Más allá de Gmail u Outlook, existen proveedores de correo seguro más desconocidos y pequeños que ofrecen por defecto diversas medidas de seguridad que además buscan acabar con el espionaje o seguimiento de los usuarios. Algunas de estas características de seguridad tardan más en llegar a los grandes proveedores y ese es precisamente el caso de las dos que nos ocupan en este artículo. Desde hoy, Gmail se convierte en el primer gran proveedor de correo en incorporar dos funciones de seguridad conocidas como MTA-STS y TLS. Os damos todas las claves tras el salto.

Google ha anunciado que su servicio de correo electrónico Gmail es el primero de los grandes en seguir las normas SMTP MTA Strict Transport Security (MTA-STS) RFC 8461 y SMTP TLS Reporting RFC 8460. El gigante de Internet confirma que la implementación de estos dos nuevos estándares de seguridad es fruto del trabajo realizado durante 3 años tanto con la IETF como con otros organismos.

Gmail incorpora MTA-STS y TLS

Todos los proveedores de correo electrónico utilizan Simple Mail Transfer Protocol (SMTP) para enviar y recibir correos. El gran problema es que el protocolo SMTP por si solo no ofrece la mejor seguridad y no evita ciertos tipos de ataques que puedan interceptar el contenido del correo enviado.

Básicamente, SMTP es vulnerable a los ataques del tipo MITM o man-in-the-middle. Este tipo de ataque hace que se pueda interceptar la comunicación cuando se está enviando entre dos servidores. Para evitar este tipo de ataques, ahora se ha implementado el uso de MTA-STS. Gracias a este estándar de seguridad, todos los correos enviados contarán con un certificado público y estarán cifrados con TLS 1.2 o algo superior.

Esto se puede combinar con TLS reporting lo que implica que se pueden solicitar informes diarios de servidores de correo externos sobre el éxito o fracaso de los correos enviados bajo la nueva política MTA-STS.

Estas novedades se han puesto ya en funcionamiento en Beta, lo que implica que Gmail enviará correos con MTA-STS y TLS a partir de hoy, pero solo a los proveedores de correos que lo tengan activado. Por esa razón, esperan que todos los proveedores de correo electrónico ya sean grandes o pequeños, se pongan pronto al día con la adopción de estos dos estándares de seguridad para los usuarios.

Nuestros compañeros de RedesZone nos ofrecen más detalles sobre MTA-STS y TLS Reporting entrando a nivel más técnico sobre los dos estándares de seguridad que ha implementado Gmail en sus servidores.