¿Qué es MTA-STS y cómo mejorará la seguridad del correo electrónico?

La especificación SMTP MTA Strict Transport Security es un estándar de internet que mejora la seguridad de las conexiones entre servidores SMTP. Cuando el protocolo simple de transferencia de correo (SMTP) se especificó por primera vez en 1982, no proporcionó ninguna seguridad en la capa de transporte para proteger la comunicación entre los agentes de transferencia de correo, pero el comando STARTTLS se agregó a SMTP en 1999 para admitir el cifrado oportunista del correo electrónico entre los servidores. Brindó la capacidad de actualizar una conexión insegura a una segura que se cifra utilizando el protocolo de seguridad de la capa de transporte (TLS).

Pero STARTTLS tiene dos problemas: el primero es que es opcional. Un atacante de tipo intermediario puede modificar una conexión y evitar que se produzca la actualización de cifrado. El segundo problema es que, incluso si se está utilizando STARTTLS, no hay forma de autenticar la identidad del servidor de envío porque los servidores de correo SMTP no validarán los certificados.

El protocolo de autenticación basada en DNS de entidades con nombre (DANE, por sus siglas en inglés) fue un intento inicial de solucionar este problema. DANE se basa en las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC), que proporcionan un método para firmar registros DNS. Sin embargo, DNSSEC es un tema controvertido en la comunidad de la seguridad y nunca fue adoptado ampliamente. Por lo tanto, DANE, que se basa en DNSSEC, solo asegura una pequeña fracción de las conexiones del servidor de correo. En particular, ninguno de los grandes jugadores, como Google, Yahoo o Microsoft, adoptó alguna vez DNSSEC o DANE.

El protocolo MTA-STS se implementa al tener un registro DNS que especifica que un servidor de correo puede obtener un archivo de políticas de un subdominio definido. Esta política se buscará a través de HTTPS, se autenticará y mostrará los nombres de los servidores de correo de los destinatarios. Estos nombres también se autentican con certificados. Implementar MTA-STS es relativamente simple en el lado del destinatario, pero en el lado del envío, requiere soporte en el software del servidor de correo. Algunos servidores de correo ya incluyen este soporte. Por ejemplo, el servidor de correo Postfix ampliamente utilizado puede ser actualizado con un módulo externo.

El estándar MTA-STS tiene un amplio soporte entre los principales proveedores de servicios de correo. Los autores incluyen miembros de Microsoft, Oath y Google. Gmail de Google ya establece y valida las políticas MTA-STS.

MTA-STS corrige un largo vacío en la seguridad de la conexión de correo electrónico. Si bien, actualmente las conexiones del usuario al servidor de correo generalmente están cifradas con la seguridad de la capa de transporte, las conexiones entre los servidores siguen siendo un punto débil. Con el apoyo de los principales proveedores de correo, es probable que la mayoría de las conexiones de correo se cifren pronto.

Eso todavía no significa que el contenido del correo esté encriptado todo el tiempo. Un atacante con acceso al servidor de correo todavía puede leer el contenido, lo que solo se puede evitar con métodos de encriptación de extremo a extremo, como Pretty Good Privacy. Pero MTA-STS es eficaz para evitar que los atacantes en las redes lean el contenido del correo electrónico, lo que ya es una gran mejora.