Uma norma da Internet amplamente conhecida que facilita a melhoria da segurança das ligações entre servidores SMTP (Simple Mail Transfer Protocol) é o SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). O MTA-STS resolve os problemas existentes no SMTP segurança do correio eletrónico aplicando a encriptação TLS em trânsito.
A História e Origem da MTA-STS
No ano de 1982, SMTP foi especificado pela primeira vez e não continha qualquer mecanismo para fornecer segurança ao nível do transporte para assegurar as comunicações entre os agentes de transferência de correio. Contudo, em 1999, o comando STARTTLS foi adicionado ao SMTP que, por sua vez, suportava a encriptação de e-mails entre os servidores, proporcionando a capacidade de converter uma ligação não segura numa ligação segura que é encriptada utilizando o protocolo TLS.
Nesse caso, deve estar a perguntar-se se o SMTP adoptou o STARTTLS para proteger as ligações entre servidores, porque é que foi necessária a mudança para o MTA-STS e o que é que ele fazia. Vamos abordar este assunto nas secções seguintes deste blogue!
O que é MTA-STS? (Mail Transfer Agent Strict Transport Security - Explained)
MTA-STS significa Mail Transfer Agent - Strict Transport Security. Trata-se de uma norma de segurança que garante a transmissão segura de mensagens de correio eletrónico através de uma ligação SMTP encriptada. O acrónimo MTA significa Message Transfer Agent, que é um programa que transfere mensagens de correio eletrónico entre computadores. O acrónimo STS significa Strict Transport Security, que é o protocolo utilizado para implementar a norma. Um agente de transferência de correio (MTA) ou um agente de transferência de mensagens seguro (SMTA) com reconhecimento MTA-STS funciona de acordo com esta especificação e fornece um canal seguro de extremo a extremo para o envio de correio eletrónico através de redes não seguras.
O protocolo MTA-STS permite a um cliente SMTP verificar a identidade do servidor e assegurar que este não se liga a um impostor, exigindo que o servidor forneça a sua impressão digital de certificado no aperto de mão do TLS. O cliente verifica então o certificado contra uma loja fiduciária que contém certificados de servidores conhecidos.
Introdução à segurança do correio eletrónico MTA-STS
O MTA-STS foi introduzido para colmatar a lacuna na segurança durante as comunicações SMTP. Como norma de segurança, o MTA-STS garante a transmissão segura de mensagens de correio eletrónico através de uma ligação SMTP encriptada.
O acrónimo MTA significa Message Transfer Agent (agente de transferência de mensagens), que é um programa que transfere mensagens de correio eletrónico entre computadores. O acrónimo STS significa Strict Transport Security, que é o protocolo utilizado para implementar a norma. Um agente de transferência de correio (MTA) ou um agente de transferência de mensagens seguro (SMTA) com reconhecimento MTA-STS funciona de acordo com esta especificação e fornece um canal seguro de extremo a extremo para o envio de correio eletrónico através de redes não seguras.
O protocolo MTA-STS permite a um cliente SMTP verificar a identidade do servidor e assegurar que este não se liga a um impostor, exigindo que o servidor forneça a sua impressão digital de certificado no aperto de mão do TLS. O cliente verifica então o certificado contra uma loja fiduciária que contém certificados de servidores conhecidos.
A necessidade de mudar para a encriptação TLS forçada
O STARTTLS não era perfeito e não conseguiu resolver dois grandes problemas: o primeiro é o facto de ser uma medida opcional, pelo que o STARTTLS não consegue impedir os ataques man-in-the-middle (MITM). Isto porque um atacante MITM pode facilmente modificar uma ligação e impedir a atualização da encriptação. O segundo problema é que, mesmo que o STARTTLS seja implementado, não há forma de autenticar a identidade do servidor de envio como o SMTP não validam certificados.
Embora a maioria das mensagens de correio eletrónico enviadas atualmente estejam protegidas com segurança da camada de transporte (TLS) uma norma da indústria adoptada até pelo correio eletrónico dos consumidores, os atacantes ainda podem obstruir e adulterar o seu correio eletrónico mesmo antes de este ser encriptado. Se o seu correio eletrónico for transportado através de uma ligação segura, os seus dados podem ser comprometidos ou mesmo modificados e adulterados por um ciber-atacante.
