Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1015
)
- ► septiembre (Total: 50 )
-
▼
abril
(Total:
123
)
- Reino Unido prohíbe vender dispositivos inteligent...
- Infostealers: malware que roba información
- Vulnerabilidades Zero-Day en firewalls Cisco ASA
- Volkswagen hackeada: roban 19.000 documentos del s...
- Vulnerabilidad grave en GNU C Library (glibc) de 2...
- TikTok dejará de pagar a sus usuarios para evitar ...
- Windows 11 empieza a mostrar anuncios en el menú d...
- El malware RedLine Stealer abusa de repos de Githu...
- ¿Qué es el eSIM swapping?
- Ransomware en México
- Crean un perro robot con lanzallamas
- PartedMagic, Rescatux, SystemRescueCD, distros Lin...
- TikTok podrá clonar tu voz con inteligencia artifi...
- Ex director de ciber política de la Casa Blanca ta...
- Nuevo Chromecast 4K con Google TV
- Europa abre una investigación contra TikTok por su...
- El senado de Estados Unidos vota contra TikTok, so...
- El fabricante de tu móvil estará obligado a arregl...
- Procesadores de Intel Core i9 13-14th pierden hast...
- Vulnerabilidad crítica en VirtualBox para Windows
- Estados Unidos ha librado una batalla aérea simula...
- La Policía Europea (Europol) quiere eliminar el ci...
- Bruselas amenaza con suspender la nueva versión de...
- La Audiencia Nacional de España niega a EEUU una e...
- Desarrollan en Japón inteligencia artificial que p...
- ¿Cómo se cuelan las aplicaciones maliciosas en la ...
- Telefónica cierra todas sus centrales de cobre y E...
- Configurar correo electrónico aún más seguro con A...
- Samsung aumenta la jornada laboral a 6 días para “...
- LaLiga pide imputar a directivos de Apple, Google ...
- Windows 11 le daría la espalda a Intel y AMD con s...
- Desmantelada la plataforma de phishing LabHost
- Microsoft Office 2016 y 2019 sin soporte a partir ...
- Blackmagic Camera, la app para Android para grabar...
- Apple permite instalar aplicaciones para iOS como ...
- Filtrados casi 6 millones de archivos con fotos de...
- Versión con malware de Notepad++
- PuTTY corrige una vulnerabilida en el uso de clave...
- 54 mil millones de cookies robadas
- Cómo detectar la autenticidad de fotografías y vídeos
- CISA presenta su sistema de análisis de malware
- Un ciberataque deja al descubierto los datos perso...
- La única persona que se conecta a Steam en la Antá...
- DiskMantler: así es «el destructor de discos duros...
- ¿Qué es el PPPoE (Protocolo Punto a Punto over Eth...
- ¿Qué es POE? ¿Cuáles son las diferencias entre POE...
- IPsec Passthrough y VPN Passthrough
- La gran pregunta del mundo del gaming: ¿Los juegos...
- Cómo cambiar el puerto por defecto 3389 de RDP
- Inteligencia artificial Grok usa protocolo Torrent...
- Cómo instalar programas o reinstalar Windows con W...
- Intel descataloga por sorpresa los chips Core de 1...
- El fabricante de accesorios Targus interrumpe sus ...
- Filtran base con datos personales de 5.1 millones ...
- Hollywood carga contra la piratería y propone una ...
- Google Fotos revela que el Borrador Mágico será un...
- Empleado de Microsoft expone un servidor sin contr...
- Cómo configurar un proxy o VPN para Telegram
- Sierra Space quiere entregar suministros bélicos d...
- El PSG reconoce un ciberataque contra su sistema d...
- Descubiertas varias vulnerabilidades de seguridad ...
- P4x: el hacker justiciero que tumbó internet en Co...
- Amazon consigue cerrar un canal de Telegram que pr...
- Elon Musk cree que la IA superará a la inteligenci...
- Ciberdelincuentes chinos usan la IA generativa par...
- Estos son todos los datos que recopila ChatGPT cad...
- Ofrecen 30 millones de dólares por encontrar explo...
- Se busca director para la Agencia Española de Supe...
