Mejora de la seguridad del correo electrónico con MTA-STS y SMTP TLS Reporting

seguridad del correo electrónico

En 1982, cuando se especificó SMTP por primera vez, no contenía ningún mecanismo para brindar seguridad a nivel de transporte para proteger las comunicaciones entre los agentes de transferencia de correo.

Más tarde, en 1999, se agregó el comando STARTTLS a SMTP que, a su vez, admitía el cifrado de correos electrónicos entre los servidores, brindando la capacidad de convertir una conexión no segura en una segura cifrada mediante el protocolo TLS.

Sin embargo, el cifrado es opcional en SMTP, lo que implica que los correos electrónicos se pueden enviar en texto sin formato. Agente de transferencia de correo: seguridad de transporte estricta (MTA-STS) es un estándar relativamente nuevo que permite a los proveedores de servicios de correo la capacidad de hacer cumplir la Seguridad de la capa de transporte (TLS) para proteger las conexiones SMTP y especificar si los servidores SMTP de envío deben negarse a entregar correos electrónicos a hosts MX que no ofrecen TLS con un servidor confiable certificado. Se ha demostrado que mitiga con éxito los ataques de degradación de TLS y los ataques Man-in-the-Middle (MitM).

Informes SMTP TLS (TLS-RPT) es un estándar que permite informar problemas en la conectividad TLS experimentados por aplicaciones que envían correos electrónicos y detectan configuraciones incorrectas. Permite la notificación de problemas de entrega de correo electrónico que se producen cuando un correo electrónico no está cifrado con TLS. En septiembre de 2018, el estándar se documentó por primera vez en RFC 8460.

¿Por qué sus correos electrónicos requieren cifrado en tránsito?

El objetivo principal es mejorar la seguridad a nivel de transporte durante la comunicación SMTP, asegurando la privacidad del tráfico de correo electrónico. Además, el cifrado de los mensajes entrantes dirigidos a su dominio mejora la seguridad de la información, utilizando la criptografía para salvaguardar la información electrónica.

Además, los ataques man-in-the-middle (MITM) como SMTP Downgrade y DNS spoofing han ganado popularidad en los últimos tiempos y se han convertido en una práctica común entre los ciberdelincuentes, que se pueden evadir aplicando el cifrado TLS y ampliando el soporte para asegurar protocolos

¿Cómo se lanza un ataque MITM?

Dado que el cifrado se tuvo que adaptar al protocolo SMTP, la actualización para la entrega cifrada debe basarse en un comando STARTTLS. Un atacante MITM puede explotar fácilmente esta función realizando una Ataque de degradación de SMTP en la conexión SMTP alterando el comando de actualización reemplazándolo o eliminándolo, lo que obliga al cliente a volver a enviar el correo electrónico en texto sin formato.

Después de interceptar la comunicación, un atacante MITM puede robar fácilmente la información descifrada y acceder al contenido del correo electrónico. Esto se debe a que SMTP, que es el estándar de la industria para la transferencia de correo, utiliza encriptación oportunista, lo que implica que la encriptación es opcional y los correos electrónicos aún pueden entregarse en texto no cifrado.

Los ataques MITM también se pueden lanzar en forma de Ataque de falsificación de DNS:

Dado que el DNS es un sistema no cifrado, un ciberdelincuente puede reemplazar los registros MX en la respuesta a la consulta de DNS con un servidor de correo al que tenga acceso y controle, desviando así fácilmente el tráfico de DNS que fluye a través de la red.

El agente de transferencia de correo, en ese caso, entrega el correo electrónico al servidor del atacante, lo que le permite acceder y manipular el contenido del correo electrónico. El correo electrónico se puede reenviar previamente al servidor del destinatario previsto sin ser detectado.

Cuando implementa MTA-STS, las direcciones MX se obtienen a través de DNS y se comparan con las que se encuentran en el archivo de política de MTA-STS, que se sirve a través de una conexión segura HTTPS, lo que mitiga los ataques de suplantación de DNS.

Además de mejorar la seguridad de la información y mitigar los ataques de monitoreo generalizados, el cifrado de mensajes en tránsito también resuelve múltiples problemas de seguridad de SMTP.

Lograr el cifrado TLS forzado de correos electrónicos con MTA-STS

Si no puede transportar sus correos electrónicos a través de una conexión segura, sus datos podrían verse comprometidos o incluso modificados y manipulados por un atacante cibernético.

Aquí es donde MTA-STS interviene y soluciona este problema, lo que permite un tránsito seguro de sus correos electrónicos, además de mitigar con éxito los ataques criptográficos y mejorar la seguridad de la información al aplicar el cifrado TLS.

