MTA-STS e TLS-RPT Guia de Implementação

Bem-vindo ao seu manual detalhado sobre MTA-STS e TLS-RPT para obter conhecimentos práticos sobre os protocolos e as suas funcionalidades.

Contactar-nos Marcar uma demonstração

Tabela de Conteúdos

O que é o agente de transferência de correio - segurança de transporte restrita (MTA-STS)?
Como é que o MTA-STS assegura a encriptação das mensagens em trânsito?
Quebrar a anatomia de um Ataque MITM
Como é que o MTA-STS assegura a encriptação TLS?
O que é o ficheiro da política MTA-STS?
Como publicar o ficheiro de políticas da MTA-STS?
O que é o registo DNS da MTA-STS?
Como implementar a MTA-STS?
O que são os cos desafios enfrentados durante a implementação manual do MTA-STS?
Serviços MTA-STS Alojados PowerDMARC's
O que é o relatório SMTP TLS (TLS-RPT)?
Como activar o TLS-RPT para o seu domínio?
Perguntas Mais Frequentes

Agente de Transferência de Correio - Segurança de Transporte Restrita (MTA-STS)

MTA-STS, muito semelhante ao que o nome sugere, é um protocolo que permite o transporte encriptado de mensagens entre dois servidores de correio SMTP. MTA-STS especifica para o envio de servidores que as mensagens de correio electrónico só devem ser enviadas através de uma ligação encriptada TLS, e não devem ser entregues no caso de não ser estabelecida uma ligação segura através do comando STARTTLS. Ao aumentar a segurança dos e-mails em trânsito, o MTA-STS ajuda a mitigar os ataques Man-In-The-Middle (MITM), tais como ataques de downgrade de SMTP, e ataques de spoofing de DNS.

Como é que a MTA-STS assegura a encriptação de mensagens em trânsito?

Tomemos um exemplo simples para compreender como as mensagens são encriptadas durante o fluxo de correio electrónico. Se um MTA estiver a enviar um e-mail para [email protected]o MTA realiza uma consulta DNS para descobrir para quais MTAs o e-mail deve ser enviado. O pedido DNS é enviado para ir buscar os registos MX do powerdmarc.com. A MTA de envio liga-se subsequentemente à MTA de recepção encontrada no resultado da consulta DNS, perguntando se este servidor receptor suporta a encriptação TLS. Se o fizer, o e-mail é enviado através de uma ligação encriptada, contudo, se não o fizer, o MTA remetente não consegue negociar uma ligação segura e envia o e-mail em texto simples.

O envio de e-mails por uma via não encriptada abre o caminho para ataques de monitorização invasivos como o MITM e SMTP downgrade. Vamos descobrir como:

Quebrar a Anatomia de um Ataque MITM

Essencialmente, um ataque MITM ocorre quando um atacante substitui ou apaga o comando STARTTLS para fazer o rollback da ligação segura a um sem segurança, sem encriptação TLS. Isto é referido como um ataque de downgrade. Após realizar com sucesso um ataque de downgrade, o atacante pode aceder e visualizar o conteúdo do e-mail sem obstáculos.

Um atacante MITM também pode substituir os registos MX na resposta de consulta DNS por um servidor de correio a que tenham acesso e que estejam em controlo. O agente de transferência de correio nesse caso entrega o e-mail ao servidor do atacante, permitindo-lhe aceder e manipular o conteúdo do e-mail. O correio electrónico pode subsequentemente ser encaminhado para o servidor do destinatário pretendido, sem ser detectado. Isto é conhecido como um ataque de spoofing DNS.

Assegurar a encriptação com MTA-STS

Sempre que envia e-mails utilizando o servidor SMTP dos seus fornecedores de serviços de e-mail como o Gmail ou a Microsoft, os e-mails são transferidos do servidor de envio para o servidor de recepção através do Simple Mail Transfer Protocol (SMTP). Contudo, o SMTP permite a encriptação oportunista, implicando que a comunicação entre servidores SMTP pode ou não ser encriptada para evitar manipulação ou espionagem do conteúdo do correio electrónico. O MTA-STS é publicado usando HTTPS, protegendo-o contra ataques MITM.

