tls de encriptação

Agente de Transferência de Correio - Segurança de Transporte Restrita (MTA-STS)

MTA-STS, muito semelhante ao que o nome sugere, é um protocolo que permite o transporte encriptado de mensagens entre dois servidores de correio SMTP. MTA-STS especifica para o envio de servidores que as mensagens de correio electrónico só devem ser enviadas através de uma ligação encriptada TLS, e não devem ser entregues no caso de não ser estabelecida uma ligação segura através do comando STARTTLS. Ao aumentar a segurança dos e-mails em trânsito, o MTA-STS ajuda a mitigar os ataques Man-In-The-Middle (MITM), tais como ataques de downgrade de SMTP, e ataques de spoofing de DNS.

Como é que a MTA-STS assegura a encriptação de mensagens em trânsito?

Tomemos um exemplo simples para compreender como as mensagens são encriptadas durante o fluxo de correio electrónico. Se um MTA estiver a enviar um e-mail para [email protected]o MTA realiza uma consulta DNS para descobrir para quais MTAs o e-mail deve ser enviado. O pedido DNS é enviado para ir buscar os registos MX do powerdmarc.com. A MTA de envio liga-se subsequentemente à MTA de recepção encontrada no resultado da consulta DNS, perguntando se este servidor receptor suporta a encriptação TLS. Se o fizer, o e-mail é enviado através de uma ligação encriptada, contudo, se não o fizer, o MTA remetente não consegue negociar uma ligação segura e envia o e-mail em texto simples.

O envio de e-mails por uma via não encriptada abre o caminho para ataques de monitorização invasivos como o MITM e SMTP downgrade. Vamos descobrir como:

Quebrar a Anatomia de um Ataque MITM

Essencialmente, um ataque MITM ocorre quando um atacante substitui ou apaga o comando STARTTLS para fazer o rollback da ligação segura a um sem segurança, sem encriptação TLS. Isto é referido como um ataque de downgrade. Após realizar com sucesso um ataque de downgrade, o atacante pode aceder e visualizar o conteúdo do e-mail sem obstáculos.

Um atacante MITM também pode substituir os registos MX na resposta de consulta DNS por um servidor de correio a que tenham acesso e que estejam em controlo. O agente de transferência de correio nesse caso entrega o e-mail ao servidor do atacante, permitindo-lhe aceder e manipular o conteúdo do e-mail. O correio electrónico pode subsequentemente ser encaminhado para o servidor do destinatário pretendido, sem ser detectado. Isto é conhecido como um ataque de spoofing DNS.

Ataque de downgrade SMTP

Assegurar a encriptação com MTA-STS

Sempre que envia e-mails utilizando o servidor SMTP dos seus fornecedores de serviços de e-mail como o Gmail ou a Microsoft, os e-mails são transferidos do servidor de envio para o servidor de recepção através do Simple Mail Transfer Protocol (SMTP). Contudo, o SMTP permite a encriptação oportunista, implicando que a comunicação entre servidores SMTP pode ou não ser encriptada para evitar manipulação ou espionagem do conteúdo do correio electrónico. O MTA-STS é publicado usando HTTPS, protegendo-o contra ataques MITM.

MTA-STS assegura a entrega de correio electrónico por: 

  • Aplicação da encriptação TLS

  • Servir os registos MX a partir de um servidor HTTPS-secure

serviços mta sts alojados
hospedou MTA STS

O protocolo MTA-STS é implementado através de um registo DNS que especifica que um servidor de correio pode ir buscar um ficheiro de política a um subdomínio específico. Este ficheiro de apólice é obtido via HTTPS e autenticado com certificados, juntamente com a lista de nomes dos servidores de correio dos destinatários. O protocolo especifica a um servidor SMTP que a comunicação com o outro servidor SMTP deve ser encriptada e que o nome de domínio no certificado deve corresponder ao domínio do ficheiro de apólice. Se o MTA-STS for aplicado, no caso de um canal encriptado não poder ser negociado, a mensagem não é de todo entregue.

O ficheiro de políticas da MTA-STS

O ficheiro de política MTA-STS é essencialmente um ficheiro de texto simples, que se parece com o seguinte:

versão: STSv1
modo: impor
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
max_age: 604800

Nota: O campo da versão deve ser incluído no início do ficheiro de texto enquanto outros campos podem ser incorporados em qualquer ordem.

O ficheiro de apólice usa emparelhamento de valores chave com cada valor codificado numa linha separada no ficheiro de texto, como mostrado acima. O tamanho deste ficheiro pode estender-se até 64 KB. O nome do ficheiro de apólice deve ser mta-sts.txt. Os ficheiros da apólice devem ser actualizados sempre que adicionar ou alterar servidores de correio no seu domínio.