- Find My Device de Android permite "Encontrar mi di...
- Google resenta Axion, su primer procesador basado ...
- A la venta por 10.000$ base de datos con de 39,8 m...
- Despedido el CEO de la productora de 'Got Talent' ...
- Spotify presenta AI Playlist: crea listas de repro...
- Elon Musk contra un juez de Brasil por el bloqueo ...
- OpenAI usó videos robados de YouTube para entrenar...
- Apple firma con Shutterstock un acuerdo de entre 2...
- MTA-STS: Strict Transport Security
- Si coges el metro en San Francisco, es gracias a u...
- La app de control parental KidSecurity expone dato...
- Stability AI en crisis tras incumplir pagos a prov...
- Tu número de móvil podría valer 14.000 euros: así ...
- Vulnerabilidad crítica de Magento permite robar da...
- Los atacantes que hackearon el Consorcio Regional ...
- Cómo se forjó el backdoor en xz (librería Linux)
- Cómo saber cuándo pasará el coche de Google Street...
- Dos hermanos se han hecho millonarios desarrolland...
- El Gobierno de España encarga a IBM crear un model...
- Google tiene la solución al gran problema del JPEG...
- Twitter regala verificaciones azules a cuentas que...
- La trampa de los cursos para aprender a programar ...
- Android 15 permitirá tener un espacio privado para...
- Google limitará los bloqueadores de anuncios en Ch...
- Microsoft bloqueará las actualizaciones de Windows...
- YouTube lanza una advertencia a OpenAI: usar sus v...
- Patente busca inyectar anuncios por HDMI cuando ju...
- Apple, cerca de sufrir escasez de chips por culpa ...
- La Guardia Civil detiene a un pasajero que extravi...
- Un estado alemán se aleja de Microsoft y usará Lin...
- Todo lo que necesitas saber sobre las VLANs en redes
- Documentos judiciales revelan que Facebook permiti...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
MTA-STS: Strict Transport Security
Reforzar la seguridad de tu correo electrónico es un proceso que lleva varios pasos, desde hace un tiempo hemos estado hablando sobre diversos temas relacionados a la seguridad de los mensajes de correo salientes, para lo cual es necesario aplicar políticas DMARC; sin embargo, muchos propietarios de dominios todavía se preocupan por la seguridad del flujo de correo entrante.
En el año 2019, Google adoptó la nueva política MTA-STS la cual garantiza que todos los correos electrónicos entrantes deben pasar por una capa de seguridad de transporte (TLS, según sus siglas en inglés). Este protocolo criptográfico cifra las comunicaciones y las protege durante el tránsito; dicha política surgió para cubrir las debilidades de su sistema predecesor, STARTTLS.
STARTTLS como tal es un comando que solicita al servidor de correo que encripte la conexión, pero tiene una debilidad persistente: es una medida de protección opcional que no permite enviar alguna forma de autenticación del servidor, lo que hace que el comando en cuestión sea susceptible a ataques de intermediarios.
Ya que ha quedado claro que la necesidad de un cambio de política es necesaria, podemos profundizar en lo que es MTA-STS y cómo funciona.
Un estándar de Internet ampliamente conocido que facilita la mejora de la seguridad de las conexiones entre servidores SMTP (Simple Mail Transfer Protocol) es el SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS resuelve los problemas existentes en SMTP seguridad del correo electrónico aplicando el cifrado TLS en tránsito.
Historia y origen de la MTA-STS
En el año 1982 se especificó por primera vez SMTP y no contenía ningún mecanismo para proporcionar seguridad a nivel de transporte para asegurar las comunicaciones entre los agentes de transferencia de correo. Sin embargo, en 1999, se añadió el comando STARTTLS a SMTP que a su vez soportaba la encriptación de los correos electrónicos entre los servidores, proporcionando la capacidad de convertir una conexión no segura en una segura que se encripta utilizando el protocolo TLS.
En ese caso, te estarás preguntando si SMTP adoptó STARTTLS para asegurar las conexiones entre servidores, por qué fue necesario el cambio a MTA-STS y para qué servía. Vamos a hablar de ello en las siguientes secciones de este blogLa estructura del informe TLS
A diferencia de los informes XML de DMARC, los informes SMTP TLS son fáciles de leer y comprender; los informes están presentados como archivos en formato JSON y generalmente muestran los siguientes componentes:
- report-id: El identificador del informe.