MTA-STS assegura a entrega de correio electrónico por:

Aplicação da encriptação TLS
Servir os registos MX a partir de um servidor HTTPS-secure

O protocolo MTA-STS é implementado através de um registo DNS que especifica que um servidor de correio pode ir buscar um ficheiro de política a um subdomínio específico. Este ficheiro de apólice é obtido via HTTPS e autenticado com certificados, juntamente com a lista de nomes dos servidores de correio dos destinatários. O protocolo especifica a um servidor SMTP que a comunicação com o outro servidor SMTP deve ser encriptada e que o nome de domínio no certificado deve corresponder ao domínio do ficheiro de apólice. Se o MTA-STS for aplicado, no caso de um canal encriptado não poder ser negociado, a mensagem não é de todo entregue.

O ficheiro de políticas da MTA-STS

O ficheiro de política MTA-STS é essencialmente um ficheiro de texto simples, que se parece com o seguinte:

versão: STSv1
modo: impor
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
max_age: 604800

Nota: O campo da versão deve ser incluído no início do ficheiro de texto enquanto outros campos podem ser incorporados em qualquer ordem.

O ficheiro de apólice usa emparelhamento de valores chave com cada valor codificado numa linha separada no ficheiro de texto, como mostrado acima. O tamanho deste ficheiro pode estender-se até 64 KB. O nome do ficheiro de apólice deve ser mta-sts.txt. Os ficheiros da apólice devem ser actualizados sempre que adicionar ou alterar servidores de correio no seu domínio.

Nota: A colocação do MTA-STS no modo de aplicação pode fazer com que alguns e-mails não lhe sejam entregues. Por conseguinte, é aconselhável definir o modo de política para teste e optar por uma idade máxima baixa para garantir que tudo está a funcionar correctamente antes de mudar para o modo de aplicação da política. Recomendamos a configuração do TLS-RPT para a sua política em modo de teste também para ser notificado caso as mensagens de correio electrónico sejam enviadas em texto simples.

Publicação do ficheiro de políticas da MTA-STS

A fim de publicar o ficheiro de política MTA-STS, o servidor web que aloja o seu ficheiro deve:

Apoio HTTPS/SSL
O certificado do servidor deve ser assinado e validado por uma autoridade certificadora de raiz de terceiros.

Para publicar um ficheiro de política para o seu domínio, deve criar um servidor web público com o subdomínio "mta-sts" adicionado ao seu domínio. O ficheiro de apólice criado deve ser publicado no directório .well-known criado no subdomínio. O URL do seu ficheiro de política MTA-STS carregado pode aparecer algo parecido com isto:

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

Registo DNS MTA-STS

Um registo DNS TXT para MTA-STS é publicado no DNS do seu domínio para especificar que o seu domínio suporta o protocolo MTA-STS e para sinalizar a actualização dos valores em cache nos MTAs no caso de a política ser alterada. O registo DNS da MTA-STS é colocado no subdomínio _mta-sts como em: _mta-sts.powerdmarc.com. O registo TXT deve começar com v=STSv1, e o "id" pode conter até 32 caracteres alfanuméricos, incluídos da seguinte forma:

v=STSv1; id=30271001S00T000;

Nota: O valor de id do registo TXT deve ser actualizado para um novo valor cada vez que se introduzem alterações na apólice.

O Registo DNS MTA-STS está habituado a:

Especificar o apoio à MTA-STS para o domínio
Assinalar o MTA para voltar a buscar a política sobre HTTPS no caso de a política ser alterada

Note-se que com o registo DNS MTA-STS TXT, o ficheiro de política pode ser armazenado por MTAs durante um período de tempo mais longo sem ter de voltar a buscar a política, a menos que esta tenha sido alterada, ao mesmo tempo que se faz uma consulta DNS sempre que se recebe um e-mail para o domínio.

