O e-mail é uma ferramenta que existe há várias décadas e está enraizado no nosso quotidiano, mas cuja tecnologia de transporte, o SMTP, não sofreu qualquer evolução ao longo dos anos.
A maioria do correio eletrónico enviado é enviado em texto simples e sem qualquer encriptação através da Internet utilizando o SMTP. A evolução SMTP STARTTLS utilizado para os e-mails foi inventado há vários anos para contornar esta problemática, mas apesar de adotado em larga escala continua com falhas e falha na garantia de encriptação das mensagens. Com esta tecnologia é fácil intercetar um e-mail antes do seu envio e dizer ao autor que não existe encriptação SSL ativa e que o cliente de e-mail vai enviar a mensagem sem encriptação e sem aviso.
A nova proposta, submetida pela Internet Engineering Task Force na passada sexta feira foi desenvolvida pelas equipas de engenharia da Google, Yahoo, Comcast, Microsoft, LinkedIn e da 1&1 Mail & Media Development.
A proposta apresentada por este consórcio define a proteção contra-ataques que tenham como objetivo a interseção e modificação de e-mails em trânsito, fazendo-se passar pelo servidor de destino ou pela quebra da encriptação SSL através de vários ataques.
A ideia é de que um e-mail seja enviado para um domínio que suporte SMTP STS que o autor irá verificar se o destino suporta encriptação e se o seu certificado é válido antes do envio como forma de certificar de que estamos a lidar com o servidor correto. No caso de o servidor ser inválido, o e-mail deverá falhar e alertar o utilizador do que aconteceu.
Ultimamente, caso esta proposta seja bem-sucedida as comunicações por e-mail receberão uma importante atualização em termos de segurança com regras que existem e são válidas na Internet há vários anos.
Fonte: ZDNet