Nota: A colocação do MTA-STS no modo de aplicação pode fazer com que alguns e-mails não lhe sejam entregues. Por conseguinte, é aconselhável definir o modo de política para teste e optar por uma idade máxima baixa para garantir que tudo está a funcionar correctamente antes de mudar para o modo de aplicação da política. Recomendamos a configuração do TLS-RPT para a sua política em modo de teste também para ser notificado caso as mensagens de correio electrónico sejam enviadas em texto simples. 

política da mta sts

Publicação do ficheiro de políticas da MTA-STS

A fim de publicar o ficheiro de política MTA-STS, o servidor web que aloja o seu ficheiro deve:

  • Apoio HTTPS/SSL
  • O certificado do servidor deve ser assinado e validado por uma autoridade certificadora de raiz de terceiros.

Para publicar um ficheiro de política para o seu domínio, deve criar um servidor web público com o subdomínio "mta-sts" adicionado ao seu domínio. O ficheiro de apólice criado deve ser publicado no directório .well-known criado no subdomínio. O URL do seu ficheiro de política MTA-STS carregado pode aparecer algo parecido com isto:

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

hospedou MTA STS

Registo DNS MTA-STS

Um registo DNS TXT para MTA-STS é publicado no DNS do seu domínio para especificar que o seu domínio suporta o protocolo MTA-STS e para sinalizar a actualização dos valores em cache nos MTAs no caso de a política ser alterada. O registo DNS da MTA-STS é colocado no subdomínio _mta-sts como em: _mta-sts.powerdmarc.com. O registo TXT deve começar com v=STSv1, e o "id" pode conter até 32 caracteres alfanuméricos, incluídos da seguinte forma:

 v=STSv1; id=30271001S00T000;

Nota: O valor de id do registo TXT deve ser actualizado para um novo valor cada vez que se introduzem alterações na apólice. 

O Registo DNS MTA-STS está habituado a: 

  • Especificar o apoio à MTA-STS para o domínio
  • Assinalar o MTA para voltar a buscar a política sobre HTTPS no caso de a política ser alterada

Note-se que com o registo DNS MTA-STS TXT, o ficheiro de política pode ser armazenado por MTAs durante um período de tempo mais longo sem ter de voltar a buscar a política, a menos que esta tenha sido alterada, ao mesmo tempo que se faz uma consulta DNS sempre que se recebe um e-mail para o domínio.

Configuração de MTA-STS para o seu domínio

A fim de permitir a MTA-STS para o seu domínio, ser-lhe-ia exigido que o fizesse:

  • Adicionar um registo DNS do tipo cname em mta-sts.example.com, direccionado para o servidor web HTTPS que aloja o ficheiro de política MTA-STS.

  • Adicione um registo DNS do tipo txt ou cname em _mta-sts.example.com que especifica o apoio à MTA-STS para o seu domínio.

  • Configure um servidor web HTTPS com um certificado válido para o seu domínio.

  • Habilite os relatórios SMTP TLS para o seu domínio a detectar problemas na entrega de correio electrónico devido a falhas na encriptação TLS.

ícone do spf record lookup powerdmarc

Desafios enfrentados durante a implementação manual do MTA-STS

MTA-STS requer um servidor web HTTPS com um certificado válido, registos DNS, e manutenção constante, o que torna o processo de implementação demorado, demorado e complicado. É por isso que nós no PowerDMARC o ajudamos a gerir a maioria das coisas em segundo plano, publicando apenas três registos CNAME no DNS do seu domínio.

Serviços MTA-STS Alojados PowerDMARC's

PowerDMARC torna a sua vida muito mais fácil ao lidar com tudo isso para si, completamente em segundo plano. Uma vez que o ajudamos a montá-lo, nunca mais terá sequer de pensar nisso.

  • Ajudamo-lo a publicar os seus registos de cnome com apenas alguns cliques

  • Assumimos a responsabilidade de manter o servidor web e alojar os certificados

  • Através dos nossos serviços MTA-STS alojados, a implementação da sua parte é reduzida à simples publicação de alguns registos DNS

  • Pode fazer alterações à política MTA-STS instantaneamente e com facilidade, através do painel de controlo PowerDMARC, sem ter de fazer alterações manuais ao DNS

  • Os serviços MTA-STS hospedados pelo PowerDMARC são compatíveis com as normas RFC e suportam as mais recentes normas TLS

  • Desde a geração de certificados e ficheiro de políticas MTA-STS até à aplicação de políticas, ajudamo-lo a evitar as tremendas complexidades envolvidas na adopção do protocolo

Relatório SMTP TLS (TLS-RPT)

A fim de tornar a ligação entre dois servidores SMTP comunicantes mais segura e encriptada sobre TLS, foi introduzido o MTA-STS para impor a encriptação e impedir que os e-mails sejam entregues em texto claro, no caso de qualquer um dos servidores não suportar TLS. No entanto, um problema continua por resolver, ou seja: Como notificar os proprietários de domínios se os servidores remotos enfrentam problemas na entrega de correio electrónico devido a falhas na encriptação TLS? É aqui que o TLS-RPT entra em jogo, fornecendo relatórios de diagnóstico a fim de permitir a monitorização e resolução de problemas nas comunicações do servidor, tais como certificados TLS expirados, erros de configuração nos servidores de correio electrónico, ou falha na negociação de uma ligação segura devido à falta de suporte à encriptação TLS.

