SMTP STS será decisivo para a segurança de e-mails?

O protocolo de transporte da década de 1980 usado para enviar e-mails, o SMTP (Simple Mail Transfer Protocol) é antigo e não tem a capacidade de proteger adequadamente as comunicações por e-mail. Para elevar seu nível de segurança, o SMTP STARTTLS foi inventado em 2002. Mas provou ser vulnerável a ataques man-in-the-middle e ataques de fallback (link em inglês).
Um novo protocolo, o SMTP Strict Transport Security (STS) foi desenvolvido (14 anos intermináveis após a última tentativa, link em inglês), a fim de elevar o nível de segurança. Desta vez, todos os principais players (Google, Microsoft, Yahoo, Comcast, LinkedIn e 1 & 1 Mail …) uniram forças para torná-lo um sucesso.

Qual é o objetivo deste novo padrão?

SMTP STS foi projetado para evitar ataques man-in-the-middle.

Como o SMTP STS melhora a segurança do SMTP em comparação com o StartTLS?

O SMTP STS opera em paralelo com o STARTTLS para reforçar o SMTP (como um todo) e para evitar ataques de fallback e ataques man-in-the-middle. Ele verificará se o destinatário suporta o SMTP STS e se possui um certificado de chave pública válido e atualizado, e, nesse caso, enviará o email com segurança para o destinatário. Caso contrário, impedirá o envio do email e informará o usuário do motivo.

Quanto tempo demora para ser adotado?

Atualmente, esta proposta está apenas em forma de rascunho, e levará algum tempo até que os principais participantes comecem a implementá-la. Ele foi submetido à Força-Tarefa de Engenharia da Internet (IETF) em março de 2016, e espera-se que o Google, a Microsoft, o Yahoo e a Comcast o adotem este ano, sem saber exatamente quando.

Será suficiente para restaurar a confidencialidade dos e-mails?

O SMTP STS é um passo importante para a segurança de e-mail e é suficiente para restaurar a confidencialidade das mensagens? Nossa resposta é NÃO.
É aí que as coisas começam a ficar um pouco suspeitas – porque aumentar a segurança SMTP apenas protege e-mails de uma fonte SMTP para os servidores SMTP de destino – e é isso.

Como resultado, as seguintes vulnerabilidades são mantidas:

– As mensagens serão sempre exibidas em texto não criptografado, do dispositivo do remetente até que ele atinja o servidor SMTP desse remetente.
– O servidor SMTP (no lado do emissor e do receptor) poderá exibir a mensagem em texto simples.
– A mensagem permanecerá limpa do servidor SMTP do destinatário até chegar ao dispositivo do destinatário.

Essas enormes lacunas são vulnerabilidades que os invasores podem usar para desafiar a confidencialidade e a integridade dos e-mails.

Então, qual é a melhor maneira de restaurar a confidencialidade de e-mail?

Criptografia de ponta a ponta (E2EE) é a única resposta – na qual um remetente criptografa um e-mail (com a chave pública do destinatário) e o destinatário descriptografa esse e-mail com sua chave privada, tudo isso é produzindo apenas o lado do cliente. Essa abordagem não permite que um invasor veja mensagens ocultas em texto não criptografado. O Mailfence, uma solução completa de mensagens de e-mail privadas e seguras, possui um serviço de e-mail seguro “real” com o sistema E2EE, além de um recurso de assinatura digital.

Em outras palavras, o SMTP STS não é comparável ao nível de segurança fornecido pela criptografia de ponta a ponta. No entanto, é um novo passo na direção certa, permanecendo um pequeno pedaço do quebra-cabeça!

Tem perguntas sobre SMTP STS será decisivo para a segurança de e-mails?? Não hesite em contatar-nos (suporte em mailfence ponto com).

Obtenha suas mensagens seguras !

Obtenez votre messagerie securisée !

Siga-nos no twitter/reddit e mantenha-se informado em todos os momentos.

A equipe do Mailfence

Você pode gostar...