queque perDesenvolvido por especialistas do Google, Microsoft, Yahoo, Comcast, LinkedIn e 1&1 Mail & Media Development & Technology, o SMTP Strict Transport Security (SMTP STS) é um novo mecanismo que permite aos provedores de e-mail definir políticas para estabelecer comunicações criptografadas via e-mails.
O SMTP STS apresenta em um rascunho publicado recentemente para considerar como um padrão pela Internet Engineering Task Force (IETF). O Simple Mail Transfer Protocol (SMTP), utiliza desde 1982 para transferir mensagens entre clientes de e-mail e servidores, assim como entre provedores, não foi criado com opções de criptografia. Em 2002, a extensão STARTTLS foi adicionada ao protocolo para incluir o Transport Layer Security (TLS) nas conexões SMTP. No entanto, a adoção dessa extensão foi lenta, e o tráfego de e-mails entre servidores permaneceu amplamente desprotegido até 2013.
A situação começou a mudar após os vazamentos de documentos secretos por Edward Snowden, pois revelaram um vasto esquema de espionagem na internet. Em resposta, empresas como o Facebook começaram a adotar a criptografia STARTTLS. Em 2014, o Facebook relatou que 58% dos e-mails enviados utilizavam conexões criptografadas, número que subiu para 95% em agosto do mesmo ano.
Apesar dos avanços, a STARTTLS permite a criptografia oportunista, que não valida os certificados digitais dos servidores de e-mail. Porque deixa as conexões vulneráveis a ataques “man-in-the-middle” e de downgrade de criptografia, onde um hacker pode interceptar e descriptografar o tráfego.
O novo padrão SMTP STS resolve o problemas porque permite os provedores de e-mail a fornecer informações aos clientes que o TLS está disponível e deve ser usado. Especifica como os certificados deve ser validado e o que deve acontecer com uma conexão TLS não puder ser negociada com segurança.
Os provedores de e-mail definem as políticas do SMTP STS através de registros especiais de DNS no domínio do servidor de e-mail.
Por isso, permite que os clientes validem automaticamente essas políticas, relatem quaisquer falhas e garantam uma comunicação mais segura e confiável.