Os Relatórios TLS ajudam a detectar e responder a problemas na entrega de correio electrónico através de um mecanismo de relatórios sob a forma de ficheiros JSON. Estes ficheiros JSON podem ser complicados e indecifráveis para uma pessoa não técnica.

PowerDMARC ajuda a simplificar os ficheiros JSON na forma de documentos simples. compreensíveis e legíveis com gráficos e tabelas para sua conveniência. Os relatórios de diagnóstico do seu domínio são também apresentados em dois formatos no painel de controlo PowerDMARC: por resultado e por fonte de envio.

powerdmarc tls rpt
gráficos json

Habilitação de TLS-RPT para o seu domínio

O processo de activação dos Relatórios SMTP TLS é bastante simples. Tudo o que precisa de fazer para o activar é adicionar um registo DNS TXT no local correcto, prefixando _smtp._tls. ao seu nome de domínio. Com PowerDMARC no entanto, isto pode ser configurado directamente a partir da PowerDMARC UI sem que tenha de fazer quaisquer alterações ao seu DNS!

Assim que o TLS-RPT for activado, os Agentes de Transferência de Correio aquiescentes começarão a enviar relatórios de diagnóstico relativos a problemas de entrega de correio electrónico entre servidores de comunicação para o domínio de correio electrónico designado. Os relatórios são normalmente enviados uma vez por dia, cobrindo e transmitindo as políticas MTA-STS observadas pelos remetentes, estatísticas de tráfego, bem como informações sobre falhas ou problemas na entrega de correio electrónico.

Perguntas Mais Frequentes

O painel de controlo do PowerDMARC permite-lhe configurar automaticamente MTA-STS e TLS-RPT para o seu domínio, publicando apenas três registos CNAME no DNS do seu domínio. Desde o alojamento dos ficheiros e certificados MTAS-STS até à manutenção do servidor Web, tratamos de tudo em segundo plano sem que tenha de fazer quaisquer alterações ao seu DNS. A implementação de MTA-STS da sua parte com PowerDMARC é reduzida a apenas alguns cliques.

Pode implementar e gerir MTA-STS para todos os seus domínios a partir da sua conta PowerDMARC, através de um único painel de vidro. Caso algum desses domínios esteja a utilizar servidores de recepção de correio que não suportem STARTTLS, isso irá reflectir-se nos seus relatórios TLS, desde que tenha o TLS-RPT activado para esses domínios.

É sempre aconselhável definir o seu modo de política MTA-STS para testes durante as fases iniciais de implementação, para que possa monitorizar as actividades e ganhar visibilidade no seu ecossistema de correio electrónico antes de mudar para uma política mais agressiva como a aplicação da lei. Desta forma, mesmo que os e-mails não sejam enviados através de uma ligação encriptada TLS, continuariam a ser enviados em texto simples. No entanto, certifique-se de que permite que o TLS-RPT seja notificado se tal acontecer.

O TLS-RPT é um extenso mecanismo de notificação que lhe permite ser notificado no caso de não ser possível estabelecer uma ligação segura e de o correio electrónico não lhe ser entregue. Isto ajuda-o a detectar problemas na entrega de correio electrónico ou correio electrónico entregue através de uma ligação não segura, para que possa atenuá-los e resolvê-los prontamente.

Deve ter em conta que enquanto a MTA-STS assegura que os e-mails são transferidos através de uma ligação encriptada TLS, no caso de uma ligação segura não ser negociada, o e-mail pode não conseguir ser entregue de todo. No entanto, isto é necessário, pois garante que o correio electrónico não é entregue através de uma via não encriptada. Para evitar tais problemas, é aconselhável estabelecer uma política MTA-STS sobre um modo de teste e permitir TLS-RPT para o seu domínio inicialmente, antes de prosseguir para o modo de execução MTA-STS. 

Pode alterar facilmente o seu modo MTA-STS a partir do painel de instrumentos do PowerMTA-STS, seleccionando o modo de política desejado e guardando as alterações sem a exigência de fazer quaisquer alterações ao seu DNS.

Pode desligar o MTA-STS para o seu domínio definindo o modo de política para nenhum, especificando assim aos MTAs que o seu domínio não suporta o protocolo, ou apagando o seu registo MTA-STS DNS TXT. 

Os registos MX para o ficheiro de política MTA-STS devem incluir as entradas para todos os servidores de correio de recepção que estão a ser utilizados pelo seu domínio.

Agende hoje uma demonstração
powerdmarc seguro de correio electrónico