- date-range: el período de tiempo para la recopilación de resultados que contienen las fechas de inicio y finalización como subcategorías.
- organization-name: El nombre de la parte informante.
- contact-info: La información de contacto.
- policies: esta sección puede contener información sobre las políticas activas para un dominio especifico (STARTTLS, DANE, DNSSEC, MTA-STS); en el caso de MTA-STS, por ejemplo, esta sección repite la cadena del archivo de la política aplicada (te ofrecemos más información sobre los archivos y sus sintaxis a continuación).
- summary: esta sección te ofrece un recuento de sesiones exitosas y fallidas de la política.
- faillure-details: la parte final es donde se menciona lo que salió mal en el proceso de aplicación; el «tipo de resultado» puede tomar uno de los 10 valores establecidos, según sea la causa raíz de la falla, esta línea también incluye información sobre el servidor de envío, la IP de recepción y su nombre de host MX, también podrás confirmar el recuento de ser necesario.
¿Qué es MTA-STS?
La denominación de esta política en inglés se conoce como “Mail Transfer Agent-Strict Transport Security” (MTA-STS), en español lo conocemos como “Agente de transferencia de correo de seguridad estricta de transporte”, este es un protocolo que encripta los correos electrónicos entrantes a un servidor con una capa segura, lo cual permite la comunicación encriptada TLS entre los servidores SMTP, lo que a su vez evita los ataques de intermediarios.
La política de MTA-STS tiene como objetivo evitar que los atacantes o piratas informáticos alteren el contenido de un correo electrónico o envíe el contenido de este a otra dirección; a diferencia de STARTTLS, MTA-STS mantiene el TLS activo y le indica a los servidores de envío que tu servidor de correo solo acepta la entrega de mensajes a través de una conexión segura.
¿Cómo funciona el MTA-STS?
MTA-STS es una política que verifica la conexión TLS en cada mensaje de correo que es enviado a tu ecosistema, que le indica al servidor SMTP de envío que la comunicación con tu servidor de correo debe estar encriptada y que el nombre del dominio en el certificado TLS y la política deben coincidir; tal como describimos anteriormente, este proceso garantiza que todas las comunicaciones enviadas a tu bandeja de entrada estén debidamente encriptadas.
La política contiene un mecanismo que se divide en dos partes: el archivo MTA-STS publicado en un servidor web habilitado para HTTPS y un registro DNS .TXT que informa a los remitentes que su dominio es compatible con tu política MTA-STS.
Una vez que todo esté configurado debidamente, recibirás informes a través de TLS-RPT indicando todos los fallos y problemas que puedan tener tus comunicaciones; es importante tener presente que los servidores de envío almacenan en caché el archivo MTA-STS y lo usan repetidamente durante un período determinado en los documentos; una vez que estos expiran, los servidores solicitan el archivo nuevamente.
Llegado a este punto, probablemente comprendes mejor los principios básicos de MTA-STS, por lo que ahora podemos profundizar en los dos componentes de la política.|
Activar MTA-STS y los informes de TLS
Para activar MTA-STS y los informes de TLS en tu dominio, actualiza los registros TXT de DNS del dominio. Los registros DNS envían señales a servidores externos en los que:
- Tu dominio requiere que las conexiones SMTP estén autenticadas y cifradas.
- Puedes recibir informes de TLS de servidores de otros dominios.
Los registros TXT son registros DNS con información en formato de texto que pueden utilizar fuentes externas a tu dominio. Más información sobre cómo utilizar los registros TXT de DNS
Crear un buzón de correo en el que recibir informes
Al activar MTA-STS y los informes de TLS en tu dominio, algunos servidores externos te enviarán informes sobre su conexión a tus servidores. En los informes se recogen las políticas MTA-STS detectadas, las estadísticas de tráfico, las conexiones incorrectas y los mensajes no enviados.
Este es un ejemplo de informe de TLS.
