Blog
Ameaças na Nuvem e no Email
Como recuperar o controle da sua retransmissão de e-mail de aplicativo
Nyc clouds

Como recuperar o controle da sua retransmissão de e-mail de aplicativo

Share with your network!
Ash Valeski

Recentemente, a Proofpoint avaliou os dados de DMARC de 325 de nossos clientes Proofpoint Email Fraud Defense para determinar de onde eles vinham. Descobrimos que o e-mail enviado de seus domínios vinha, principalmente, de:

  • Aplicativos/sistemas (42%)
  • Marketing (57%)
  • Usuários finais (1%)

Com aplicativos enviando 42% do e-mail, as equipes de segurança e mensagens ficam sobrecarregadas. Historicamente, retransmissões de SMTP no local ajudavam a controlar quais mensagens geradas por aplicativos eram enviadas pelos domínios das organizações. Com esse controle, era simples proteger a identidade da marca no e-mail da organização. Caso contrário, dados confidenciais e a reputação da organização poderiam ser colocados em risco. Além disso, os destinatários ficavam vulneráveis a golpistas.

Com a modernização dos aplicativos, porém, as equipes têm dificuldades para manter esse controle. Se você é um profissional de segurança ou de mensagens apreensivo diante da modernização dos aplicativos e das implicações para a sua capacidade de manter controle sobre a identidade de e-mail da sua organização, você não está só.

Nesta postagem de blog, explicaremos como os controles de retransmissão de e-mail mudaram. Também ofereceremos algumas dicas para reaver esse controle e proteger a sua organização.

Controles que costumavam proporcionar proteção

Antigamente, as equipes gerenciavam mensagens geradas por aplicativos implementando e mantendo os seguintes controles:

  • Políticas DMARC de “rejeição”. Tais controles impedem que domínios sejam “falsificados” por malfeitores.
  • Filtros de envio. Esses filtros evitam que spam, malware ou dados confidenciais sejam enviados, intencional ou acidentalmente.
  • Restrições no controle de acesso. As equipes utilizam essas restrições para controlar os aplicativos e sistemas que podem utilizar retransmissões de SMTP.

Processo que mostra políticas DMARC de rejeição, filtros de envio e restrições no controle de acesso.

Retransmissão tradicional utilizando uma solução no local

Veja a seguir três maneiras pelas quais a modernização dos aplicativos introduziu risco para a identidade de e-mail de uma organização.

1. Migração para a nuvem

Aplicativos no local agora estão migrando para ambientes de nuvem. Contudo, não há opções para retransmissão segura de SMTP disponíveis na nuvem.

Teoricamente, retransmissões de SMTP tradicionais no local podem continuar facilitando o DMARC e a filtragem de envio. No entanto, permitir que elas retransmitam e-mail de ambientes de nuvem externos é arriscado, pois significa transformá-las em “retransmissões abertas” (caso já não o sejam).

Aplicativos migrando para a nuvem, onde opções de retransmissão de SMTP modernas e seguras não estão disponíveis.

Expor retransmissões locais a ambientes externos é arriscado

2. Provedores de serviços de e-mail (ESPs)

ESPs certamente enviam e-mails em conformidade com DMARC. Contudo, eles exigem que seus clientes autorizem uma ampla infraestrutura compartilhada por meio de registros SPF. Infelizmente, registros SPF podem ser visualizados por malfeitores. Além disso, eles costumam não ser seguros e não proporcionam filtragem de envio.

E-mail em conformidade com DMARC exigindo autorização pelos clientes, o que é inseguro e não proporciona filtragem de envio.

Os ESPs são especializados em entregabilidade – e não em segurança

3. SaaS

Tais aplicativos são terceirizados para outros fornecedores. Como a maioria desses fornecedores concentra-se no desenvolvimento e na exclusividade de seus principais produtos, da mesma forma que a segurança de e-mail dos ESPs, a segurança não é sua maior prioridade.

  • Os provedores de SaaS frequentemente não conseguem enviar e-mail em conformidade com DMARC. Isso significa que é difícil implementar e manter políticas DMARC de “rejeição”.
  • Como no caso dos ESPs, esse cenário requer a autorização de infraestruturas frequentemente inseguras em registros SPF.

Os aplicativos SaaS são terceirizados para outros fornecedores, os quais não conseguem enviar e-mail em conformidade com DMARC.

O foco dos provedores de SaaS está no desenvolvimento de seus produtos principais – e não no e-mail

O Proofpoint SER oferece controle

Com tantos desafios, é difícil colocar as equipes de segurança e mensagens de volta no controle do e-mail de aplicativo. Mas foi exatamente isso que a Proofpoint conseguiu com o Proofpoint Secure Email Relay (SER). Veja algumas das maneiras pelas quais o Proofpoint SER resolve os desafios atuais:

Retransmissão modernizada

O princípio de controlar o e-mail de aplicativo por meio de uma retransmissão não mudou, necessariamente. O que mudou, porém, é a maneira pela qual a retransmissão é implantada e gerenciada.

