MTA-STS
O que é MTA-STS?
MTA-STSMecanismo de segurança de e-mail definido no RFC 8461 que permite a um domínio exigir TLS no SMTP de entrada e fixar uma lista de MX confiáveis, derrotando ataques de downgrade e remoção de STARTTLS.
O MTA-STS (MTA Strict Transport Security), especificado no RFC 8461, permite ao domínio publicar um registo TXT em _mta-sts.example.com e uma política HTTPS em https://mta-sts.example.com/.well-known/mta-sts.txt, declarando o TLS exigido, os MX permitidos e um modo (none, testing, enforce). Os MTA emissores cacheiam a política e, em modo enforce, recusam entregar se STARTTLS, a validação do certificado ou a correspondência do MX falharem. O MTA-STS complementa o DANE/TLSA para operadores sem DNSSEC e corrige fraquezas do TLS oportunista perante atacantes ativos. O SMTP TLS Reporting (RFC 8460) fornece relatórios JSON diários sobre falhas TLS.
● Exemplos
- 01
Publicar uma política em modo enforce que restringe o SMTP de entrada a mx1.example.com e mx2.example.com sobre TLS 1.2 ou superior.
- 02
Receber relatórios TLSRPT diários sem falhas TLS após um rollout bem-sucedido de MTA-STS.
● Perguntas frequentes
O que é MTA-STS?
Mecanismo de segurança de e-mail definido no RFC 8461 que permite a um domínio exigir TLS no SMTP de entrada e fixar uma lista de MX confiáveis, derrotando ataques de downgrade e remoção de STARTTLS. Pertence à categoria Segurança de rede da cibersegurança.
O que significa MTA-STS?
Mecanismo de segurança de e-mail definido no RFC 8461 que permite a um domínio exigir TLS no SMTP de entrada e fixar uma lista de MX confiáveis, derrotando ataques de downgrade e remoção de STARTTLS.
Como funciona MTA-STS?
O MTA-STS (MTA Strict Transport Security), especificado no RFC 8461, permite ao domínio publicar um registo TXT em _mta-sts.example.com e uma política HTTPS em https://mta-sts.example.com/.well-known/mta-sts.txt, declarando o TLS exigido, os MX permitidos e um modo (none, testing, enforce). Os MTA emissores cacheiam a política e, em modo enforce, recusam entregar se STARTTLS, a validação do certificado ou a correspondência do MX falharem. O MTA-STS complementa o DANE/TLSA para operadores sem DNSSEC e corrige fraquezas do TLS oportunista perante atacantes ativos. O SMTP TLS Reporting (RFC 8460) fornece relatórios JSON diários sobre falhas TLS.
Como se defender contra MTA-STS?
As defesas contra MTA-STS costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para MTA-STS?
Nomes alternativos comuns: MTA Strict Transport Security.
● Termos relacionados
- network-security№ 1098
STARTTLS
Extensão SMTP, IMAP, POP3 e XMPP definida no RFC 3207 que atualiza uma conexão em texto-claro para TLS após o cumprimento do protocolo, permitindo cifragem oportunista entre servidores e clientes.
- network-security№ 764
TLS oportunista
Postura de cifragem em que duas partes usam TLS quando ambas suportam e recorrem a texto-claro caso contrário, típica de SMTP entre servidores com STARTTLS sem autenticação forte.
- network-security№ 270
DANE
Família de protocolos definida no RFC 6698 que usa registos TLSA assinados com DNSSEC para associar certificados ou chaves públicas TLS a um serviço, reduzindo a dependência das AC públicas.
- network-security№ 333
DMARC
Norma de autenticação de e-mail definida no RFC 7489 que permite ao titular de um domínio publicar uma política indicando aos recetores o que fazer com mensagens que falhem SPF/DKIM e o alinhamento.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico padronizado pelo IETF que fornece confidencialidade, integridade e autenticação ao tráfego entre duas aplicações em rede.
- network-security№ 984
Gateway de E-mail Seguro
Serviço de perímetro ou cloud que filtra e-mail de entrada e saída em busca de spam, phishing, malware, fugas de dados e violações de política antes de chegar às caixas de correio.