É aqui que o MTA-STS entra em ação e resolve este problema, garantindo o trânsito seguro dos seus e-mails, bem como atenuando com êxito os ataques MITM. Além disso, os MTAs armazenam ficheiros de política MTA-STS, tornando mais difícil para os atacantes lançarem um ataque de falsificação de DNS.
Configurar o MTA-STS com PowerDMARC!
Como é que a MTA-STS funciona?
O protocolo MTA-STS é implementado através de um registo DNS que especifica que um servidor de correio pode ir buscar um ficheiro de política a um subdomínio específico. Este ficheiro de política é obtido através de HTTPS e autenticado com certificados, juntamente com a lista de nomes dos servidores de correio do destinatário. A implementação do MTA-STS é mais fácil do lado do destinatário em comparação com o lado do remetente, uma vez que necessita de ser suportado pelo software do servidor de correio eletrónico. Embora alguns servidores de correio eletrónico suportem o MTA-STS, como o PostFixnem todos o fazem.
Os principais fornecedores de serviços de correio, tais como Microsoft, Oath, e Google apoiam a MTA-STS. O Gmail do Google já adoptou as políticas MTA-STS nos últimos tempos. A MTA-STS removeu os inconvenientes da segurança das ligações de correio electrónico, tornando o processo de segurança das ligações fácil e acessível para os servidores de correio suportados.
As ligações dos utilizadores aos servidores de correio eletrónico são normalmente protegidas e encriptadas com o protocolo TLS, mas, apesar disso, existia uma falta de segurança nas ligações entre servidores de correio eletrónico antes da implementação do MTA-STS. Com o aumento da sensibilização para a segurança do correio eletrónico nos últimos tempos e o apoio dos principais fornecedores de correio a nível mundial, prevê-se que a maioria das ligações entre servidores seja encriptada num futuro próximo. Além disso, o MTA-STS garante efetivamente que os cibercriminosos nas redes não conseguem ler o conteúdo do correio eletrónico.
O ficheiro de políticas da MTA-STS
O ficheiro de política MTA-STS é um ficheiro de configuração MTA-STS em texto simples que está alojado no servidor Web de um domínio sob um URL HTTPS: Define regras para o estabelecimento de ligações seguras entre servidores de correio, impondo a encriptação TLS e especificando acções a tomar se não for possível estabelecer uma ligação segura.
https://mta-sts.<domain>//.well-known/mta-sts.txt
Estrutura do ficheiro de política do MTA-STS
Campos | Descrição | Exemplo |
versão | A versão do formato da política MTA-STS | STS1 |
modo | O nível de aplicação da política entre 3 opções disponíveis: nenhum, testar e aplicar | teste |
mx | Uma lista dos servidores Mail Exchange (MX) válidos do domínio | mail.domain.com |
idade máxima | A duração, em segundos, durante a qual a política deve ser armazenada em cache por servidores de correio externos | 86400 |
Exemplo de política MTA-STS
versão: STSv1
modo: aplicar
mx: mail.example.com
mx: backupmail.example.com
max_age: 86400
Pré-requisitos para a implantação do MTA-STS
Antes de iniciar a configuração do MTA-STS, é necessário o seguinte:
- Um nome de domínio registado
- Certificados TLS válidos
- Os certificados TLS devem ser emitidos por uma CA de confiança
- Os certificados devem estar actualizados e não ter expirado
- Deve ser, pelo menos, uma versão 1.2 ou superior do TLS
- Um registo DNS TXT para MTA-STS
- Servidor Web HTTPS
- Servidor de correio eletrónico configurado para utilizar TLS
- Nome do anfitrião do servidor de correio eletrónico que corresponde às entradas no campo mx do seu ficheiro de política
- Um ambiente de teste ou um serviço MTA-STS alojado para monitorizar os registos e fazer ajustes sempre que necessário
Passos para configurar o MTA-STS para o seu domínio
Para configurar o MTA-STS para o seu domínio, pode seguir os passos indicados abaixo:
- Verifique se o seu domínio tem configurações MTA-STS existentes. Se estiver a utilizar o Google Workspace para os seus e-mails, pode fazê-lo facilmente com a ajuda deste guia.