Configuração de MTA-STS para o seu domínio

A fim de permitir a MTA-STS para o seu domínio, ser-lhe-ia exigido que o fizesse:

Adicionar um registo DNS do tipo cname em mta-sts.example.com, direccionado para o servidor web HTTPS que aloja o ficheiro de política MTA-STS.
Adicione um registo DNS do tipo txt ou cname em _mta-sts.example.com que especifica o apoio à MTA-STS para o seu domínio.

Configure um servidor web HTTPS com um certificado válido para o seu domínio.
Habilite os relatórios SMTP TLS para o seu domínio a detectar problemas na entrega de correio electrónico devido a falhas na encriptação TLS.

Desafios enfrentados durante a implementação manual do MTA-STS

MTA-STS requer um servidor web HTTPS com um certificado válido, registos DNS, e manutenção constante, o que torna o processo de implementação demorado, demorado e complicado. É por isso que nós no PowerDMARC o ajudamos a gerir a maioria das coisas em segundo plano, publicando apenas três registos CNAME no DNS do seu domínio.

Serviços MTA-STS Alojados PowerDMARC's

PowerDMARC torna a sua vida muito mais fácil ao lidar com tudo isso para si, completamente em segundo plano. Uma vez que o ajudamos a montá-lo, nunca mais terá sequer de pensar nisso.

Ajudamo-lo a publicar os seus registos de cnome com apenas alguns cliques
Assumimos a responsabilidade de manter o servidor web e alojar os certificados
Através dos nossos serviços MTA-STS alojados, a implementação da sua parte é reduzida à simples publicação de alguns registos DNS

Pode fazer alterações à política MTA-STS instantaneamente e com facilidade, através do painel de controlo PowerDMARC, sem ter de fazer alterações manuais ao DNS
Os serviços MTA-STS hospedados pelo PowerDMARC são compatíveis com as normas RFC e suportam as mais recentes normas TLS
Desde a geração de certificados e ficheiro de políticas MTA-STS até à aplicação de políticas, ajudamo-lo a evitar as tremendas complexidades envolvidas na adopção do protocolo

Relatório SMTP TLS (TLS-RPT)

A fim de tornar a ligação entre dois servidores SMTP comunicantes mais segura e encriptada sobre TLS, foi introduzido o MTA-STS para impor a encriptação e impedir que os e-mails sejam entregues em texto claro, no caso de qualquer um dos servidores não suportar TLS. No entanto, um problema continua por resolver, ou seja: Como notificar os proprietários de domínios se os servidores remotos enfrentam problemas na entrega de correio electrónico devido a falhas na encriptação TLS? É aqui que o TLS-RPT entra em jogo, fornecendo relatórios de diagnóstico a fim de permitir a monitorização e resolução de problemas nas comunicações do servidor, tais como certificados TLS expirados, erros de configuração nos servidores de correio electrónico, ou falha na negociação de uma ligação segura devido à falta de suporte à encriptação TLS.

Os Relatórios TLS ajudam a detectar e responder a problemas na entrega de correio electrónico através de um mecanismo de relatórios sob a forma de ficheiros JSON. Estes ficheiros JSON podem ser complicados e indecifráveis para uma pessoa não técnica.

PowerDMARC ajuda a simplificar os ficheiros JSON na forma de documentos simples. compreensíveis e legíveis com gráficos e tabelas para sua conveniência. Os relatórios de diagnóstico do seu domínio são também apresentados em dois formatos no painel de controlo PowerDMARC: por resultado e por fonte de envio.

Habilitação de TLS-RPT para o seu domínio

O processo de activação dos Relatórios SMTP TLS é bastante simples. Tudo o que precisa de fazer para o activar é adicionar um registo DNS TXT no local correcto, prefixando _smtp._tls. ao seu nome de domínio. Com PowerDMARC no entanto, isto pode ser configurado directamente a partir da PowerDMARC UI sem que tenha de fazer quaisquer alterações ao seu DNS!

