Tornar al blog
9 de setembre del 2024·3 min de lectura

Noves mesures de seguretat per al correu electrònic: part 2

En la primera part d’aquest article vam analitzar tecnologies clau com Mail Gateway, filtres antispam, DKIM i SPF, fonamentals per protegir el correu electrònic empresarial. Ara, en aquesta segona part, explorarem protocols addicionals com DANE, MTA-STS i BIMI, que complementen i reforcen la seguretat en la comunicació per correu. També discutirem altres mesures avançades que pots implementar per a una protecció més robusta.

Assegurant connexions TLS

El protocol DANE (DNS-based Authentication of Named Entities) afegeix una capa de seguretat al correu electrònic en garantir que les connexions entre servidors de correu es realitzin mitjançant TLS (Transport Layer Security). DANE usa el sistema DNSSEC (DNS Security Extensions) per verificar l’autenticitat dels certificats TLS, evitant atacs de suplantació de servidors.

DANE té avantatges com:

  • Protegeix contra atacs Man-in-the-Middle (MitM).
  • Reforça l’autenticació dels certificats de seguretat.

També té inconvenients com:

  • DNSSEC i DANE requereixen una configuració avançada de DNS.
  • No tots els proveïdors de correu admeten DANE, el que limita la seva adopció.

Un altre protocol fonamental per assegurar les connexions entre servidors és MTA-STS (Mail Transfer Agent Strict Transport Security). Aquest protocol força l’ús de TLS en les comunicacions SMTP, el que evita que els correus s’enviïn sense xifratge.

Els beneficis són:

  • Prevé els downgrade attacks, on un atacant intenta forçar una connexió no xifrada.
  • Assegura que els correus entre servidors s’enviïn sempre de manera segura.

A tenir en compte:

  • MTA-STS és fàcil d’implementar, però requereix que el DNS estigui correctament configurat i que el servidor admeti TLS.
  • A diferència de DANE, no depèn de DNSSEC, el que simplifica la configuració.

El registre TLSA en combinació amb DANE ajuda els administradors a validar quins certificats són fiables per establir connexions segures mitjançant TLS. Això assegura que les comunicacions no puguin ser interceptades fàcilment mitjançant certificats falsos.

Els avantatges:

  • Garanteix la verificació del certificat utilitzat pels servidors de correu.
  • Afegeix una capa addicional d’autenticació a les connexions TLS.

BIMI: autenticitat i branding al correu electrònic

BIMI (Brand Indicators for Message Identification) no només millora la seguretat, sinó que també afegeix valor comercial en permetre que els correus electrònics autèntics mostrin el logotip de la marca al client de correu. Aquest protocol reforça l’autenticitat visual i ajuda a prevenir el phishing.

Important:

  • Reforça la confiança en els correus electrònics en mostrar un logotip verificat.
  • Millora el branding i la visibilitat de la marca.
  • BIMI depèn de la implementació correcta de DMARC, per la qual cosa una configuració incorrecta de SPF o DKIM afectarà la seva funcionalitat.

Greylisting: filtre temporal contra el spam

Greylisting és una tècnica que retarda temporalment el lliurament de correus de remitents desconeguts. En demanar al remitent que intenti reenviar el correu, aquesta tècnica aconsegueix bloquejar gran part del spam automatitzat, ja que els sistemes legítims intenten reenviar el missatge, mentre que els spammers solen fallar.

Autenticació de dos factors (2FA)

Encara que s’utilitza sovint per accedir a comptes, implementar 2FA per a les sessions de correu electrònic pot protegir els comptes contra accessos no autoritzats, fins i tot si les credencials han estat compromeses.

És fonamental recordar que tant DANE, MTA-STS, BIMI com altres mesures avançades complementen els protocols esmentats en la primera part d’aquest article, com SPF, DKIM i Mail Gateway. La combinació d’aquests mètodes forma una solució integral per mantenir l’equilibri entre seguretat i usabilitat.

La seguretat del correu electrònic és un desafiament en constant evolució. Mentre que protocols com SPF, DKIM i filtres antispam són essencials, les noves tecnologies com DANE, MTA-STS i BIMI afegeixen capes addicionals de protecció i visibilitat. És important que els administradors tècnics mantinguin una vigilància contínua i adaptin les configuracions a mesura que les tàctiques dels atacants evolucionen. Només un enfocament integral que inclogui tant mesures clàssiques com innovadores podrà garantir una seguretat robusta per al correu electrònic empresarial.

Mantenir un equilibri entre seguretat, autenticitat i facilitat d’ús és clau per optimitzar l’experiència dels usuaris i assegurar la integritat de la comunicació digital.

Per a més informació, segueix llegint el nostre blog i les nostres properes publicacions!