Uma norma da Internet amplamente conhecida que facilita a melhoria da segurança das ligações entre servidores SMTP (Simple Mail Transfer Protocol) é o SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). O MTA-STS resolve os problemas existentes no SMTP segurança do correio eletrónico aplicando a encriptação TLS em trânsito.
A História e Origem da MTA-STS
No ano de 1982, SMTP foi especificado pela primeira vez e não continha qualquer mecanismo para fornecer segurança ao nível do transporte para assegurar as comunicações entre os agentes de transferência de correio. Contudo, em 1999, o comando STARTTLS foi adicionado ao SMTP que, por sua vez, suportava a encriptação de e-mails entre os servidores, proporcionando a capacidade de converter uma ligação não segura numa ligação segura que é encriptada utilizando o protocolo TLS.
Nesse caso, deve estar a perguntar-se se o SMTP adoptou o STARTTLS para proteger as ligações entre servidores, porque é que foi necessária a mudança para o MTA-STS e o que é que ele fazia. Vamos abordar este assunto nas secções seguintes deste blogue!
O que é MTA-STS? (Mail Transfer Agent Strict Transport Security - Explained)
MTA-STS é uma norma de segurança que assegura a transmissão segura de e-mails através de uma ligação SMTP encriptada. O acrónimo MTA significa Message Transfer Agent, que é um programa que transfere mensagens de correio electrónico entre computadores. O acrónimo STS significa Strict Transport Security, que é o protocolo utilizado para implementar a norma. Um agente de transferência de correio sensível ao MTA-STS (MTA) ou agente de transferência de mensagens seguro (SMTA) opera de acordo com esta especificação e fornece um canal seguro de ponta a ponta para o envio de correio electrónico através de redes não seguras.
O protocolo MTA-STS permite a um cliente SMTP verificar a identidade do servidor e assegurar que este não se liga a um impostor, exigindo que o servidor forneça a sua impressão digital de certificado no aperto de mão do TLS. O cliente verifica então o certificado contra uma loja fiduciária que contém certificados de servidores conhecidos.
Introdução à segurança do correio eletrónico MTA-STS
O MTA-STS foi introduzido para colmatar a lacuna na segurança durante as comunicações SMTP. Como norma de segurança, o MTA-STS garante a transmissão segura de mensagens de correio eletrónico através de uma ligação SMTP encriptada.
O acrónimo MTA significa Message Transfer Agent (agente de transferência de mensagens), que é um programa que transfere mensagens de correio eletrónico entre computadores. O acrónimo STS significa Strict Transport Security, que é o protocolo utilizado para implementar a norma. Um agente de transferência de correio (MTA) ou um agente de transferência de mensagens seguro (SMTA) com reconhecimento MTA-STS funciona de acordo com esta especificação e fornece um canal seguro de extremo a extremo para o envio de correio eletrónico através de redes não seguras.
O protocolo MTA-STS permite a um cliente SMTP verificar a identidade do servidor e assegurar que este não se liga a um impostor, exigindo que o servidor forneça a sua impressão digital de certificado no aperto de mão do TLS. O cliente verifica então o certificado contra uma loja fiduciária que contém certificados de servidores conhecidos.
A necessidade de mudar para a encriptação TLS forçada
O STARTTLS não era perfeito e não conseguiu resolver dois problemas principais: o primeiro é o facto de ser uma medida opcional, pelo que o STARTTLS não consegue impedir os ataques man-in-the-middle (MITM). Isto porque um atacante MITM pode facilmente modificar uma ligação e impedir que a atualização da encriptação tenha lugar. O segundo problema é que, mesmo que o STARTTLS seja implementado, não há forma de autenticar a identidade do servidor de envio como o SMTP não validam certificados.
Embora a maioria das mensagens de correio eletrónico enviadas atualmente estejam protegidas com segurança da camada de transporte (TLS) uma norma da indústria adoptada até pelo correio eletrónico dos consumidores, os atacantes ainda podem obstruir e adulterar o seu correio eletrónico mesmo antes de este ser encriptado. Se o seu correio eletrónico for transportado através de uma ligação segura, os seus dados podem ser comprometidos ou mesmo modificados e adulterados por um ciber-atacante.
É aqui que o MTA-STS entra em ação e resolve este problema, garantindo o trânsito seguro dos seus e-mails, bem como atenuando com êxito os ataques MITM. Além disso, os MTAs armazenam ficheiros de política MTA-STS, tornando mais difícil para os atacantes lançarem um ataque de falsificação de DNS.
Como é que a MTA-STS funciona?
