Melhore a segurança de e-mail no Gmail usando TLS de forma padrão e outros novos recursos
Quais alterações o Google implementa?
Recentemente, o Blog de segurança do Google anunciou que a segurança da camada de transporte (TLS) se aplica a mais de 96% de todo o tráfego recebido pelos navegadores Chrome usando o Chrome OS. Esta postagem no blog também destacou um objetivo significativo: ativar o TLS de forma padrão para produtos e serviços do Google e garantir que o TLS funcione instantaneamente.
Como o Gmail já suporta TLS, se a conexão de email SMTP (Simple Mail Transfer Protocol) puder ser protegida com TLS, essa proteção será aplicada. No entanto, para que mais organizações reforcem a segurança de seus e-mails e aumentem o objetivo de ativar o TLS de forma padrão, o Google realiza as seguintes alterações:
- O TLS agora será ativado de forma padrão para conexões de email.
- Agora, os administradores podem provar a configuração TLS das rotas de saída SMTP no Console de Administração antes da implantação. Isso significa que eles não precisam mais esperar que as mensagens retornem.
Embora os administradores sempre tenham a opção de aplicar a criptografia TLS para rotas de email, essa opção foi desativada anteriormente de forma padrão. Observe que as rotas de email existentes não serão afetadas por essas alterações.
Quem é afetado pela mudança?
Administradores.
Por que usar esta função?
O Google sempre recomenda que os administradores habilitem os recursos de segurança de e-mail existentes, incluindo SPF, DKIM e DMARC, para proteger os usuários finais. Também é recomendável que os administradores habilitem o MTA Strict Transport Security (MTA-STS) para melhorar a segurança do Gmail, pois esse protocolo requer controles de autenticação e criptografia do email enviado para seus domínios. A ativação por padrão do TLS em novas rotas de email SMTP melhora a estratégia de segurança para os clientes. Por outro lado, se os administradores puderem testar as conexões antes de aplicar o TLS nas rotas existentes, poderão implementar mais facilmente as políticas de segurança recomendadas.
Essa alteração não afetará as rotas de email criadas anteriormente.
Detalhes adicionais
Ativando o TLS por padrão para novas rotas de email
Se o TLS estiver ativado de forma padrão para novas rotas de email, todos os requisitos de validação de certificado também serão ativados dessa maneira. Isso garante que os hosts do destinatário tenham um certificado emitido para o host apropriado e assinado por uma Autoridade de Certificação (CA) confiável. Veja abaixo mais detalhes sobre como os requisitos para CAs confiáveis serão alterados.
Os administradores ainda poderão personalizar suas configurações de segurança TLS nas novas rotas de email criadas. Por exemplo, se o email for encaminhado para servidores de email locais ou de terceiros usando Certificados CA internos, os administradores podem precisar desativar a validação dos Certificados CA. Não é recomendável desabilitar a validação de certificados CA ou desabilitar completamente o TLS. Os administradores são incentivados a testar suas configurações de SMTP TLS no Console de administração antes de desativar as validações recomendadas para validar a conexão TLS com servidores de email externos. Veja mais detalhes sobre como testar conexões TLS no Console de Administração.
Desconfiança do Gmail nas autoridades certificadas
Anteriormente, o Blog de segurança do Google realçava certos casos em que o Chrome não confia nos Certificados raiz da CA que são usados para interceptar o tráfego na Internet pública e outros casos em que o Chrome desconfia de certas CAs.
Se essas situações ocorrerem no futuro, o Gmail também desconfiará desses certificados. Quando isso acontece, se a autoridade de certificação não é mais confiável, os e-mails enviados por rotas que exigem TLS podem ser devolvidos aplicando certificados assinados pela autoridade de certificação. Embora a lista de certificados raiz em que o Gmail confia possa ser recuperada no repositório de serviços de confiança do Google, recomendamos que os administradores usem o recurso “Testar conexão TLS” no Console de Administração para confirmar se os certificados não são confiáveis.
A função “Testar conexão TLS” no Console de Administração
Os administradores agora podem usar a nova função “Testar conexão TLS” para verificar se uma rota de email pode estabelecer com êxito uma conexão TLS com validação completa para qualquer destino, como um servidor de email local ou retransmissão de email de terceiros, antes de forçar o TLS para esse destino.
Como começar?
Administradores:
Configurações do TLS
O TLS estará ATIVADO de forma padrão para todas as novas rotas de email. Recomendamos que os administradores revisem todas as rotas existentes e também habilitem todas as opções de segurança TLS recomendadas para essas rotas.
Testando conexões TLS
Os administradores que desejam impor uma conexão TLS segura para os emails agora podem verificar se a conexão com o servidor de email do destinatário é válida. Para isso, basta clicar no botão “Testar conexão TLS” no Console de Administração. Você não precisa mais esperar que os e-mails retornem.
Usuários finais: Não há parâmetros de configuração para usuários finais em relação a essas funções.
Ritmo de implantação
Domínios de lançamento rápido e programado: Lançamento completo.
Disponibilidade
Disponível para todos os clientes do G Suite
Links de interesse
Central de Ajuda – Requerer que o email seja transmitido por uma conexão seguraTLS
Central de Ajuda – Sobre MTA-STS e os relatórios TLS
Central de Ajuda – Adicionar rotas de correio para entrega avançada no Gmail