O que é SMTP TLS Reporting?
O Relatório TLS é um mecanismo de feedback inverso que ajuda os proprietários de domínios a encontrar problemas de entrega de correio eletrónico com precisão. Funciona em conjunto com o MTA-STS e fornece dados de rastreamento sobre e-mails devolvidos que não foram entregues devido a um handshake TLS malsucedido.
O que significa a comunicação TLS?
O TLS Reporting (TLS-RPT) é uma norma para comunicar problemas de entrega de correio eletrónico que ocorrem quando um correio eletrónico não é encriptado com TLS. Suporta o protocolo MTA-STS que é utilizado para garantir que qualquer correio eletrónico enviado para o seu domínio é encriptado com TLS.
- A encriptação TLS garante que todas as mensagens de correio eletrónico que lhe são enviadas são entregues em segurança. No entanto, um atacante pode tentar fazer um downgrade SMTP, um tipo de ataque em que o correio eletrónico é enviado para si sem ser encriptado, permitindo-lhe ler ou adulterar o conteúdo. O MTA-STS combate esta situação, tornando necessário que todos os e-mails sejam encriptados antes de serem enviados para si. Se um atacante tentar efetuar um downgrade SMTP, o correio eletrónico não será enviado de todo.
- O TLS-RPT torna possível para si, o proprietário do domínio, receber relatórios sobre cada e-mail que não seja encriptado e que não lhe seja enviado. Poderá então identificar a origem do problema e resolver os seus problemas de entrega.
Como funciona o relatório TLS?
O relatório TLS (TLS-RPT) é utilizado para apoiar o protocolo MTA-STS, que assegura que os e-mails são encriptados antes de serem entregues. Normalmente, o seu servidor de correio electrónico ou Mail Transfer Agent (MTA) negoceia com o servidor receptor para ver se este suporta o comando STARTTLS. Se o fizer, o correio electrónico é encriptado com TLS e é entregue ao MTA receptor.
Um atacante pode tentar um ataque de SMTP neste ponto, o que implica bloquear a negociação entre os MTAs enviados e recebidos. O servidor emissor pensa que o receptor não suporta o comando STARTTLS e envia o e-mail sem encriptação TLS, permitindo ao atacante ver ou alterar o conteúdo do e-mail.
Quando implementa o MTA-STS no seu domínio, torna obrigatório que o seu servidor de envio encripte as mensagens antes de as enviar. Se um atacante tentar um ataque de downgrade SMTP, o correio eletrónico simplesmente não será enviado. Isto garante a encriptação TLS em todos os seus e-mails sem falhas.
O relatório TLS (TLS-RPT) é um protocolo que o notifica, o proprietário do domínio, quando os e-mails enviados através do seu domínio enfrentam problemas de entrega. Se um e-mail não for enviado devido a um downgrade de SMTP ou a outro problema, receberá um relatório em formato de ficheiro JSON com os detalhes do e-mail que falhou. Este relatório não contém o conteúdo do correio eletrónico.
Porque precisa de relatórios SMTP TLS?
É essencial que os proprietários de domínios se mantenham informados sobre os problemas de entrega de correio eletrónico devido a falhas na encriptação TLS de mensagens enviadas a partir de um domínio com MTA-STS. O relatório TLS torna isso possível ao fornecer essas informações.
Receber relatórios de feedback
Se uma mensagem não for enviada, o relatório TLS ajuda-o a ser notificado
Para obter visibilidade total dos canais de correio eletrónico
Obtenha informações detalhadas sobre o seu fluxo de correio eletrónico através de relatórios TLS
Para eliminar problemas de entrega
Os relatórios TLS ajudam-no a identificar a origem do problema e a corrigi-lo sem atrasos
Passos para ativar o relatório TLS
Pode ativar o relatório TLS para o seu domínio criando um registo TXT para TLS-RPT e publicando-o no seu DNS. Este registo deve ser publicado no subdomínio _smtp._tls.yourdomain.com
Exemplo de registo TLS-RPT
v=TLSRPTv1; rua=mailto:[email protected];
Vamos analisar os componentes do registo de comunicação TLS fornecido:
v=TLSRPTv1:
Esta etiqueta especifica a versão do protocolo TLS-RPT que está a ser utilizada. Neste caso, "TLSRPTv1" indica a primeira versão do protocolo TLS-RPT.