Antes de activar los informes, configura una o varias direcciones de correo electrónico de tu dominio para recibirlos. El registro TXT de DNS para los informes de TLS incluye la dirección de correo electrónico creada para recibir informes.
Estas son algunas direcciones de ejemplo para informes de TLS:
informe-tls@elhacker.net
mta-sts@elhacker.net
Nota: Si lo prefieres, puedes indicar a los servidores que no envíen los informes por correo electrónico, sino que los suban a un servidor web. Sin embargo, para hacerlo, necesitas una API que Google Workspace no proporciona. Más información en Report using HTTPS (RFC 8460) (Informes mediante HTTPS [RFC 8460]).
Actualizar registros DNS
Para activar MTA-STS y los informes de TLS, actualiza la configuración de tu dominio con dos registros TXT de DNS añadidos a estos subdominios:
- _smtp._tls
- _mta-sts
Importante: Tienes que añadir estos registros a la configuración de tu dominio desde el host del dominio, no desde la consola de administración de Google.
Obtener los registros TXT de DNS recomendados
Para tener registros TXT de DNS adaptados a tu dominio, sigue los pasos que se indican en Comprobar el estado de MTA-STS y recibir sugerencias de configuración.
Añadir registros TXT de DNS
Importante: Sustituye el dominio de ejemplo que se usa en los siguientes pasos por tu dominio.
Te recomendamos que añadas los registros TXT de DNS en el orden que se indica para activar primero los informes de TLS y después el estándar MTA-STS.
- Inicia sesión en la consola de administración del proveedor de tu dominio.
- Ve a la página en la que actualizas los registros DNS.
-
Para activar los informes TLS, añade un registro DNS en _smtp._tls:
Nombre del registro TXT: en el primer campo, debajo del nombre del host DNS, introduce:
_smtp._tls.elhacker.net
Valor del registro TXT: en el segundo campo, introduce:v=TLSRPTv1; rua=mailto:webmaster@elhacker.net
rua: la dirección de correo que hayas creado para recibir informes. Para recibir informes en varios correos electrónicos, separa las direcciones con comas:v=TLSRPTv1; rua=mailto:inftls@elhacker.net,mailto:mts-sts@elhacker.net
Nota: La sintaxis de la opción de entrega de informes HTTPS se describe en Report using HTTPS (RFC 8460) (Informes mediante HTTPS [RFC 8460]). - Para activar MTA-STS en el dominio, añade un registro DNS en _mta-sts:
Nombre del registro TXT: en el primer campo, debajo del nombre del host DNS, introduce:_mta-sts.elhacker.net
- Valor del registro TXT: en el segundo campo, introduce:
v=STSv1; id=09042024
id: debe constar de entre 1 y 32 caracteres alfanuméricos. Con este ID, indicas a los servidores externos que tu dominio admite MTA-STS.
Actualiza el id con un valor nuevo y único cada vez que cambies tu política MTA-STS. Los servidores externos utilizan el valor id actualizado para determinar cuándo ha cambiado la política. Te recomendamos que, siempre que cambies la política, incluyas en el valor id la fecha y la hora para saber cuándo se ha modificado por última vez. - Guarda los cambios.
Requisitos del servidor para utilizar MTA-STS
Comprueba que los servidores de correo que reciben correo entrante cumplan estos requisitos:
- Requieren que el correo se transmita a través de una conexión segura (TLS).
- Utilizan la versión 1.2 de TLS o una versión posterior.
- Tienen certificados TLS que:
- Coinciden con el nombre de dominio que usa el servidor de correo entrante; es decir, el servidor que figura en tus registros MX.
- Están firmados por una autoridad de certificación raíz que los considera de confianza.
Modos de política de MTA-STS
Las políticas de MTA-STS pueden aplicarse en modo de prueba o en modo obligatorio.
Modo de prueba
Si aplicas la política en modo de prueba, se solicitará a los servidores de correo externos que te envíen informes diarios. Estos informes contienen información sobre los problemas detectados cuando se conectan al dominio. También incluyen información sobre las políticas de MTA-STS que se han detectado, así como estadísticas de tráfico, datos sobre las conexiones fallidas y los mensajes que no se han podido enviar.
