O que é MTA-STS e porque é que precisa dele?
Uma norma amplamente conhecida na Internet que facilita, melhorando a segurança das ligações entre servidores SMTP (Simple Mail Transfer Protocol) é o SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). O MTA-STS resolve os problemas existentes na segurança de correio electrónico SMTP através da aplicação da encriptação TLS em trânsito.
A História e Origem da MTA-STS
No ano de 1982, SMTP foi especificado pela primeira vez e não continha qualquer mecanismo para fornecer segurança ao nível do transporte para assegurar as comunicações entre os agentes de transferência de correio. Contudo, em 1999, o comando STARTTLS foi adicionado ao SMTP que, por sua vez, suportava a encriptação de e-mails entre os servidores, proporcionando a capacidade de converter uma ligação não segura numa ligação segura que é encriptada utilizando o protocolo TLS.
Nesse caso, deve estar a perguntar-se se a SMTP adoptou STARTTLS para assegurar ligações entre servidores, porque foi necessária a mudança para MTA-STS, e o que é que ela faz sequer? Vamos saltar para isso nas secções seguintes deste blog!
O que é MTA-STS? (Mail Transfer Agent Strict Transport Security - Explained)
MTA-STS é uma norma de segurança que assegura a transmissão segura de e-mails através de uma ligação SMTP encriptada. O acrónimo MTA significa Message Transfer Agent, que é um programa que transfere mensagens de correio electrónico entre computadores. O acrónimo STS significa Strict Transport Security, que é o protocolo utilizado para implementar a norma. Um agente de transferência de correio sensível ao MTA-STS (MTA) ou agente de transferência de mensagens seguro (SMTA) opera de acordo com esta especificação e fornece um canal seguro de ponta a ponta para o envio de correio electrónico através de redes não seguras.
O protocolo MTA-STS permite a um cliente SMTP verificar a identidade do servidor e assegurar que este não se liga a um impostor, exigindo que o servidor forneça a sua impressão digital de certificado no aperto de mão do TLS. O cliente verifica então o certificado contra uma loja fiduciária que contém certificados de servidores conhecidos.
A necessidade de mudar para MTA-STS
STARTTLS não foi perfeito, e não conseguiu resolver dois grandes problemas: o primeiro é que é uma medida opcional, daí que STARTTLS não consegue evitar ataques de homem no meio (MITM). Isto porque um atacante MITM pode facilmente modificar uma ligação e impedir que a actualização da encriptação tenha lugar. O segundo problema com ele é que mesmo que STARTTLS seja implementado, não há forma de autenticar a identidade do servidor de envio, uma vez que os servidores de correio SMTP não validam certificados.
Embora a maior parte das mensagens de correio eletrónico enviadas estejam atualmente protegidas com a encriptação Transport Layer Security (TLS), uma norma da indústria adoptada mesmo pelo correio eletrónico dos consumidores, os atacantes podem ainda obstruir e adulterar o seu correio eletrónico mesmo antes de este ser encriptado. Se o seu correio eletrónico for transportado através de uma ligação segura, os seus dados podem ser comprometidos ou mesmo modificados e adulterados por um ciber-atacante. É aqui que o MTA-STS entra em ação e resolve este problema, garantindo o trânsito seguro das suas mensagens de correio eletrónico e atenuando com êxito os ataques MITM. Além disso, os MTAs armazenam ficheiros de política MTA-STS, tornando mais difícil para os atacantes lançarem um ataque de falsificação de DNS.
A MTA-STS oferece protecção contra :
- Ataques de rebaixamento
- Ataques de homem no meio (MITM)
- Resolve múltiplos problemas de segurança SMTP, incluindo certificados TLS expirados e falta de suporte para protocolos seguros.
Como é que a MTA-STS funciona?
O protocolo MTA-STS é implementado através de um registo DNS que especifica que um servidor de correio pode ir buscar um ficheiro de política a um subdomínio específico. Este ficheiro de apólice é obtido via HTTPS e autenticado com certificados, juntamente com a lista de nomes dos servidores de correio do destinatário. A implementação do MTA-STS é mais fácil do lado do destinatário em comparação com o lado do envio, uma vez que necessita de ser suportado pelo software do servidor de correio. Enquanto alguns servidores de correio suportam MTA-STS, tais como PostFix, nem todos o fazem.
Os principais fornecedores de serviços de correio, tais como Microsoft, Oath, e Google apoiam a MTA-STS. O Gmail do Google já adoptou as políticas MTA-STS nos últimos tempos. A MTA-STS removeu os inconvenientes da segurança das ligações de correio electrónico, tornando o processo de segurança das ligações fácil e acessível para os servidores de correio suportados.
As ligações dos utilizadores aos servidores de correio são normalmente protegidas e encriptadas com o protocolo TLS, contudo, apesar de existir uma falta de segurança nas ligações entre servidores de correio antes da implementação do MTA-STS. Com um aumento da sensibilização para a segurança do correio electrónico nos últimos tempos e o apoio dos principais fornecedores de correio a nível mundial, espera-se que a maioria das ligações dos servidores sejam encriptadas num futuro recente. Além disso, a MTA-STS assegura efectivamente que os cibercriminosos nas redes não consigam ler o conteúdo do correio electrónico.
Implementação fácil e rápida dos serviços MTA-STS hospedados pela PowerDMARC
MTA-STS requer um servidor web HTTPS com um certificado válido, registos DNS, e manutenção constante. A ferramenta de análise DMARC do PowerDMARC torna a sua vida muito mais fácil ao lidar com tudo isso para si, completamente em segundo plano. Assim que o ajudarmos a configurá-lo, nunca mais terá sequer de pensar nisso.
Com a ajuda do PowerDMARC, pode implementar o Hosted MTA-STS na sua organização, sem complicações e a um ritmo muito rápido, com a ajuda do qual pode impor o envio de e-mails para o seu domínio através de uma ligação encriptada TLS, tornando assim a sua ligação segura e mantendo os ataques MITM à distância.
- Métodos para se proteger do roubo de identidade - 29 de setembro de 2023
- O papel do DNS na segurança do correio eletrónico - 29 de setembro de 2023
- Ameaças de phishing da nova era e como planear antecipadamente - 29 de setembro de 2023