Em termos de arquitetura, a maneira ideal de acomodar a modernização e a diversidade dos aplicativos é um modelo de retransmissão com uma topologia “estrela”. Nesse modelo:

  • Todos os e-mails — independentemente de seu ambiente de origem — passam pelo “núcleo” da estrela. É um lugar central para filtragem de e-mails, imposição de políticas e encriptação de conteúdo, bem como outras funções.
  • Os “raios” da estrela são conduítes opcionais que auxiliam na movimentação dos e-mails, de vários ambientes para o “núcleo” principal. Por exemplo, um “raio” leve na rede pode coletar e-mails de centenas ou milhares de aplicativos. Em seguida, é possível normalizar seu trânsito entre a rede de um cliente e o “núcleo”. Um “raio” de Amazon Simple Email Service (SES), por exemplo, pode utilizar o SES Mail Manager para rotear condicionalmente o e-mail para o “núcleo”.

Segurança

Geralmente, quando falamos da modernização de algo, imaginamos que isso seja mais seguro. No entanto, vale a pena estabelecer algumas dimensões aplicáveis a uma retransmissão de e-mail.

  • O processo de desenvolvimento e implantação da solução deve cumprir os padrões e práticas recomendadas de segurança mais recentes. Por exemplo, em vez de um servidor de e-mail monolítico, o Proofpoint SER baseia-se na nuvem, utilizando microsserviços. Uma arquitetura de microsserviços resulta em sistemas menores e específicos que oferecem uma superfície de ataque menor para malfeitores. Os microsserviços também utilizam um sistema moderno de CI/CD. Isso torna mais rápida a aplicação de correções de segurança e a implantação de mudanças na produção, com pouca ou nenhuma paralisação.
  • Os e-mails gerenciados pela solução devem estar criptografados em todo o processo. Em nível de conexão de entrada, deve-se exigir uma autenticação rigorosa dos aplicativos (TLS 1.2 ou maior, de preferência).
  • A solução deve oferecer recursos de segurança, como filtragem de spam (“AS”) e malware (“AV”). Ela também deve proteger informações confidenciais e ter capacidades de prevenção de perda de dados (DLP). Quaisquer e-mails egressos do sistema para a Internet devem ser assinados pelo DKIM com chaves de 2.048 bits submetidas a rotação a cada seis meses. Recomendamos acompanhar o progresso do DKIM2.

Serviços

Não há como escapar do elemento humano. Isso é particularmente válido no que se refere à desativação de retransmissões locais. Tais sistemas costumam lidar ativamente com vários tipos de e-mail. Isso inclui:

  • E-mails de centenas (se não milhares) de aplicativos. Dependendo da estratégia de migração, talvez os proprietários desses aplicativos devam ser consultados e apoiados durante o processo de transição.
  • E-mails críticos para a missão, como os de redefinição de senhas e códigos de MFA. Determinados aplicativos devem ser priorizados no tratamento e no tempo de sua migração.

A arquitetura “estrela” do Proofpoint SER

A arquitetura “estrela” do Proofpoint SER

Proteja melhor o seu e-mail com a Proofpoint

Com o Proofpoint SER, a sua organização pode gerenciar melhor todos os aplicativos e parceiros SaaS terceiros que enviam e-mail em seu nome. Com o Proofpoint SER, mesmo que uma dessas origens seja comprometida, você poderá desativá-las imediatamente. Isso é particularmente importante para aplicativos de terceiros que costumavam ficar fora do seu controle, mas que podiam causar danos consideráveis à sua marca.

Então, não importa se você quer aposentar suas retransmissões locais, aumentar a sua segurança com DKIM ou se simplesmente deseja um controle melhor sobre todo o seu e-mail de aplicativo, o Proofpoint SER pode ser exatamente o que você está procurando.

Quer saber mais?

Você pode assistir uma breve visão geral em vídeo ou visitar a página do produto Proofpoint Secure Email Relay. Você também está convidado a entrar em contato com o representante de vendas da Proofpoint, que pode ajudar a determinar se o Proofpoint SER é a ferramenta certa para você.

Se você é um cliente do Amazon SES e gostaria de saber mais sobre como proteger o seu tráfego de e-mail de aplicativo com o Proofpoint SER, nós realizamos recentemente um webinar conjunto com a Amazon sobre esse assunto.

Haverá também um próximo webinar chamado “Cloud Initiatives for Securely Sending Application-Generated Email” (Iniciativas de nuvem para envio seguro de e-mail gerado por aplicativos). Inscreva-se no evento aqui.

Previous Blog Post