Usar o protocolo TLS nas operações do Kaspersky Secure Mail Gateway
26 de abril de 2024
ID 95396
O Kaspersky Secure Mail Gateway pode processar mensagens de e-mail enviadas por meio de um link criptografado durante uma sessão de protocolo TLS.
A Sessão TLS é uma sequência com os seguintes eventos:
- O servidor a partir do qual as mensagens de e-mail são enviadas (Cliente) estabelece uma conexão com o servidor para o qual as mensagens de e-mail são enviadas (Servidor).
- Os servidores começam a interação pelo protocolo SMTP.
- O Cliente usa o comando
STARTTLS
para oferecer ao Servidor o uso de TLS durante a interação SMTP. - Se o Servidor for capaz de usar o TLS, ele responde com o comando
Ready to start TLS
e envia o certificado do Servidor para o Cliente. - O Cliente recebe o certificado e, caso tenha sido configurado apropriadamente, verifica a autenticidade do certificado do Servidor.
- O Cliente e o Servidor ativam o modo de criptografia de dados.
- Os servidores estabelecem a troca de dados.
- A sessão é finalizada.
É possível configurar o modo de segurança do TLS para as situações nas quais o Kaspersky Secure Mail Gateway recebe mensagens de outro servidor (atua como Servidor) ou envia mensagens para outro servidor (atua como Cliente).
Alguns servidores de e-mail usam canais não criptografados para a troca de mensagens de e-mail na Internet. A configuração da criptografia TLS obrigatória no aplicativo tornará impossível a troca de mensagens com os servidores. Por esse motivo, é recomendado usar as seguintes configurações de segurança do TLS com precaução:
- Configurações de TLS para o recebimento de mensagens → Nível de segurança do TLS do servidor = Exigir criptografia TLS
- Configurações de TLS para o envio de mensagens → Nível de segurança do TLS do cliente = Exigir criptografia TLS e não verificar certificado ou Exigir criptografia TLS e verificar certificado
Por padrão, o aplicativo verifica a capacidade de criptografia TLS, mas não encerra uma conexão se a criptografia não estiver disponível. Isso permite garantir a troca de dados com todos os servidores, mas não garante a segurança dos canais de comunicação. As mensagens de e-mail transmitidas por canais não criptografados podem ser interceptadas, falsificadas ou modificadas por hackers.
Para garantir a autenticidade e a confidencialidade das mensagens transmitidas, é recomendável configurar o S/MIME nas configurações do cliente de e-mail usado na organização.
Caso opte pelo uso da criptografia TLS nas configurações do aplicativo para garantir a transferência segura dos dados, será necessário um certificado de segurança (doravante denominado como "certificado TLS"). É possível usar o certificado padrão criado automaticamente pelo aplicativo ou adicionar seu próprio certificado.