O protocolo MTA-STS é implementado através de um registo DNS que especifica que um servidor de correio pode ir buscar um ficheiro de política a um subdomínio específico. Este ficheiro de política é obtido através de HTTPS e autenticado com certificados, juntamente com a lista de nomes dos servidores de correio do destinatário. A implementação do MTA-STS é mais fácil do lado do destinatário em comparação com o lado do remetente, uma vez que necessita de ser suportado pelo software do servidor de correio eletrónico. Embora alguns servidores de correio eletrónico suportem o MTA-STS, como o PostFixnem todos o fazem.
Os principais fornecedores de serviços de correio, tais como Microsoft, Oath, e Google apoiam a MTA-STS. O Gmail do Google já adoptou as políticas MTA-STS nos últimos tempos. A MTA-STS removeu os inconvenientes da segurança das ligações de correio electrónico, tornando o processo de segurança das ligações fácil e acessível para os servidores de correio suportados.
As ligações dos utilizadores aos servidores de correio eletrónico são normalmente protegidas e encriptadas com o protocolo TLS, mas, apesar disso, existia uma falta de segurança nas ligações entre servidores de correio eletrónico antes da implementação do MTA-STS. Com o aumento da sensibilização para a segurança do correio eletrónico nos últimos tempos e o apoio dos principais fornecedores de correio a nível mundial, prevê-se que a maioria das ligações entre servidores seja encriptada num futuro próximo. Além disso, o MTA-STS garante efetivamente que os cibercriminosos nas redes não conseguem ler o conteúdo do correio eletrónico.
Passos para configurar o MTA-STS para o seu domínio
Para configurar o MTA-STS para o seu domínio, pode seguir os passos indicados abaixo:
- Verifique se o seu domínio tem configurações MTA-STS existentes. Se estiver a utilizar o Google Workspace para os seus e-mails, pode fazê-lo facilmente com a ajuda deste guia.
- Crie e publique uma política MTA-STS, configurada separadamente para cada domínio. O ficheiro de política MTA-STS define os servidores de correio eletrónico compatíveis com MTA-STS utilizados por esse domínio.
- Após criar o seu ficheiro de política, deve carregar este ficheiro para um servidor Web público que possa ser facilmente acedido por servidores remotos
- Por fim, crie e publique o seu registo DNS MTA-STS (registo TXT "_mta-sts") para instruir os servidores receptores de que os seus e-mails têm de ser encriptados por TLS para serem considerados autênticos e só devem ter acesso à caixa de entrada do destinatário se o primeiro for verdadeiro
Assim que tiver um ficheiro de política ativo, os servidores de correio externos não permitirão o acesso ao correio eletrónico sem uma ligação segura.
3 Modos de política MTA-STS: Nenhum, Testar e Aplicar
Os três valores disponíveis para os modos de política MTA-STS são os seguintes:
- Nenhum: Esta política anula a sua configuração MTA-STS, uma vez que os servidores externos considerarão o protocolo inativo para o domínio
- Testes: Enquanto estiver nesta política, os e-mails transferidos através de uma ligação não encriptada não serão rejeitados; em vez disso, com o TLS-RPT ativado, continuará a receber relatórios TLS sobre o caminho de entrega e o comportamento do e-mail
- Aplicar: Por fim, quando a política for aplicada, as mensagens de correio eletrónico transferidas através de uma ligação SMTP não encriptada serão rejeitadas pelo seu servidor.
A MTA-STS oferece protecção contra :
- Ataques de rebaixamento
- Ataques Man-In-The-Middle (MITM)
- Resolve vários problemas de segurança SMTP, incluindo certificados TLS expirados e a falta de suporte para protocolos seguros.
Implementação fácil do MTA-STS com o PowerDMARC
O MTA-STS requer um servidor Web com HTTPS e um certificado válido, registos DNS e manutenção constante. O analisador analisador DMARC do PowerDMARC torna a sua vida muito mais fácil, tratando de tudo isso para si, completamente em segundo plano. Depois de o ajudarmos a configurá-lo, nunca mais terá de pensar nisso.
Com a ajuda do PowerDMARC, é possível implementar MTA-STS hospedado hospedado em sua organização sem o incômodo de lidar com seus certificados públicos. Nós o ajudamos:
- Faça actualizações e optimizações de políticas com um clique no seu registo sem ter de aceder às definições de DNS.
- Verificar a versão da sua política e a validação do certificado
- Detetar falhas na aplicação da política MTA-STS
- Alojar o ficheiro de texto da política MTA-STS
- Detetar falhas de ligação, sucessos de ligação e problemas de ligação mais rapidamente com relatórios simplificados
Registe-se hoje para impor rapidamente o envio de e-mails para o seu domínio através de uma ligação encriptada por TLS e tornar a sua ligação segura contra MITM e outros ataques informáticos.
- Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF - 26 de abril de 2024
- Como publicar um registo DMARC em 3 passos? - 2 de abril de 2024
- Porque é que o DMARC está a falhar? Corrigir a falha do DMARC em 2024 - 2 de abril de 2024