Al usar este modo, tu dominio solo solicita informes; es decir, no aplica ninguna de las medidas de conexión segura que exige el estándar MTA-STS. Te recomendamos que, para empezar, actives el modo de prueba durante dos semanas, un periodo durante el que se pueden obtener suficientes datos para detectar y solucionar cualquier problema que haya en tu dominio.
Utiliza la información que se facilita en los informes diarios para resolver problemas con el cifrado o la seguridad de tu servidor o dominio y, a continuación, cambia la política al modo obligatorio.
Modo obligatorio
Si configuras la política en el modo obligatorio, tu dominio solicita a los servidores externos que comprueben que la conexión SMTP esté cifrada y autenticada.
Si la conexión SMTP no cumple con estos requisitos, ocurrirá lo siguiente:
- Los servidores que admitan el estándar MTA-STS no enviarán correo a tu dominio.
- Los servidores que no admitan el estándar MTA-STS seguirán enviando correo a tu dominio de la manera habitual; es decir, a través de conexiones SMTP que podrían no estar cifradas.
En el modo obligatorio, sigues recibiendo los informes diarios de servidores externos.
Crear archivos de política
Los archivos de política son archivos de texto sin formato que contienen pares clave-valor. Cada par debe introducirse en una línea aparte en el archivo de texto, tal como se muestra en el ejemplo. El tamaño máximo del archivo de texto de la política es de 64 KB.
Nombre de los archivos de política: el nombre del archivo de texto debe ser mta-sts.txt.
Actualización de los archivos de política: debes actualizar los archivos de política siempre que cambies de servidores de correo o añadas servidores nuevos, así como cuando cambies de dominio.
Formato de archivo de política: el campo version (Versión) debe colocarse siempre en la primera línea de la política. Los demás campos pueden estar en cualquier orden. A continuación se muestra un ejemplo de archivo de política:
version: STSv1
mode: testing
mx: mail.elhacker.net
mx: *.elhacker.net
mx: backupmx.elhacker.net
max_age: 604800
Contenido de los archivos de política: en las
políticas deben incluirse todos los pares clave-valor que se muestran en
la tabla que aparece a continuación.
Clave | Valor |
---|---|
version | Debe indicarse la versión del protocolo, que es STSv1. |
mode |
Debe incluirse el modo de la política:
|
mx |
Registro MX del dominio.
|
max_age |
Tiempo máximo en segundos de validez de la política. En los servidores externos, el valor max_age vuelve a su valor inicial siempre que el servidor accede a la política.Por lo tanto, los servidores externos pueden tener fechas de caducidad distintas en la misma política. El valor debe estar entre 86400 (1 día) y 31557600 (aproximadamente 1 año). Si configuras una política en el modo de prueba, te recomendamos que este valor esté entre 604800 y 1209600 (entre 1 y 2 semanas). |
Publicar la política de MTA-STS
Una vez que hayas creado la política, sube el archivo a un servidor web público para que los servidores remotos puedan acceder a él.
Requisitos del servidor del host
El servidor web donde se aloje la política debe cumplir los siguientes requisitos:
- Debe admitir SSL/HTTPS.
- El certificado del servidor debe estar firmado por una autoridad de certificación raíz externa que lo considere de confianza.
Cambios en la política
Cada vez que cambies el contenido del archivo de la política, deberás:
- Actualizar el archivo de la política que está alojado en el servidor web público.
- Cambiar el ID de política en los registros DNS. Más información sobre cómo activar MTA-STS y los informes de TLS
También deberás seguir estos pasos cuando cambies una política del modo de prueba al modo obligatorio.
Añadir la política a un servidor web de tu dominio
- Comprueba que tu dominio esté configurado con un servidor web público.
- En tu dominio, añade un subdominio cuyo nombre empiece por mta-sts, por ejemplo:
mta-sts.elhacker.net
- Crea un directorio llamado .well-known en el subdominio.
- Sube el archivo de la política que has creado al directorio .well-known.
Ejemplo de URL de una política de MTA-STA:
https://mta-sts.elhacker.net/.well-known/mta-sts.txt
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.