Un estándar de Internet ampliamente conocido que facilita mejorando la seguridad de las conexiones entre servidores SMTP (Simple Mail Transfer Protocol) es el SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). El MTA-STS resuelve los problemas existentes en la seguridad del correo electrónico SMTP aplicando el cifrado TLS en tránsito.
Historia y origen de la MTA-STS
En el año 1982, SMTP se especificó por primera vez y no contenía ningún mecanismo para proporcionar seguridad a nivel de transporte para asegurar las comunicaciones entre los agentes de transferencia de correo. Sin embargo, en 1999, se añadió el comando STARTTLS a SMTP que a su vez soportaba la encriptación de correos electrónicos entre los servidores, proporcionando la capacidad de convertir una conexión no segura en una segura que se encripta utilizando el protocolo TLS.
En ese caso, te estarás preguntando si SMTP adoptó STARTTLS para asegurar las conexiones entre servidores, por qué fue necesario el cambio a MTA-STS, y para qué sirve. Vamos a entrar en eso en las siguientes secciones de este blog.
¿Qué es MTA-STS? (Agente de Transferencia de Correo de Seguridad Estricta de Transporte - Explicación)
MTA-STS es un estándar de seguridad que garantiza la transmisión segura de correos electrónicos a través de una conexión SMTP cifrada. Las siglas MTA significan Message Transfer Agent (Agente de Transferencia de Mensajes), que es un programa que transfiere mensajes de correo electrónico entre ordenadores. Las siglas STS significan Strict Transport Security, que es el protocolo utilizado para implementar el estándar. Un agente de transferencia de correo (MTA) o un agente de transferencia de mensajes seguro (SMTA) con MTA-STS funciona de acuerdo con esta especificación y proporciona un canal seguro de extremo a extremo para el envío de correo electrónico a través de redes no seguras.
El protocolo MTA-STS permite que un cliente SMTP verifique la identidad del servidor y se asegure de que no se está conectando a un impostor, exigiendo al servidor que proporcione la huella digital de su certificado en el apretón de manos TLS. A continuación, el cliente verifica el certificado con un almacén de confianza que contiene certificados de servidores conocidos.
La necesidad de pasar al MTA-STS
STARTTLS no era perfecto, y no conseguía solucionar dos problemas importantes: el primero es que se trata de una medida opcional, por lo que STARTTLS no consigue evitar los ataques man-in-the-middle (MITM). Esto se debe a que un atacante MITM puede modificar fácilmente una conexión e impedir que se produzca la actualización del cifrado. El segundo problema es que, aunque se implemente STARTTLS, no hay forma de autenticar la identidad del servidor emisor, ya que los servidores de correo SMTP no validan los certificados.
Aunque la mayoría de los correos electrónicos salientes hoy en día están protegidos con el cifrado Transport Layer Security (TLS), un estándar de la industria adoptado incluso por el correo electrónico de los consumidores, los atacantes todavía pueden obstruir y manipular su correo electrónico incluso antes de que se cifre. Si el correo electrónico se transporta a través de una conexión segura, sus datos podrían verse comprometidos o incluso ser modificados y manipulados por un ciberatacante. Aquí es donde MTA-STS interviene y soluciona este problema, garantizando el tránsito seguro de sus correos electrónicos, así como mitigando con éxito los ataques MITM. Además, los MTA almacenan archivos de políticas MTA-STS, lo que dificulta a los atacantes el lanzamiento de un ataque de suplantación de DNS.
El MTA-STS ofrece protección contra el :
- Ataques a la baja
- Ataques Man-In-The-Middle (MITM)
- Resuelve múltiples problemas de seguridad de SMTP, como los certificados TLS caducados y la falta de compatibilidad con protocolos seguros.
¿Cómo funciona el MTA-STS?
El protocolo MTA-STS se despliega mediante un registro DNS que especifica que un servidor de correo puede obtener un archivo de políticas de un subdominio específico. Este archivo de políticas se obtiene a través de HTTPS y se autentifica con certificados, junto con la lista de nombres de los servidores de correo del destinatario. La implementación de MTA-STS es más fácil en el lado del destinatario en comparación con el lado del remitente, ya que requiere ser soportado por el software del servidor de correo. Aunque algunos servidores de correo soportan MTA-STS, como PostFix, no todos lo hacen.
Los principales proveedores de servicios de correo, como Microsoft, Oath y Google, admiten MTA-STS. Gmail de Google ya ha adoptado las políticas de MTA-STS en los últimos tiempos. MTA-STS ha eliminado los inconvenientes en la seguridad de las conexiones de correo electrónico haciendo que el proceso de asegurar las conexiones sea fácil y accesible para los servidores de correo soportados.
Las conexiones de los usuarios a los servidores de correo suelen estar protegidas y encriptadas con el protocolo TLS, pero a pesar de ello existía una falta de seguridad en las conexiones entre servidores de correo antes de la implantación del MTA-STS. Con el aumento de la concienciación sobre la seguridad del correo electrónico en los últimos tiempos y el apoyo de los principales proveedores de correo de todo el mundo, se espera que la mayoría de las conexiones entre servidores estén cifradas en un futuro reciente. Además, el MTA-STS garantiza eficazmente que los ciberdelincuentes de las redes no puedan leer el contenido del correo electrónico.
Implantación fácil y rápida de servicios MTA-STS alojados por PowerDMARC
MTA-STS requiere un servidor web habilitado para HTTPS con un certificado válido, registros DNS y un mantenimiento constante. La herramienta de análisis DMARC de PowerDMARC le facilita mucho la vida, ya que se encarga de todo eso por usted, completamente en segundo plano. Una vez que le ayudamos a configurarlo, no tendrá que volver a pensar en ello.
Con la ayuda de PowerDMARC, puede desplegar el MTA-STS alojado en su organización sin complicaciones y a un ritmo muy rápido, con la ayuda del cual puede hacer que los correos electrónicos se envíen a su dominio a través de una conexión cifrada TLS, haciendo así que su conexión sea segura y manteniendo a raya los ataques MITM.
- ¿Cómo arreglar "El registro DNS tipo 99 (SPF) ha sido obsoleto"? - 9 de marzo de 2023
- SPF DKIM DMARC: Los elementos fundamentales de la autenticación del correo electrónico - 9 de marzo de 2023
- ¿Qué es un ataque de fuerza bruta y cómo funciona? - 9 de marzo de 2023