Protege tu correo electrónico con MTA-STS

El correo electrónico es el mayor culpable de la mayoría de los ciberataques. Es un punto de fácil acceso para malware, adware, spam y phishing, y brinda infinitas oportunidades para que los actores de amenazas se apoderen de tu información personal.

Para mitigar estas amenazas, se deben implementar estrictas medidas de seguridad para las cuentas de correo electrónico tanto individuales como comerciales.

El Protocolo simple de transferencia de correo o SMTP tiene lagunas de seguridad fácilmente explotables. Los protocolos de enrutamiento de correo electrónico se diseñaron en un momento en que la tecnología criptográfica estaba en una etapa incipiente y, por lo tanto, la seguridad no era una consideración importante.

Como resultado, en la mayoría de los sistemas de correo electrónico el cifrado sigue siendo oportunista, lo que implica que si la conexión opuesta no admite TLS, se revierte a una sin cifrar que entrega mensajes en texto plano.

Para mitigar los problemas de seguridad de SMTP, MTA-STS (Mail Transfer Agent Strict Transport Security) es el estándar de autenticación de correo electrónico recomendado. Te contamos aquí qué es MTA-STS y cómo funciona.

Seguridad y cifrado de correo electrónico

A pesar de la popularidad de otros modos de comunicación, la mensajería por correo electrónico sigue siendo la forma más grande de datos en tránsito para cualquier individuo u organización. Asegurar el contenido de tu correo electrónico es una necesidad vital.

La seguridad del correo electrónico implica la inspección y el cifrado de todo el tráfico de correo electrónico entrante y saliente. El cifrado juega un papel vital para mantener intacta la privacidad del contenido del correo electrónico al garantizar conexiones SMTP (Protocolo simple de transferencia de correo) seguras.

Hasta hace poco, el cifrado era solo un requisito opcional para SMTP.

¿Cómo funciona el cifrado de correo electrónico?

El cifrado de correo electrónico es un proceso en el que se agrega un cifrado o un fragmento de código al contenido de tu mensaje, lo que lo hace indescifrable. Al convertir los datos del correo electrónico en código, los contenidos están protegidos contra la exposición no autorizada. En pocas palabras, tu correo electrónico está codificado.

Como seguridad adicional, el proceso de cifrado utiliza claves públicas y privadas donde se intercambian claves cifradas para bloquear y desbloquear los correos electrónicos codificados. El remitente cifra el correo electrónico mediante criptografía de clave pública y, posteriormente, el destinatario utiliza una clave privada para descifrar el mensaje recibido.

El cifrado se aplica a todo el recorrido de un correo electrónico, de principio a fin. Como práctica recomendada, todos los correos electrónicos entrantes y salientes deben estar cifrados, no solo los que contienen información confidencial. Esto evita que los actores de la amenaza obtengan cualquier punto de entrada a su sistema.

Antecedentes y problemas con SMTP

Cuando entró en vigor el protocolo SMTP en 1982, el cifrado de correo electrónico no era una práctica común y, de forma predeterminada, los correos electrónicos se enviaban y recibían en texto sin formato. Para introducir seguridad en el nivel de transporte, se agregó el comando STARTTLS a fines de la década de 1990, que ofrecía la opción de cifrado a través del protocolo TLS (Transport Layer Security).

Tan prometedora como sonaba la actualización de TLS, dejó dos lagunas de seguridad intactas:

  • La opción de cifrado era solo eso: opcional. Los correos electrónicos no seguros seguían proliferando, lo que provocó un aumento en los ataques cibernéticos.
  • Incluso con STARTTLS implementado, no había forma de autenticar la identidad del servidor del remitente, ya que los servidores SMTP no validan los certificados.

La llegada de MTA-STS

En 2019, Google finalmente dio un paso al frente y anunció la adopción del nuevo estándar MTA-STS (Mail Transfer Agent / Strict Transport Security).

Esto brinda a los proveedores de servicios de correo la capacidad de imponer TLS para proteger las conexiones SMTP y también ofrece la opción de denegar la entrega de correo electrónico a los hosts MX que no ofrecen TLS con un certificado de servidor confiable.

MTA-STS finalmente se encarga de todos los problemas anteriores con SMTP al hacer cumplir el cifrado entre los servidores SMTP que se comunican.