rua=mailto:[email protected]:
Esta etiqueta indica o URI de relatório para os relatórios agregados (RUAs). Especifica para onde o servidor de correio do destinatário deve enviar relatórios agregados sobre falhas de TLS. rua significa "Reporting URI for Aggregated Reports".
O valor "mailto:[email protected]" é um URI que especifica um endereço de correio eletrónico ([email protected]) para o qual os relatórios agregados devem ser enviados por correio eletrónico.
Na prática, substitui-se "seudomínio.com" pelo nome de domínio real onde pretende receber estes relatórios.
O significado de cada componente:
v=TLSRPTv1:
Indica a versão do protocolo TLS-RPT que está a ser utilizada. Ajuda a garantir a compatibilidade entre o emissor e o recetor dos relatórios.
rua=mailto:[email protected]:
Especifica o destino dos relatórios agregados para problemas de entrega de TLS. Ao fornecer um endereço de correio eletrónico de relatório, os proprietários de domínios podem receber informações sobre ligações TLS falhadas ou problemáticas. Os relatórios são valiosos para diagnosticar potenciais problemas de segurança ou de configuração relacionados com a comunicação por correio eletrónico.
Formato de relatório TLS e exemplo de relatório
Um relatório JSON TLS segue um formato específico que é definido pela especificação TLS-RPT (Transport Layer Security Reporting Policy). Este formato é utilizado para transmitir informações sobre problemas de entrega de correio eletrónico relacionados com a encriptação TLS. Abaixo está um exemplo de como pode ser um relatório JSON TLS:
Eis a repartição dos principais campos deste relatório JSON TLS:
organização: A organização do domínio que possui o registo TLS-RPT.
e-mail: O endereço de correio eletrónico para onde são enviados os relatórios agregados.
data_inicial: A data de início do período de referência.
data_final: A data final do período de referência.
políticas: Um conjunto de objectos de política que descrevem as políticas aplicadas durante o período de referência.
política: Contém informações sobre a política aplicada.
tipo_de_política: Especifica o tipo de política (por exemplo, "policy" para uma política TLS).
cadeia_de_políticas: Especifica a cadeia de políticas associada à política (por exemplo, "reject" para uma política TLS estrita).
resumo: Contém informações resumidas sobre as sessões que foram tentadas.
total_successful_session_count: O número total de sessões TLS estabelecidas com êxito.
total_failure_session_count: A contagem total de falhas de sessão TLS.
detalhes_da_falha: Um conjunto de objectos que fornecem detalhes sobre falhas específicas.
razão: Uma cadeia de caracteres que indica o motivo da falha (por exemplo, "certificate_expired").
contar: A contagem de sessões que falharam por um motivo específico.
Razões e tipos de falhas de encriptação TLS
Emissões de certificados:
- certificado_expirado: O certificado apresentado pelo servidor remoto ultrapassou a data de expiração, tornando-o não fiável para encriptação.
- certificate_not_valid_yet: O certificado apresentado pelo servidor remoto ainda não é válido, possivelmente devido a uma hora incorrecta do servidor ou à utilização prematura do certificado.
- certificado_revogado: O certificado apresentado pelo servidor remoto foi revogado pela autoridade de certificação devido a questões de segurança.
- certificado_não_confiável: A cadeia de certificados apresentada pelo servidor remoto não é de confiança para o servidor ou cliente de correio eletrónico do remetente, indicando um potencial risco de segurança.
