problemas de seguridad de SMTP.

Lograr el cifrado TLS reforzado de los correos electrónicos con MTA-STS

Si no transporta sus correos electrónicos a través de una conexión segura, sus datos podrían verse comprometidos o incluso modificados y manipulados por un ciberatacante. Aquí es donde MTA-STS interviene y soluciona este problema, permitiendo el tránsito seguro de sus correos electrónicos, así como mitigando con éxito los ataques criptográficos y mejorando la seguridad de la información mediante la aplicación del cifrado TLS. En pocas palabras, MTA-STS hace que los correos electrónicos se transfieran por una vía cifrada TLS, y en caso de que no se pueda establecer una conexión cifrada, el correo electrónico no se entrega en absoluto, en lugar de entregarse en texto claro. Además, los MTA almacenan archivos de políticas MTA-STS, lo que dificulta a los atacantes el lanzamiento de un ataque de suplantación de DNS.

 

El MTA-STS ofrece protección contra el :

  • Ataques a la baja
  • Ataques Man-In-The-Middle (MITM)
  • Resuelve múltiples problemas de seguridad de SMTP, como los certificados TLS caducados y la falta de compatibilidad con protocolos seguros.

Los principales proveedores de servicios de correo, como Microsoft, Oath y Google, apoyan el MTA-STS. Google, que es el mayor actor del sector, ocupa el centro de la escena al adoptar cualquier protocolo, y la adopción de MTA-STS por parte de Google indica la ampliación del apoyo a los protocolos seguros y destaca la importancia del cifrado del correo electrónico en tránsito.

Solución de problemas en la entrega de correo electrónico con TLS-RPT

Los informes TLS de SMTP proporcionan a los propietarios de dominios informes de diagnóstico (en formato de archivo JSON) con detalles elaborados sobre los correos electrónicos que se han enviado a su dominio y que se enfrentan a problemas de entrega, o que no se han podido entregar debido a un ataque de degradación u otros problemas, de modo que pueda solucionar el problema de forma proactiva. Tan pronto como habilite TLS-RPT, los Agentes de Transferencia de Correo conocidos comenzarán a enviar informes de diagnóstico sobre los problemas de entrega de correo electrónico entre los servidores que se comunican con el dominio de correo electrónico designado. Los informes se envían normalmente una vez al día, cubriendo y transmitiendo las políticas MTA-STS observadas por los remitentes, las estadísticas de tráfico, así como la información sobre fallos o problemas en la entrega del correo electrónico.

La necesidad de desplegar TLS-RPT :

  • En caso de que un correo electrónico no se envíe a su destinatario debido a algún problema de entrega, se le notificará.
  • TLS-RPT ofrece una mayor visibilidad de todos sus canales de correo electrónico para que pueda conocer mejor todo lo que ocurre en su dominio, incluidos los mensajes que no se entregan.
  • TLS-RPT proporciona informes de diagnóstico en profundidad que le permiten identificar y llegar a la raíz del problema de entrega del correo electrónico y solucionarlo sin demora.

Adopción de MTA-STS y TLS-RPT más fácil y rápida gracias a PowerDMARC

MTA-STS requiere un servidor web habilitado para HTTPS con un certificado válido, registros DNS y un mantenimiento constante. PowerDMARC le hace la vida mucho más fácil al gestionar todo eso por usted, completamente en segundo plano: desde la generación de certificados y el archivo de políticas MTA-STS hasta la aplicación de políticas, le ayudamos a eludir las tremendas complejidades que implica la adopción del protocolo. Una vez que le ayudamos a configurarlo con unos pocos clics, no tendrá que volver a pensar en ello.

Con la ayuda de los servicios de autenticación de correo electrónico de PowerDMARC, puede implementar MTA-STS alojados en su organización sin complicaciones y a un ritmo muy rápido, con la ayuda de los cuales puede hacer que los correos electrónicos se envíen a su dominio a través de una conexión cifrada TLS, haciendo así que su conexión sea segura y manteniendo a raya los ataques MITM.

PowerDMARC le facilita la vida haciendo que el proceso de implementación de los informes SMTP TLS (TLS-RPT) sea fácil y rápido, al alcance de su mano. Tan pronto como se registre en PowerDMARC y habilite los informes SMTP TLS para su dominio, nos encargaremos de convertir los complicados archivos JSON que contienen sus informes de problemas de entrega de correo electrónico, en documentos sencillos y legibles (por resultado y por fuente de envío), que podrá revisar y comprender con facilidad. La plataforma de PowerDMARC detecta automáticamente y transmite posteriormente los problemas a los que se enfrenta en la entrega del correo electrónico, para que pueda abordarlos y resolverlos rápidamente.

Regístrese para obtener su DMARC gratuito hoy mismo.