Aprimorando a segurança da conexão SMTP

Os servidores e clientes SMTP se comunicam pela Internet em texto simples. A comunicação geralmente ocorre através de um ou mais roteadores que não são controlados nem confiáveis por nenhuma das partes comunicantes. Esse roteador não confiável pode permitir que um terceiro espione a conexão entre o servidor e o cliente ou a modifique.

Além disso, dois agentes SMTP geralmente precisam autenticar um ao outro. Para isso, o cliente e o servidor trocam certificados em um formato não criptografado quando a conexão SMTP está sendo estabelecida.

Se o cliente não quiser exibir seu certificado, ele poderá solicitar ao servidor que use cifras anônimas. Em geral, as configurações de criptografia da parte remota não podem ser controladas, mas a entrega da mensagem deve ser garantida. Nesses casos, são aplicadas configurações flexíveis para enviar e receber e-mail. Na interface da web do KSMG, as configurações de criptografia TLS estão localizadas na seção Configurações → MTA integrado → Criptografia TLS.

Ao receber mensagens de servidores remotos, o nível de segurança da conexão é determinado pela seleção na lista suspensa Nível de segurança do TLS do servidor. A configuração padrão é Tentar criptografia TLS. Nesse caso, o cliente solicita ao servidor que estabeleça uma conexão criptografada com o comando STARTTLS. Se o servidor não conseguir estabelecer uma conexão criptografada, a conexão será estabelecida sem a criptografia TLS. Uma configuração mais rigorosa, por exemplo Exigir criptografia TLS, neste estágio encerra a conexão e as mensagens de e-mail não são entregues.

Ao criar um cluster, o aplicativo KSMG cria automaticamente um certificado autoassinado. Este certificado é exibido na tabela de certificados TLS na seção Configurações → MTA integrado → Criptografia TLS com o nome do Certificado padrão; certificado tem um comprimento de chave RSA de 4096 bits com uma assinatura SHA-256. Se você estiver usando configurações relaxadas, esse certificado é suficiente para a criptografia TLS da conexão.

Ao enviar mensagens para servidores remotos, o nível de segurança da conexão é determinado pela seleção na lista suspensa Nível de segurança do TLS do cliente. A configuração padrão é Tentar criptografia TLS, o que significa que a KSMG solicita que o servidor remoto estabeleça uma conexão com a criptografia TLS e, em caso de recusa, envia a mensagem no formato não criptografado. Configurações mais rigorosas, por exemplo Exigir criptografia TLS e não verificar certificado, exigem que o servidor remoto seja compatível com a criptografia TLS, independentemente dos resultados da verificação do certificado TLS. Se Exigir criptografia TLS e verificar certificado for selecionado, o servidor deverá produzir adicionalmente o certificado TLS correto. Uma incompatibilidade nas configurações do servidor remoto com o valor configurado resulta no encerramento da conexão e as mensagens de e-mail não são entregues.

No KSMG, você pode configurar o envio de mensagens usando a criptografia TLS para cada domínio na lista. Você pode configurar o envio de mensagens para um domínio individual na seção Configurações → MTA integrado → Domínios.

Você pode usar as seguintes configurações para aumentar a segurança de uma conexão SMTP na troca de mensagens entre agentes confiáveis: dentro da mesma empresa, com as mesmas configurações estritas aplicadas nas configurações de criptografia TLS dos agentes, com certificados certificados pelas autoridades de certificação emitidos e carregados, e com e-mails de fontes desconhecidas nunca aceitos. Para editar as configurações, vá para a seção Configurações → MTA integrado → Criptografia TLS e defina os seguintes valores:

• Nível de segurança do TLS do servidor – Exigir criptografia TLS.
• Nível de segurança do TLS do cliente – Exigir criptografia TLS e não verificar certificado ou Exigir criptografia TLS e verificar certificado.

A aplicação de configurações de criptografia TLS estritas aumenta a carga nos recursos computacionais do servidor e restringe a taxa de transferência do gateway.