Uma norma amplamente conhecida na Internet que facilita, melhorando a segurança das ligações entre servidores SMTP (Simple Mail Transfer Protocol) é o SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).
No ano de 1982, SMTP foi especificado pela primeira vez e não continha qualquer mecanismo para fornecer segurança ao nível do transporte para assegurar as comunicações entre os agentes de transferência de correio. Contudo, em 1999, o comando STARTTLS foi adicionado ao SMTP que, por sua vez, suportava a encriptação de emails entre os servidores, proporcionando a capacidade de converter uma ligação não segura numa segura que é encriptada utilizando o protocolo TLS.
Nesse caso, deve estar a pensar que se a SMTP adoptou STARTTLS para assegurar ligações entre servidores, porque foi necessária a mudança para MTA-STS? Vamos saltar para isso na secção seguinte deste blog!
A necessidade de mudar para MTA-STS
STARTTLS não foi perfeito, e não conseguiu resolver dois grandes problemas: o primeiro é que é uma medida opcional, daí que STARTTLS não consegue evitar ataques de homem no meio (MITM). Isto porque um atacante MITM pode facilmente modificar uma ligação e impedir que a actualização da encriptação tenha lugar. O segundo problema com ele é que mesmo que STARTTLS seja implementado, não há forma de autenticar a identidade do servidor de envio, uma vez que os servidores de correio SMTP não validam certificados.
Embora a maioria dos e-mails enviados hoje em dia estejam protegidos com a encriptação Transport Layer Security (TLS), uma norma da indústria adoptada mesmo pelo e-mail do consumidor, os atacantes podem ainda assim obstruir e adulterar o seu e-mail mesmo antes de este ser encriptado. Se enviar um e-mail para transportar os seus e-mails através de uma ligação segura, os seus dados podem ser comprometidos ou mesmo modificados e adulterados por um agressor cibernético. É aqui que o MTA-STS intervém e resolve este problema, garantindo o trânsito seguro dos seus emails, bem como mitigando com sucesso os ataques MITM. Além disso, os MTAs armazenam ficheiros de políticas MTA-STS, tornando mais difícil para os atacantes lançar um ataque de spoofing DNS.
A MTA-STS oferece protecção contra :
- Ataques de rebaixamento
- Ataques de homem no meio (MITM)
- Resolve múltiplos problemas de segurança SMTP, incluindo certificados TLS expirados e falta de suporte para protocolos seguros.
Como é que a MTA-STS funciona?
O protocolo MTA-STS é implementado através de um registo DNS que especifica que um servidor de correio pode ir buscar um ficheiro de política a um subdomínio específico. Este ficheiro de apólice é obtido via HTTPS e autenticado com certificados, juntamente com a lista de nomes dos servidores de correio dos destinatários. A implementação do MTA-STS é mais fácil do lado do destinatário em comparação com o lado do envio, uma vez que requer ser suportado pelo software do servidor de correio. Enquanto alguns servidores de correio suportam o MTA-STS, como o PostFix, nem todos o fazem.
Os principais fornecedores de serviços de correio, tais como Microsoft, Oath, e Google apoiam a MTA-STS. O Gmail do Google já adoptou as políticas MTA-STS nos últimos tempos. A MTA-STS removeu os inconvenientes da segurança das ligações de correio electrónico, tornando o processo de segurança das ligações fácil e acessível para os servidores de correio suportados.
As ligações dos utilizadores aos servidores de correio são normalmente protegidas e encriptadas com o protocolo TLS, contudo, apesar de existir uma falta de segurança nas ligações entre servidores de correio antes da implementação do MTA-STS. Com um aumento da sensibilização para a segurança do correio electrónico nos últimos tempos e o apoio dos principais fornecedores de correio a nível mundial, espera-se que a maioria das ligações dos servidores sejam encriptadas num futuro recente. Além disso, a MTA-STS assegura efectivamente que os cibercriminosos nas redes não consigam ler o conteúdo do correio electrónico.
Implementação fácil e rápida dos serviços MTA-STS hospedados pela PowerDMARC
MTA-STS requer um servidor web HTTPS com um certificado válido, registos DNS, e manutenção constante. PowerDMARC torna a sua vida muito mais fácil ao lidar com tudo isso para si, completamente em segundo plano. Uma vez que o ajudamos a instalá-lo, nunca mais terá sequer de pensar nisso.
Com a ajuda do PowerDMARC, pode implementar o Hosted MTA-STS na sua organização, sem complicações e a um ritmo muito rápido, com a ajuda do qual pode impor o envio de e-mails para o seu domínio através de uma ligação encriptada TLS, tornando assim a sua ligação segura e mantendo os ataques MITM à distância.