Mail Transfer Agent Strict Transport Security (MTA-STS) es un protocolo que indica a los servicios que envían correo electrónico a tu organización que su dominio es compatible con Transport Layer Security (TLS) 1.2 o superior. Este protocolo hace que el correo electrónico sea menos vulnerable a los ataques de intermediarios y permite que el servicio de correo electrónico receptor aplique el cifrado, sin el riesgo de que falle la entrega.

Si el servicio de envío de correo electrónico no es compatible con MTA-STS o TLS, el correo electrónico aún podría entregarse sin cifrar.

¿Cómo funciona?

MTA-STS comienza a funcionar indicando a un servidor SMTP que solo se comunique con otro servidor SMTP en dos condiciones:

  • El servidor SMTP debe estar cifrado.
  • El nombre de dominio en el certificado del servidor coincide con el dominio en la política y los certificados están actualizados.

Al utilizar una combinación de DNS y HTTPS para publicar una política, MTA-STS informa a la parte remitente cómo proceder si no se puede iniciar un canal de comunicación cifrado.

Es fácil implementar MTA-STS en el extremo del destinatario, pero para el remitente, se debe utilizar un software de servidor de correo compatible como ProtonMail.

¿Qué tipo de ataques mitiga MTA-STS?

Las siguientes amenazas se evitan si se aplica MTA-STS a tus comunicaciones por correo electrónico:

Ataques Man-In-The-Middle (MITM)

Este ataque se lleva a cabo cuando un atacante intercede en medio de la comunicación entre dos partes para robar o alterar datos. En el caso de un correo electrónico, eso normalmente significaría dos servidores SMTP en comunicación. Al emplear MTA-STS, estos ataques se pueden prevenir fácilmente.

Ataques de degradación

Un actor de amenazas obliga a un canal de red a cambiar a un modo de transmisión de datos inseguro. Por ejemplo, este ataque podría redirigir a un visitante del sitio web de una versión HTTPS de un sitio a una versión HTTP. MTA-STS ayuda a combatir estos ataques evitando cualquier acceso no autorizado.

Ataques de suplantación de DNS

Estos ataques astutos cambian los registros DNS del destino previsto de un usuario y lo engañan haciéndole creer que está visitando un sitio o dominio legítimo. La implementación de MTA-STS ayuda enormemente a mitigar estos ataques.

Ahora que estamos familiarizados con MTA-STS, es hora de ponernos en contacto con un nuevo estándar de informes para SMTP conocido como informes TLS.

¿Qué son los informes SMTP TLS (TLS-RPT)?

Al igual que MTA-STS, TLS-RPT es un estándar de informes que detecta problemas de conectividad y discrepancias entre aplicaciones de envío. Una vez habilitado, envía informes diarios sobre cualquier problema de conexión experimentado por servidores externos mientras le envía correos electrónicos.

TLS-RPT admite el protocolo MTA-STS, que completa el cifrado de los correos electrónicos antes de la entrega. El MTA negocia con el servidor receptor para confirmar si admite STARTTLS. Luego, encripta el correo electrónico con TLS y lo entrega al MTA receptor.

Los actores malintencionados pueden intentar un ataque de degradación SMTP que implique bloquear la negociación entre los dos MTA. Por lo tanto, se engaña al MTA emisor para que piense que el MTA receptor no admite STARTTLS. Por tanto, envía el correo electrónico sin cifrar. Sin embargo, MTA-STS garantiza que dichos correos electrónicos no se envíen en absoluto.

TLS-RPT permite conocer casos en los que el correo electrónico no se ha entregado al servidor. El servidor receptor recibe un informe en formato JSON que contiene todos los detalles de dichos correos electrónicos fallidos. Sin embargo, la información no incluye el contenido del correo electrónico.

Piensa en ello como una herramienta de resolución de problemas en la que los informes se pueden utilizar para evaluar y clasificar posibles problemas y problemas de configuración.

¿Qué tipo de problemas resuelve TLS-RPT?

Los principales problemas que pueden evitarse usando TLS-RPT son:

  • Informes de diagnóstico: los informes de TLS ofrecen informes de diagnóstico en formato de archivo JSON que contienen detalles completos sobre los correos electrónicos entrantes que enfrentan problemas de entrega. También detecta correos electrónicos que rebotaron o no se entregaron debido a un ataque de degradación, por ejemplo.
  • Visibilidad mejorada: al habilitar TLS-RPT, puedes mejorar la visibilidad en todos tus canales de correo electrónico. Esto te permite vigilar todos los datos que se dirigen hacia ti, que también incluyen mensajes fallidos.
  • Informes diarios: Los informes de diagnóstico se envían al menos una vez al día para cubrir y observar en profundidad las políticas de MTA-STS. Los informes también incluyen estadísticas de tráfico, así como información detallada sobre errores y entregas fallidas.

