Un estándar de Internet ampliamente conocido que facilita mejorando la seguridad de las conexiones entre servidores SMTP (Simple Mail Transfer Protocol) es el SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).
En el año 1982, se especificó por primera vez SMTP y no contenía ningún mecanismo para proporcionar seguridad a nivel de transporte para asegurar las comunicaciones entre los agentes de transferencia de correo. Sin embargo, en 1999, se añadió el comando STARTTLS a SMTP que a su vez soportaba la encriptación de los correos electrónicos entre los servidores, proporcionando la capacidad de convertir una conexión no segura en una segura que se encripta utilizando el protocolo TLS.
En ese caso, debes estar preguntándote que si SMTP adoptó STARTTLS para asegurar las conexiones entre servidores, ¿por qué fue necesario el cambio a MTA-STS? Vamos a entrar en eso en la siguiente sección de este blog!
La necesidad de pasar al MTA-STS
STARTTLS no era perfecto, y no conseguía solucionar dos problemas importantes: el primero es que se trata de una medida opcional, por lo que STARTTLS no consigue evitar los ataques man-in-the-middle (MITM). Esto se debe a que un atacante MITM puede modificar fácilmente una conexión e impedir que se produzca la actualización del cifrado. El segundo problema es que, aunque se implemente STARTTLS, no hay forma de autenticar la identidad del servidor emisor, ya que los servidores de correo SMTP no validan los certificados.
Aunque la mayoría de los correos electrónicos salientes hoy en día están protegidos con el cifrado Transport Layer Security (TLS), un estándar de la industria adoptado incluso por el correo electrónico de los consumidores, los atacantes todavía pueden obstruir y manipular su correo electrónico incluso antes de que se cifre. Si el correo electrónico se transporta a través de una conexión segura, sus datos podrían verse comprometidos o incluso modificados y manipulados por un ciberatacante. Aquí es donde MTA-STS interviene y soluciona este problema, garantizando el tránsito seguro de sus correos electrónicos, así como mitigando con éxito los ataques MITM. Además, los MTA almacenan archivos de políticas MTA-STS, lo que dificulta a los atacantes el lanzamiento de un ataque de suplantación de DNS.
El MTA-STS ofrece protección contra el :
- Ataques a la baja
- Ataques Man-In-The-Middle (MITM)
- Resuelve múltiples problemas de seguridad de SMTP, como los certificados TLS caducados y la falta de compatibilidad con protocolos seguros.
¿Cómo funciona el MTA-STS?
El protocolo MTA-STS se despliega mediante un registro DNS que especifica que un servidor de correo puede obtener un archivo de políticas de un subdominio específico. Este archivo de políticas se obtiene a través de HTTPS y se autentifica con certificados, junto con la lista de nombres de los servidores de correo de los destinatarios. La implementación de MTA-STS es más fácil en el lado del destinatario en comparación con el lado del remitente, ya que requiere ser soportado por el software del servidor de correo. Aunque algunos servidores de correo soportan MTA-STS, como PostFix, no todos lo hacen.
Los principales proveedores de servicios de correo, como Microsoft, Oath y Google, admiten MTA-STS. Gmail de Google ya ha adoptado las políticas de MTA-STS en los últimos tiempos. MTA-STS ha eliminado los inconvenientes en la seguridad de las conexiones de correo electrónico haciendo que el proceso de asegurar las conexiones sea fácil y accesible para los servidores de correo soportados.
Las conexiones de los usuarios a los servidores de correo suelen estar protegidas y encriptadas con el protocolo TLS, pero a pesar de ello existía una falta de seguridad en las conexiones entre servidores de correo antes de la implantación del MTA-STS. Con el aumento de la concienciación sobre la seguridad del correo electrónico en los últimos tiempos y el apoyo de los principales proveedores de correo de todo el mundo, se espera que la mayoría de las conexiones entre servidores estén cifradas en un futuro reciente. Además, el MTA-STS garantiza eficazmente que los ciberdelincuentes de las redes no puedan leer el contenido del correo electrónico.
Implantación fácil y rápida de servicios MTA-STS alojados por PowerDMARC
MTA-STS requiere un servidor web habilitado para HTTPS con un certificado válido, registros DNS y un mantenimiento constante. PowerDMARC le hace la vida mucho más fácil al gestionar todo eso por usted, completamente en segundo plano. Una vez que le ayudamos a configurarlo, no tendrá que volver a pensar en ello.
Con la ayuda de PowerDMARC, puede desplegar el MTA-STS alojado en su organización sin complicaciones y a un ritmo muy rápido, con la ayuda del cual puede hacer que los correos electrónicos se envíen a su dominio a través de una conexión cifrada TLS, haciendo así que su conexión sea segura y manteniendo a raya los ataques MITM.