- Crie e publique uma política MTA-STS, configurada separadamente para cada domínio. O ficheiro de política MTA-STS define os servidores de correio eletrónico compatíveis com MTA-STS utilizados por esse domínio.
- Após criar o seu ficheiro de política, deve carregar este ficheiro para um servidor Web público que possa ser facilmente acedido por servidores remotos
- Por fim, crie e publique o seu registo DNS MTA-STS (registo TXT "_mta-sts") para instruir os servidores receptores de que os seus e-mails têm de ser encriptados por TLS para serem considerados autênticos e só devem ter acesso à caixa de entrada do destinatário se o primeiro for verdadeiro
Assim que tiver um ficheiro de política ativo, os servidores de correio externos não permitirão o acesso ao correio eletrónico sem uma ligação segura.
3 Modos de política MTA-STS: Nenhum, Testar e Aplicar
Os três valores disponíveis para os modos de política MTA-STS são os seguintes:
- Nenhum: Esta política anula a sua configuração MTA-STS, uma vez que os servidores externos considerarão o protocolo inativo para o domínio
- Testes: Enquanto estiver nesta política, os e-mails transferidos através de uma ligação não encriptada não serão rejeitados; em vez disso, com o TLS-RPT ativado, continuará a receber relatórios TLS sobre o caminho de entrega e o comportamento do e-mail
- Aplicar: Por fim, quando a política for aplicada, as mensagens de correio eletrónico transferidas através de uma ligação SMTP não encriptada serão rejeitadas pelo seu servidor.
A MTA-STS oferece protecção contra :
- Ataques de rebaixamento
- Ataques Man-In-The-Middle (MITM)
- Resolve vários problemas de segurança SMTP, incluindo certificados TLS expirados e a falta de suporte para protocolos seguros.
Relatórios TLS: Monitorização de lacunas na capacidade de entrega de correio eletrónico após a configuração do MTA-STS
O TLS-RPT (Transport Layer Security Reporting) é um protocolo que permite aos proprietários de domínios receberem relatórios detalhados sobre falhas de encriptação TLS nas comunicações por correio eletrónico. O relatório TLS funciona em conjunto com o MTA-STS.
As principais caraterísticas incluem:
- Relatórios de erros: Forneceu relatórios detalhados sobre problemas de entrega ou falhas causadas por problemas de TLS, tais como certificados expirados ou versões de TLS desactualizadas, e falhas de encriptação TLS.
- Visibilidade: Ajuda-o a monitorizar problemas com a implementação do MTA-STS e a capacidade de entrega de correio eletrónico.
- Segurança de correio eletrónico melhorada: Ao resolver erros com negociações de encriptação TLS falhadas, pode melhorar a eficácia geral da sua configuração MTA-STS, evitando assim ataques informáticos de forma mais eficaz.
Implementação fácil do MTA-STS com o PowerDMARC
O MTA-STS requer um servidor Web com HTTPS e um certificado válido, registos DNS e manutenção constante. O analisador analisador DMARC do PowerDMARC torna a sua vida muito mais fácil, tratando de tudo isso para si, completamente em segundo plano. Depois de o ajudarmos a configurá-lo, nunca mais terá de pensar nisso.
Com a ajuda do PowerDMARC, é possível implementar MTA-STS hospedado hospedado em sua organização sem o incômodo de lidar com seus certificados públicos. Nós o ajudamos:
- Faça actualizações e optimizações de políticas com um clique no seu registo sem ter de aceder às definições de DNS.
- Verificar a versão da sua política e a validação do certificado
- Detetar falhas na aplicação da política MTA-STS
- Alojar o ficheiro de texto da política MTA-STS
- Detetar falhas de ligação, sucessos de ligação e problemas de ligação mais rapidamente com relatórios simplificados
Registe-se hoje para impor rapidamente o envio de e-mails para o seu domínio através de uma ligação encriptada por TLS e tornar a sua ligação segura contra MITM e outros ataques informáticos.
- Estatísticas de phishing por e-mail e DMARC - 22 de novembro de 2024
- Conformidade e requisitos DMARC - 21 de novembro de 2024
- O que é a política DMARC? Nenhum, Quarentena e Rejeição - 15 de setembro de 2024