¿Por qué es necesario TLS-RPT?

TLS-RPT, en combinación con MTA-STS, es esencial debido a los siguientes puntos.

  • MTA-STS garantiza el cifrado TLS obligatorio y, en su defecto, no permite el envío de dichos correos electrónicos. Por lo tanto, MTA-STS protege la red de los ataques de degradación SMTP.
  • TLS-RPT asegura la notificación de tales entregas de correo electrónico fallidas. El usuario recibe notificaciones al respecto.
  • MTA-STS y TLS-RPT garantizan una visibilidad total de todo lo que sucede en un dominio.
  • TLS-RPT elimina los problemas de entrega y ayuda a identificar el origen de los problemas, lo que permite al usuario solucionarlos rápidamente.

Pasos para implementar MTA-STS

A continuación tienes los pasos necesarios para implementar MTA-STS:

Usa una herramienta para guiarte

Para aquellas organizaciones que son elegibles, el servicio NCSC Mail Check incluye controles y orientación para quienes implementan MTA-STS y TLS-RPT. Si no es elegible, existen alternativas comerciales disponibles. Una herramienta no es esencial, pero proporcionará confianza adicional de que los pasos a continuación se están completando correctamente y verificará si se han cometido errores en el camino.

Identifica todos los dominios y subdominios que deseas proteger

Cualquier dominio o subdominio que tenga correo electrónico entrante debe estar dentro del alcance. Ten en cuenta que cada dominio y subdominio requerirá una configuración separada.

Verifica todos sus servidores de correo para TLS 1.2 y certificados válidos

Usa una herramienta de verificación de TLS para asegurarte de tener las configuraciones de TLS correctas en tu servidor de correo electrónico. Debes asegurarte de tener TLS 1.2 en su lugar y de que sus certificados sean válidos.

Si uno de tus servidores no es compatible con TLS, por ejemplo, si has configurado una trampa de spam, anótalo y asegúrate de no incluir este servidor en su política MTA-STS.

Deberás tener la confianza de que tienes un proceso para asegurarte de que tus certificados sean siempre válidos y estén actualizados, o se perderán los correos electrónicos entrantes. Si estás utilizando un servicio de correo electrónico en la nube, esto se hará por ti. De lo contrario, debes implementar un proceso sólido para notificarte cuando el certificado esté a punto de caducar o si ha caducado, por lo que necesita atención inmediata. Si estás administrando tus propios certificados, te recomendamos que los escalones para que no todos tus servidores de correo electrónico caduquen el mismo día.

Crea y publica tu política inicial de MTA-STS, en modo de prueba

Deberás crear un archivo de política MTA-STS (un archivo .txt), utilizando información de tu propia organización.

Deberás decidir un método adecuado para alojar este archivo de política MTA-STS en línea utilizando una URL.

Crea tu registro de descubrimiento de políticas MTA-STS

Deberás crear una entrada de DNS que llamamos «registro de descubrimiento de políticas MTA-STS». Este registro DNS indica que su dominio tiene una política MTA-STS.

Configura los informes de TLS (TLS-RPT) y comienza a monitorizar

TLS-RPT te dará su opinión sobre si tus conexiones de correo electrónico tienen buenas conexiones TLS y, por lo tanto, te dará confianza para progresar hacia una política de ‘hacer cumplir’ de MTA-STS.

Actualiza tu política de MTA-STS

Una vez que hayas configurado correctamente MTA-STS en modo de prueba, te recomendamos monitorizar tu tráfico de correo electrónico durante un período de al menos un mes para verificar que no haya fallos en sus conexiones TLS.

Después de este punto, puedes implementar una política de ejecución de MTA-STS. Esta política significa que los correos electrónicos entrantes no se entregarán si la conexión no es compatible con TLS 1.2 o superior, o los certificados TLS no son válidos.

Cuando todo lo demás falla, prevalece el cifrado

Debido a la naturaleza en constante evolución de las amenazas cibernéticas, las estrictas medidas de seguridad y la criptografía son imprescindibles para la entrega segura de correos electrónicos.

Gracias a los diversos proveedores de correo electrónico que ofrecen sólidas capacidades de cifrado y los estándares MTA-STS, las transferencias de correo electrónico totalmente seguras ya no son una realidad descabellada.