En pocas palabras, MTA-STS impone la transferencia de correos electrónicos a través de una ruta encriptada TLS. En caso de que no se pueda establecer una conexión cifrada, el correo electrónico no se envía en absoluto, en lugar de enviarse en texto sin cifrar.

Además, los MTA obtienen y almacenan archivos de políticas de MTA-STS, que sirven de forma segura las direcciones MX, lo que dificulta que los atacantes lancen un ataque de suplantación de DNS.

Seguridad del correo electrónico

MTA-STS ofrece protección contra :

  • Ataques de degradación
  • Ataques Man-In-The-Middle (MITM)
  • Resuelve múltiples problemas de seguridad SMTP, incluidos los certificados TLS caducados y la falta de compatibilidad con protocolos seguros.
  • Ataques de falsificación de DNS

Los principales proveedores de servicios de correo, como Microsoft, Oath y Google, admiten MTA-STS. Google, siendo el jugador más grande de la industria, ocupa un lugar central al adoptar cualquier protocolo, y la adopción de MTA-STS por parte de Google indica la extensión del soporte hacia protocolos seguros y destaca la importancia del cifrado de correo electrónico en tránsito.

Problemas de solución de problemas en la entrega de correo electrónico con TLS-RPT

SMTP TLS Reporting proporciona a los propietarios de dominios informes de diagnóstico (en formato de archivo JSON) con detalles elaborados sobre los correos electrónicos dirigidos a su dominio y enfrentan problemas de entrega, o no se pudieron entregar debido a un ataque de degradación u otros problemas, para que pueda solucionar el problema de forma proactiva.

Tan pronto como habilite TLS-RPT, los agentes de transferencia de correo aquiescente comenzarán a enviar informes de diagnóstico sobre problemas de entrega de correo electrónico entre servidores de comunicación al dominio de correo electrónico designado.

Los informes generalmente se envían una vez al día, cubriendo y transmitiendo las políticas de MTA-STS observadas por los remitentes, estadísticas de tráfico e información sobre fallas o problemas en la entrega de correo electrónico.

Seguridad del correo electrónico

La necesidad de implementar TLS-RPT:

  • En caso de que no se pueda enviar un correo electrónico a su dominio debido a algún problema en la entrega, se le notificará.
  • TLS-RPT brinda visibilidad mejorada en todos sus canales de correo electrónico para que obtenga una mejor perspectiva de todo lo que sucede en su dominio, incluidos los mensajes que no se entregan.
  • TLS-RPT proporciona informes de diagnóstico detallados que le permiten identificar y llegar a la raíz del problema de entrega de correo electrónico y solucionarlo sin demora.

La adopción de MTA-STS y TLS-RPT es fácil y rápida gracias a PowerDMARC

MTA-STS requiere un servidor web habilitado para HTTPS con un certificado válido, registros DNS y mantenimiento constante. PowerDMARC hace que su vida sea mucho más fácil al manejar todo eso por usted, completamente en segundo plano. desde la generación de certificados y archivos de políticas MTA-STS hasta la aplicación de políticas, lo ayudamos a evadir las complejidades involucradas en la adopción del protocolo. Una vez que lo ayudemos a configurarlo con solo unos pocos clics, nunca más tendrá que volver a pensar en ello.

Con la ayuda de los servicios de autenticación de correo electrónico de PowerDMARC, puede implementar MTA-STS alojado en su organización sin problemas y a un ritmo muy rápido, con la ayuda de los cuales puede hacer que los correos electrónicos se envíen a su dominio a través de una conexión cifrada TLS, lo que hace que su conexión sea segura y mantiene a raya los ataques MITM.

¡PowerDMARC hace su vida más fácil al hacer que el proceso de implementación de TLS-RPT sea fácil y rápido, al alcance de su mano! Tan pronto como se registre en PowerDMARC y habilite los informes SMTP TLS para su dominio, nos tomamos la molestia de convertir los archivos JSON complicados que contienen sus informes de problemas de entrega de correo electrónico, en documentos simples y legibles (por resultado y por fuente de envío), que puede revisar y comprender con facilidad. La plataforma de PowerDMARC detecta y transmite automáticamente los problemas que enfrenta en la entrega de correo electrónico, para que pueda abordarlos y resolverlos rápidamente en poco tiempo.

PowerDMARC es una plataforma SaaS de autenticación de correo electrónico única que combina todas las mejores prácticas de autenticación de correo electrónico, como DMARC, SPF, DKIM, BIMI, MTA-STS y TLS-RPT, bajo el mismo techo. ¡Así que regístrese para obtener su analizador DMARC gratis hoy!

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática