O e-mail é importante. É importante porque as empresas dependem cada vez mais dele. É importante porque é através dele que se recuperam passwords de vários serviços. É importante porque as empresas o utilizam para transmitir facturas a clientes. É importante. Nesse ponto provavelmente estamos todos de acordo. Talvez seja então de começar a agir em conformidade com essa dita importância.


Os servidores corporativos devem controlar todo o tráfego do domínio

SPF, DKIM, existem há anos. Infelizmente mal configurados em muitos casos. A ideia é simples; todo o tráfego de e-mail de um dado domínio deve ter origem em servidores previamente identificados.

Muitas empresas, literalmente a medo, configuraram PPF/DKIM mas sem as flags que instruem os restantes servidores da Internet para recusarem qualquer mensagem que tenha origem em servidores errados.

O SPF e DKIM são francamente diferentes os servidores que “recebem” e-mail devem implementar ambas as tecnologias e recusar mail que venha dos servidores errados. Os servidores que enviam e-mail precisam de implementar (correctamente) pelo menos uma delas.


O e-mail deve ser sempre assinado digitalmente no cliente de e-mail

Assinar todos o e-mail digitalmente (recorrendo ao PGP ou a certificados S/MIME) é importante porque remove da equação a duvida sobre quem é o real remetente da mensagem. A esmagadora maioria dos ataques de phishing (e spear-phishing) baseiam-se no pressuposto do e-mail não ser devidamente autenticado na origem.

É importante perceber que a origem é o “cliente de e-mail do remetente” e não o servidor através do qual ele foi enviado. Um computador (de um dos funcionários) que tenha sido hackado provavelmente forneceu ao hacker as passwords do utilizador para fazer relay no servidor, passwords com as quais (na maioria dos cenários) ele (hacker) passa a poder passar por qualquer um dos funcionários da empresa a enviar e-mail pelo servidor corporativo. O certificado de cliente limita esse risco à falsificação do e-mail funcionário em causa (por oposição a todo o universo da empresa).

Ao não assinar digitalmente todos os e-mails estamos a expor clientes e colegas de trabalho a problemas de segurança que não deviam existir de todo. Esta classe de problemas de segurança depende totalmente da ignorância e margem de manobra proporcionada pelos responsáveis técnicos pelo e-mail das empresas. A ignorância cura-se, é uma coisa maravilhosa o que algumas horas a estudar um problema fazem no sentido de o resolver.

É francamente deprimente em 2015 ver bancos (todos?) e operadores de telecomunicações (MEO, Vodafone, etc) a comunicarem com clientes com mensagens não assinadas. E sim, há muitas empresa que há anos que assinam digitalmente as mensagens, isto não é propriamente tecnologia “nova”, tem mais de duas décadas. Lembro-me de há uma década atrás ver mensagens assinadas das “Estradas de Portugal”, da ZON (actual NOS, resta saber se passou bons hábitos à OPTIMUS ou se herdou os maus hábitos da empresa da SONAE, não fui verificar). Ver os “disclaimers” nas mensagens, do tipo “nunca metemos links nas mensagens”, e outros tesourinhos deprimentes, eram perfeitamente evitáveis com uma manhã de formação.

Não há desculpa nenhuma. É só falta de competência . O suporte a PGP e S/MIME existe para todos os sistemas operativos e praticamente todos os clientes de e-mail há décadas. As mensagens assinadas recebem atributos visuais (como os certificados SSL na web). Cada e-mail enviado entre colegas coloca a organização em risco (o Google e Apple foram hackados em ataques de spear-phishing), cada e-mail que se envia para fora da organização sem ser assinado coloca em risco parceiros, clientes e fornecedores.

As empresas precisam não só de implementar boas práticas mas também de exigir a parceiros e fornecedores que o façam. E se alguma informação deve ser passada aos clientes sobre o assunto não é de “não seguir links” ou que “nunca pedimos informação por e-mail”, mas sim de que devem habituar-se a verificar a proveniência das mensagens através dos simbolos que autenticam o remetente, da mesma forma que na web procuram pelos símbolos de SSL.


O e-mail deve ser encriptado nas comunicações internas e com fornecedores/parceiros.

Agora que o outsourcing dos servidores de e-mail na cloud (PT, gmail, Microsoft, etc) parece estar na moda, é importante perceber que independentemente de vulnerabilidades dos clientes, existe a possibilidade de alguém estar dos sistema de que a empresa depende para guardar mail terem fragilidades. Se o mail que lá é depositado estiver encriptado entre quem o enviou e quem o recebe, fica mitigado o problema do local onde o e-mail “aterra” e onde é “guardado”. Tanto o PGP como o S/MIME permitem encriptar os conteúdos do e-mail. Por defeito devem estar configurados para encriptar sempre que possível (i.e. quando ocorreu uma troca de certificados entre duas pessoas) todo o e-mail.

Não é difícil com qualquer uma das tecnologias assegurar que todas as pessoas de uma empresa (e interlocutores externos) trocaram certificados. No caso do S/MIME até é automático quando se recebe a primeira mensagem assinada, no caso do PGP existem repositórios de chaves públicas universalmente acessíveis por qualquer pessoa.

As mensagens encriptadas, à semelhança das “assinadas”, recebem nos clientes de e-mail referências visuais.


Os servidores de e-mail precisam de ser inteligentes e monitorizados…

Súbitas mudanças de localização dos clientes, novos devices, mensagens por assinar/encriptar. Tudo isso devem ser sinais de alarme e devem fazer soar os ditos juntos do utilizador e de quem gere o e-mail. O Gmail (por exemplo) implementa as duas primeiras particularmente bem.


A autenticação por dois (ou mais) factores…

Os utilizadores não podem fornecer informação que desconhecem a terceiros. Usar sempre autenticação por dois factores (de preferência sendo um deles biométrico, ou baseada em hardware diferente do que está a pedir a autenticação, ou uma combinação de ambos os pontos) é absolutamente obrigatório.

Hoje a vida está facilitada pela elevada percentagem telemóveis por utilizador rondar os 100%. Muitos desses telemóveis com leitores de impressão digital, todos eles capazes de correr uma aplicação da empresa e/ou de receber mensagens com passwords não reutilizáveis.

A utilização de certificados digitais, que complementam passwords, para efeitos de autenticação é absolutamente preciosa e simples de implementar dentro de cada empresa. O mito de que é complexo fazer o deployment (usando um instalador ou uma aplicação corporativa) é inqualificável através de palavras simpáticas.


Full IT

A Full IT há duas décadas que ajuda empresas e tornar o e-mail mais seguro.

- toda a consultoria,
- formação de quadros na administração de sistemas,
- desenho dos processos de deployment (desde instaladores a aplicações móveis corporativas),
- sistemas de backup de todo o mail que passa por servidores,
- fornece igualmente a opção de servidores como uma solução "chave na mão" a empresas de todo o mundo.

Tags: Mail, Full IT

Um serviço destruído e desleixado

É um dos serviços mais utilizados na Internet. Um dos mais mal tratados (usado sem encriptação de dados em trânsito, sem assinaturas digitais, sem os cuidados com privacidade que lhe são devidos, etc) muito por culpa dos ISP (Internet Service Provider) e empresas de hosting que em meados dos anos 90 o usaram como algo “gratuito”, “oferecido na compra de outros serviços”, que representava algum valor acrescentado às propostas mas que tinha custos irrisórios.

O resultado foi catastrófico e o e-mail passou rapidamente a um serviço com um notório défice de atenção da parte de administradores de sistemas. Tornou-se uma ameaça (Phishing), foi abusado (spam), não reunia o valor acrescentado para compensar investimentos na evolução das tecnologias que o sustentam e evangelização de utilizadores relativamente à forma correcta de o utilizar. Plataformas como o “Hotmail”, inseguras, sem qualquer suporte a criptografia (assinaturas digitais e encriptação de dados) e cheias de spam/phishing, literalmente destruíram a reputação do serviço como sendo seguro e privado.

