Alerta importante: O Google e o Yahoo vão exigir DMARC a partir de abril de 2024.
Leia mais

MTA-STS e TLS-RPT Guia de Implementação

Bem-vindo ao seu manual detalhado sobre MTA-STS e TLS-RPT para obter conhecimentos práticos sobre os protocolos e as suas funcionalidades.

Contactar-nos Marcar uma demonstração

Tabela de Conteúdos

  1. O que é o agente de transferência de correio - segurança de transporte restrita (MTA-STS)?
  2. Como é que o MTA-STS assegura a encriptação das mensagens em trânsito?
  3. Quebrar a anatomia de um Ataque MITM
  4. Como é que o MTA-STS assegura a encriptação TLS?
  5. O que é o ficheiro da política MTA-STS?
  6. Como publicar o ficheiro de políticas da MTA-STS?
  7. O que é o registo DNS da MTA-STS?
  8. Como implementar a MTA-STS?
  9. O que são os cos desafios enfrentados durante a implementação manual do MTA-STS?
  10. Serviços MTA-STS Alojados PowerDMARC's
  11. O que é o relatório SMTP TLS (TLS-RPT)?
  12. Como activar o TLS-RPT para o seu domínio?
  13. Perguntas Mais Frequentes
tls de encriptação

Agente de Transferência de Correio - Segurança de Transporte Restrita (MTA-STS)

MTA-STS, muito semelhante ao que o nome sugere, é um protocolo que permite o transporte encriptado de mensagens entre dois servidores de correio SMTP. MTA-STS especifica para o envio de servidores que as mensagens de correio electrónico só devem ser enviadas através de uma ligação encriptada TLS, e não devem ser entregues no caso de não ser estabelecida uma ligação segura através do comando STARTTLS. Ao aumentar a segurança dos e-mails em trânsito, o MTA-STS ajuda a mitigar os ataques Man-In-The-Middle (MITM), tais como ataques de downgrade de SMTP, e ataques de spoofing de DNS.

Leia mais

Como é que a MTA-STS assegura a encriptação de mensagens em trânsito?

Tomemos um exemplo simples para compreender como as mensagens são encriptadas durante o fluxo de correio electrónico. Se um MTA estiver a enviar um e-mail para [email protected]o MTA realiza uma consulta DNS para descobrir para quais MTAs o e-mail deve ser enviado. O pedido DNS é enviado para ir buscar os registos MX do powerdmarc.com. A MTA de envio liga-se subsequentemente à MTA de recepção encontrada no resultado da consulta DNS, perguntando se este servidor receptor suporta a encriptação TLS. Se o fizer, o e-mail é enviado através de uma ligação encriptada, contudo, se não o fizer, o MTA remetente não consegue negociar uma ligação segura e envia o e-mail em texto simples.

O envio de e-mails por uma via não encriptada abre o caminho para ataques de monitorização invasivos como o MITM e SMTP downgrade. Vamos descobrir como:

Quebrar a Anatomia de um Ataque MITM

Essencialmente, um ataque MITM ocorre quando um atacante substitui ou apaga o comando STARTTLS para fazer o rollback da ligação segura a um sem segurança, sem encriptação TLS. Isto é referido como um ataque de downgrade. Após realizar com sucesso um ataque de downgrade, o atacante pode aceder e visualizar o conteúdo do e-mail sem obstáculos.

Um atacante MITM também pode substituir os registos MX na resposta de consulta DNS por um servidor de correio a que tenham acesso e que estejam em controlo. O agente de transferência de correio nesse caso entrega o e-mail ao servidor do atacante, permitindo-lhe aceder e manipular o conteúdo do e-mail. O correio electrónico pode subsequentemente ser encaminhado para o servidor do destinatário pretendido, sem ser detectado. Isto é conhecido como um ataque de spoofing DNS.

Perguntas Mais Frequentes

O painel de controlo do PowerDMARC permite-lhe configurar automaticamente MTA-STS e TLS-RPT para o seu domínio, publicando apenas três registos CNAME no DNS do seu domínio. Desde o alojamento dos ficheiros e certificados MTAS-STS até à manutenção do servidor Web, tratamos de tudo em segundo plano sem que tenha de fazer quaisquer alterações ao seu DNS. A implementação de MTA-STS da sua parte com PowerDMARC é reduzida a apenas alguns cliques.

Pode implementar e gerir MTA-STS para todos os seus domínios a partir da sua conta PowerDMARC, através de um único painel de vidro. Caso algum desses domínios esteja a utilizar servidores de recepção de correio que não suportem STARTTLS, isso irá reflectir-se nos seus relatórios TLS, desde que tenha o TLS-RPT activado para esses domínios.

É sempre aconselhável definir o seu modo de política MTA-STS para testes durante as fases iniciais de implementação, para que possa monitorizar as actividades e ganhar visibilidade no seu ecossistema de correio electrónico antes de mudar para uma política mais agressiva como a aplicação da lei. Desta forma, mesmo que os e-mails não sejam enviados através de uma ligação encriptada TLS, continuariam a ser enviados em texto simples. No entanto, certifique-se de que permite que o TLS-RPT seja notificado se tal acontecer.

O TLS-RPT é um extenso mecanismo de notificação que lhe permite ser notificado no caso de não ser possível estabelecer uma ligação segura e de o correio electrónico não lhe ser entregue. Isto ajuda-o a detectar problemas na entrega de correio electrónico ou correio electrónico entregue através de uma ligação não segura, para que possa atenuá-los e resolvê-los prontamente.

Deve ter em conta que enquanto a MTA-STS assegura que os e-mails são transferidos através de uma ligação encriptada TLS, no caso de uma ligação segura não ser negociada, o e-mail pode não conseguir ser entregue de todo. No entanto, isto é necessário, pois garante que o correio electrónico não é entregue através de uma via não encriptada. Para evitar tais problemas, é aconselhável estabelecer uma política MTA-STS sobre um modo de teste e permitir TLS-RPT para o seu domínio inicialmente, antes de prosseguir para o modo de execução MTA-STS. 

Pode alterar facilmente o seu modo MTA-STS a partir do painel de instrumentos do PowerMTA-STS, seleccionando o modo de política desejado e guardando as alterações sem a exigência de fazer quaisquer alterações ao seu DNS.

Pode desligar o MTA-STS para o seu domínio definindo o modo de política para nenhum, especificando assim aos MTAs que o seu domínio não suporta o protocolo, ou apagando o seu registo MTA-STS DNS TXT. 

Os registos MX para o ficheiro de política MTA-STS devem incluir as entradas para todos os servidores de correio de recepção que estão a ser utilizados pelo seu domínio.