Você sabia? Então agora vai ficar sabendo!

No início de Fevereiro, no dia 02 para ser exato, a Microsoft anunciou suporte para SMTP MTA Strict Transport Security (MTA-STS) no Exchange Online . Definido na RFC8461 , mas o que é isso?

 O MTA-STS é um mecanismo que permite que “ provedores de serviços de correio (SPs) declarem sua capacidade de receber conexões SMTP seguras do Transport Layer Security (TLS) e especifiquem se os servidores SMTP de envio devem se recusar a entregar aos hosts MX que não não oferece TLS com um certificado de servidor confiável , Habilitar o MTA-STS é parte de um esforço contínuo para melhorar a segurança de e-mail do Exchange Online. 

Com o MTA-STS habilitado torn-ase mais difícil para os invasores desviar e-mails e garantir que a criptografia TLS seja usada para todas as conexões entre os servidores.

Como Ativar MTA-STS

Para o Exchange Online o MTA-STS já esta habilitado, contudo, a organização precisa querer utiliza-lo! Isso! Isso mesmo! Você precisa habilitar a utilização desse recurso, eu já mostro como.

Você deve publicar um registro TXT no DNS para declarar que esse é o caso e publicar sua politica de MTA-STS em arquivo de texto em um formato conhecido local acessível por https em seu dominio (a política da Microsoft está em https://mta-sts.microsoft.com/.well-known/mta-sts.txt ). O arquivo de política contém pares de chaves para definir a versão, o modo (impor significa que o domínio usa MTA-STS; os outros valores são de teste e nenhum), o registro mx para seu domínio e o tempo de vida máximo da política em segundos.

Segundo a Microsoft as organizações que usam o Exchange Online para processar emails podem usar os mesmos valores que aparecem em sua política. Por exemplo, o valor mx é *.mail.protection.outlook.com. O TLS 1.2 é obrigatório para o MTA-STS e os certificados usados ​​pelo TLS devem ser válidos. 

Se você usa o Exchange Online para lidar com emails, tudo isso deve estar em ordem. Para ter certeza, ou para verificar se tudo está no lugar se você usar roteamento alternativo, use a ferramenta gratuita disponível em https://www.checktls.com/ . A Figura 1 mostra que o chesley.com.br (que usa o Exchange Online) tem um alto nível de confiança. Detalhes da configuração mx e certificados estão disponíveis clicando no botão Mostrar detalhes .

Uma vez ativados, os relatórios TLS-RPT podem ser usados ​​para rastrear problemas com MTA-STS e DANE, principalmente quando ocorrem falhas no envio de mensagens devido a problemas de configuração.

A questão da implementação

E agora? O que fazer! Correr e implementar e ter a certeza que qualquer coisa para melhorar a segurança é uma coisa boa? Sinceramente eu não sei ao certo se é uma boa opção habilitar essa função de imediato, e vamos aos fatos!

Como exemplo pegue DKIM,SPF e DMARC, que são configurados com uma facilidade imensa e dependem apenas do DNS, o MTA-STS depende de certificados, e ai que surgem algumas duvidas.

 Como a Microsoft cuidará da renovação do certificado, a questão é mais fácil para aqueles que usam o Exchange Online para processar emails de entrada. 

Tudo vai depender da infraestrutura disponível, vejamos, um lapso no gerenciamento dos certificados pode trazer um imenso problema, e somos sabedores que problemas com certificados não são desconhecidos, na verdade acontecem com uma certa frequência.

Se você possui uma infraestrutura que utiliza apenas o M365, sem servidores locais, deve se preocupar com isso

A necessidade de hospedar a política do MTA-STS em um site não deve ser uma preocupação para os locatários corporativos, que provavelmente terão um servidor adequado para hospedar a política. 

Locatários menores, que talvez não usem nada além do Microsoft 365, podem não usar. Tudo depende da infraestrutura disponível e de suas necessidades de segurança.

A decisão de não habilitar o MTA-STS não interromperá o fluxo de e-mail porque os domínios que usam o MTA-STS podem se comunicar muito bem com domínios que não o fazem. Os únicos problemas surgem quando dois domínios tentam usar o MTA-STS apenas para encontrar um problema como um certificado expirado.

Onde o Dane entra nisso tudo?

Vamos com a palavra da Microsoft, o DANE é o “padrão ouro para proteger conexões SMTP ” e o MTA-STS é um “ mecanismo mais leve para proteger seu fluxo de emails ”. Hoje, o DANE oferece suporte a emails de saída do Exchange Online com suporte de entrada agendado para dezembro de 2022 . 

Nesse ínterim, a Microsoft observa que muitos clientes podem achar o MTA-STS “ bom o suficiente para suas necessidades de segurança. ” DANE e MTA-STS podem ser usados ​​juntos, portanto, não há motivo para os locatários não implementarem o MTA-STS enquanto aguardam a chegada do suporte DANE de entrada.

E o meu ambiente local? Bom, se segura na cadeira, a Microsoft afirmou que não traria suporte ao DANE e DNSSEC para o Exchange Server. Dada essa posição, duvido que o MTA-STS chegue em um servidor local perto de você em breve, se é que chegará.

As cartas estão na mesa, pensa e veja o que é melhor!