- assinatura_não_válida: O certificado apresentado pelo servidor remoto não está corretamente assinado por uma autoridade de certificação fidedigna, o que suscita preocupações quanto à sua autenticidade.
- certificado_não_suportado: O certificado apresentado pelo servidor remoto utiliza algoritmos de encriptação ou comprimentos de chave que não são suportados pelo servidor de correio do remetente, impedindo uma ligação segura.
Incompatibilidade de nome de anfitrião e identidade
- incompatibilidade de nome de anfitrião: O nome do anfitrião especificado no certificado do servidor não corresponde ao nome do anfitrião do servidor ao qual o servidor de correio do remetente se está a tentar ligar, indicando um possível ataque man-in-the-middle ou um problema de configuração.
Configuração da suite de cifras e da encriptação
- código de cifra inseguro: O conjunto de cifras negociado entre os servidores de correio do remetente e do destinatário é considerado fraco ou inseguro, comprometendo potencialmente a confidencialidade e a integridade da comunicação.
- incompatibilidade_de_versão_do_protocolo: Existe uma incompatibilidade nas versões do protocolo TLS suportadas entre os servidores de correio do remetente e do destinatário, impedindo-os de estabelecer uma ligação encriptada compatível.
- não_partilhado_suite_de_cifra: Não existe um conjunto de cifras comum disponível para os servidores de correio do remetente e do destinatário utilizarem para encriptação, o que resulta numa ligação falhada.
Questões de handshake e protocolo
- handshake_failure: Ocorreu um problema durante o processo inicial de aperto de mão TLS entre o servidor de correio do remetente e o servidor de correio do destinatário, impedindo o estabelecimento do canal seguro.
- mensagem_inesperada: O servidor de correio do remetente recebeu uma mensagem inesperada ou não suportada durante o processo de handshake TLS, indicando um potencial protocolo ou incompatibilidade de implementação.
Questões políticas do MTA-STS
- mta_sts_policy_not_found: Esta falha ocorre quando o servidor de correio do remetente não consegue encontrar uma política MTA-STS para o domínio do destinatário.
- mta_sts_policy_invalid: Esta falha ocorre quando a política MTA-STS encontrada no DNS para o domínio do destinatário é inválida, contém erros ou não cumpre a especificação MTA-STS.
- mta_sts_policy_fetch_error: Esta falha ocorre quando o servidor de correio do remetente encontra um erro ao tentar recuperar a política MTA-STS dos registos DNS do domínio do destinatário.
- mta_sts_connection_failure: Esta falha ocorre quando o servidor de correio do remetente tenta estabelecer uma ligação segura utilizando o MTA-STS, mas falha devido a razões como certificados não fiáveis, conjuntos de cifras não suportados ou outros problemas de TLS.
- mta_sts_invalid_hostname: Esta falha ocorre quando o nome de anfitrião do servidor de correio do destinatário, tal como especificado na política MTA-STS, não corresponde ao nome de anfitrião real do servidor.
- mta_sts_policy_upgrade: Esta falha ocorre quando o servidor de correio do remetente tenta atualizar a ligação para uma ligação segura utilizando o MTA-STS, mas o servidor do destinatário não suporta a atualização.
Relatórios SMTP TLS simplificados com o PowerDMARC
A experiência de relatório SMTP TLS do PowerDMARC visa melhorar sua segurança e facilitar sua vida com um serviço hospedado.
Relatórios traduzidos de TLS
Os relatórios JSON complexos para relatórios TLS são convertidos em informações simplificadas que podem ser lidas em segundos ou em pormenor
Questões de auto-detecção
A plataforma PowerDMARC identifica automaticamente o problema que está a enfrentar para que o possa resolver sem perda de tempo
- Como ver e analisar os cabeçalhos das mensagens online? - 26 de setembro de 2023
- Cibersegurança no sector bancário: As principais ameaças e as melhores formas de as prevenir - 25 de setembro de 2023
- Como verificar se as suas fontes de correio eletrónico são fiáveis? - 25 de setembro de 2023