Assim que o TLS-RPT for activado, os Agentes de Transferência de Correio aquiescentes começarão a enviar relatórios de diagnóstico relativos a problemas de entrega de correio electrónico entre servidores de comunicação para o domínio de correio electrónico designado. Os relatórios são normalmente enviados uma vez por dia, cobrindo e transmitindo as políticas MTA-STS observadas pelos remetentes, estatísticas de tráfego, bem como informações sobre falhas ou problemas na entrega de correio electrónico.

Perguntas Mais Frequentes

Como pode o PowerDMARC ajudar-me a implantar MTA-STS para os meus domínios?

O painel de controlo do PowerDMARC permite-lhe configurar automaticamente MTA-STS e TLS-RPT para o seu domínio, publicando apenas três registos CNAME no DNS do seu domínio. Desde o alojamento dos ficheiros e certificados MTAS-STS até à manutenção do servidor Web, tratamos de tudo em segundo plano sem que tenha de fazer quaisquer alterações ao seu DNS. A implementação de MTA-STS da sua parte com PowerDMARC é reduzida a apenas alguns cliques.

Serei capaz de o implementar para todos os meus domínios a partir da minha conta PowerDMARC?

Pode implementar e gerir MTA-STS para todos os seus domínios a partir da sua conta PowerDMARC, através de um único painel de vidro. Caso algum desses domínios esteja a utilizar servidores de recepção de correio que não suportem STARTTLS, isso irá reflectir-se nos seus relatórios TLS, desde que tenha o TLS-RPT activado para esses domínios.

Que Modo devo definir ao implementar a MTA-STS pela primeira vez?

É sempre aconselhável definir o seu modo de política MTA-STS para testes durante as fases iniciais de implementação, para que possa monitorizar as actividades e ganhar visibilidade no seu ecossistema de correio electrónico antes de mudar para uma política mais agressiva como a aplicação da lei. Desta forma, mesmo que os e-mails não sejam enviados através de uma ligação encriptada TLS, continuariam a ser enviados em texto simples. No entanto, certifique-se de que permite que o TLS-RPT seja notificado se tal acontecer.

Preciso mesmo de relatórios TLS-RPT?

O TLS-RPT é um extenso mecanismo de notificação que lhe permite ser notificado no caso de não ser possível estabelecer uma ligação segura e de o correio electrónico não lhe ser entregue. Isto ajuda-o a detectar problemas na entrega de correio electrónico ou correio electrónico entregue através de uma ligação não segura, para que possa atenuá-los e resolvê-los prontamente.

Que problemas poderá enfrentar durante a utilização do MTA-STS?

Deve ter em conta que enquanto a MTA-STS assegura que os e-mails são transferidos através de uma ligação encriptada TLS, no caso de uma ligação segura não ser negociada, o e-mail pode não conseguir ser entregue de todo. No entanto, isto é necessário, pois garante que o correio electrónico não é entregue através de uma via não encriptada. Para evitar tais problemas, é aconselhável estabelecer uma política MTA-STS sobre um modo de teste e permitir TLS-RPT para o seu domínio inicialmente, antes de prosseguir para o modo de execução MTA-STS.

E se eu quiser mudar o meu modo MTA-STS?

Pode alterar facilmente o seu modo MTA-STS a partir do painel de instrumentos do PowerMTA-STS, seleccionando o modo de política desejado e guardando as alterações sem a exigência de fazer quaisquer alterações ao seu DNS.

Como é que desligo o MTA-STS para o meu domínio?

Pode desligar o MTA-STS para o seu domínio definindo o modo de política para nenhum, especificando assim aos MTAs que o seu domínio não suporta o protocolo, ou apagando o seu registo MTA-STS DNS TXT.

Pode incluir todos os servidores de correio electrónico no ficheiro de políticas do MTA-STS?

Os registos MX para o ficheiro de política MTA-STS devem incluir as entradas para todos os servidores de correio de recepção que estão a ser utilizados pelo seu domínio.

Agende hoje uma demonstração

Iniciar teste de 15 dias Marcar uma demonstração