DMARC Manager

Português (BR)

English
Español
Deutsch
Français
Italiano
한국어
日本語
繁體中文

Português (BR)

English
Español
Deutsch
Français
Italiano
한국어
日本語
繁體中文

Visão Geral do MTA-STS

Bem-vindo à documentação do MTA-STS. Use a barra lateral ou os links abaixo para navegar:

O que é MTA-STS?

MTA-STS é um protocolo de segurança que permite que servidores de e-mail imponham criptografia Transport Layer Security (TLS) e validação de certificado ao enviar e-mails para outros servidores que suportam o protocolo. MTA-STS significa Mail Transfer Agent Strict Transport Security over TLS, e é definido no RFC 8461.

Como o MTA-STS Funciona?

O MTA-STS funciona permitindo que servidores de e-mail publiquem uma política que especifica como outros servidores devem se conectar a eles. A política inclui as seguintes informações:

  • A duração da validade da política
  • Se a criptografia TLS é obrigatória ou opcional
  • Se o certificado do servidor deve corresponder ao nome de domínio ou ser assinado por uma autoridade confiável
  • Como relatar quaisquer falhas de conexão ou violações de política

A política é publicada de duas maneiras: como um registro DNS TXT e como um arquivo hospedado em um servidor web. O registro DNS TXT contém um ponteiro para o servidor web onde o arquivo de política está localizado. O arquivo de política é nomeado .well-known/mta-sts.txt e é formatado como um arquivo de texto simples com pares de chave-valor.

Quando um servidor de e-mail deseja enviar um e-mail para outro servidor que suporta MTA-STS, ele primeiro consulta o registro DNS TXT do domínio do destinatário para verificar se há uma política disponível. Se houver, ele então busca o arquivo de política do servidor web e segue as instruções na política. Se a política exigir criptografia TLS e validação de certificado, o servidor de e-mail só entregará o e-mail se puder estabelecer uma conexão segura e autenticada com o servidor destinatário. Se a política for opcional, o servidor de e-mail tentará usar criptografia TLS e validação de certificado, mas voltará para uma conexão em texto simples se falhar. Se a política não estiver disponível ou estiver expirada, o servidor de e-mail usará suas configurações padrão para entrega de e-mail.

Configurações de max-age do MTA-STS

A diretiva max_age na política MTA-STS especifica o tempo máximo de vida da política em segundos. Aqui estão alguns pontos-chave sobre isso:

  • Valores Aceitos: Qualquer número inteiro positivo até 31.557.600 segundos (equivalente a um ano).
  • Exemplo: Você pode definir max_age para 604.800 segundos (equivalente a uma semana).

O propósito do max_age é determinar por quanto tempo os servidores devem armazenar em cache sua política MTA-STS antes de verificar uma nova. O Google, por exemplo, processa políticas com um max_age superior a 86.400 segundos (um dia). O valor máximo para max_age é 31.557.600 segundos.

Escolher um valor apropriado para max_age é crucial. Aqui estão algumas considerações:

  1. max_age mais curto:
    • Permite a remoção ou alterações mais fáceis do MTA-STS se surgirem problemas de interoperabilidade.
    • Útil para grandes integradores que ainda não suportam MTA-STS, mas planejam fazê-lo no futuro.
  2. max_age mais longo:
    • Reduz a frequência das verificações de política.
    • Proporciona melhor desempenho ao minimizar a necessidade de atualizações frequentes de política.
    • No entanto, também significa que quaisquer alterações necessárias na política demoram mais para se propagar.

Como o MTA-STS Funciona com DMARC

MTA-STS e DMARC se complementam no aprimoramento da segurança e privacidade da comunicação por e-mail. O MTA-STS protege a conexão entre servidores de e-mail contra interceptação e modificação, enquanto o DMARC protege o conteúdo e o cabeçalho do e-mail contra falsificação e phishing. Ao usar ambos os protocolos, servidores de e-mail e usuários podem alcançar um nível mais alto de confiança e segurança na comunicação por e-mail.

Por que o MTA-STS é Importante?

O MTA-STS é importante porque melhora a segurança e a privacidade da comunicação por e-mail. Ao impor criptografia TLS e validação de certificado, o MTA-STS impede que atacantes interceptem, modifiquem ou falsifiquem e-mails em trânsito.

Isso reduz o risco de phishing, malware, spam e roubo de identidade. O MTA-STS também ajuda os servidores de e-mail a cumprir os padrões de segurança e regulamentos de sua indústria ou região.

Limitações do MTA-STS

O MTA-STS tem algumas limitações que servidores de e-mail e usuários devem estar cientes. Algumas delas são:

  • Escopo: O MTA-STS se aplica apenas à conexão entre servidores de e-mail, não entre clientes de e-mail e servidores. Portanto, clientes de e-mail e usuários ainda precisam usar outras medidas de segurança, como criptografia de ponta a ponta, para proteger seus e-mails contra acesso não autorizado ou adulteração.
  • Dependência de DNS e Servidores Web: O MTA-STS depende da disponibilidade e integridade dos servidores DNS e web que hospedam a política. Se esses servidores forem comprometidos, estiverem offline ou mal configurados, a política pode não estar acessível ou precisa, e a entrega de e-mail pode ser afetada.
  • Aplicação de Política: O MTA-STS não impede que servidores de e-mail aceitem ou enviem e-mails que não cumpram a política. Por exemplo, um servidor de e-mail pode aceitar um e-mail de um remetente que não usa criptografia TLS ou validação de certificado, ou pode enviar um e-mail para um destinatário que não suporta MTA-STS. Portanto, servidores de e-mail e usuários ainda precisam usar outros mecanismos de segurança, como SPF, DKIM e DMARC, para verificar a identidade e autenticidade dos remetentes e destinatários de e-mail.

Tópicos Relacionados