Durante 20 anos (do inicio dos anos 90 até meados da primeira década do novo século tudo se degradou. Mesmo sendo o e-mail usado para missões criticas, para recuperar passwords, para transportar informação confidencial e de extrema importância...

Google foi o primeiro sinal de mudança

Com o “gmail” o Google começou a apontar caminhos diferentes. Não quando criou “mais um serviço gratuito de mail, que tinha como único atributo oferecer 1Gb de espaço”, em que parecia condenar-se a ser “mais do mesmo”, mas com um “twist” diferente na oferta de espaço mais generosa que a concorrência… mas sim quando começou a prestar serviços pagos para empresas e grupos. Estabeleceu preços (i.e. 50 euro por ano por cada conta, com direito a mais espaço “por conta” do que um ser humano “normal” é capaz de gastar) e padrões de qualidade. Durante os últimos 5 anos literalmente fui “empurrando” empresas (minhas clientes na Full IT) para o Google, de que a Full IT é revendedora.

A AnubisNetworks vende serviços relacionados com segurança e filtragem de “spam/phishing”. Mostraram que é possível e relevante para as empresas que pessoas com o ”know how” necessário tratem da segurança do e-mail. São excelentes, os melhores na sua actividade, e a minha recomendação para “limpar” e “proteger” empresas dos riscos associados ao e-mail. Estes riscos são absolutamente óbvios quando as maiores empresas do planeta tiveram graves problemas de segurança relacionados com “(spear)phishing”.

Nasceu o “FullMailServer” da “Full IT”!

Desgostoso com a abordagem de misturar o e-mail com calendários, gestores de contactos e (no caso do google) uma panóplia infindável de aplicações para fazer “tudo e um par de botas”, o serviço da Full IT é só de mail: mail que funcione bem, seja privado e seguro. Não gosto do preço do gmail (50 euro por ano por utilizador é uma barbaridade de caro na minha opinião). Não gosto da ausência de suporte. Não gosto de limitações do serviço na criação de “forwarders” entre contas, de ausência de aliases não associados a qualquer conta em particular. Falta ao Google, muito pela natureza e massificação dos serviços que presta, a sensibilidade para dar apoio aos seus clientes em casos em que o e-mail falha (ou é recusado, ou não é transmitido), para os ajudar a criar certificados digitais para usarem nas suas contas e assinarem e encriptarem correio. Não me agrada que o “POP” e o “IMAP” sejam vistos como “opcionais”, algo que tem de ser ligado, que por defeito o webmail seja a oferta de base do serviço. Não me interpretem mal, o serviço é “bom” e “vale o muito dinheiro que custa”, e para vários casos será uma solução adequada.

Eu tenho uma alternativa radicalmente diferente para oferecer:



- Servidores de mail em que as empresas podem criar as contas que entenderem, os “aliases” (contas virtuais, endereços que correspondem a uma ou mais pessoas dentro da organização) para essas contas de que necessitarem, fazer os “forwards” e notificações necessários à sua actividade.

- O webmail é visto como uma “alternativa de recurso” (onde configurar “mensagens de ausência”, “mudar passwords” e eventualmente, na ausência de um cliente de email em computador ou telemóvel, se possa enviar/receber esporadicamente alguma mensagem. O que não significa que não tenha um interface cuidado, bastante mais agradável e funcional que o gmail, com drag&drop e muito semelhante ao que de melhor se faz em clientes de e-mail nativos no Mac/Windows/Linux…

- A primazia é para a utilização de IMAP (protegido por SSL) com suporte a IDLE (para o tornar mais rápido e adequado para a utilização em plataformas móveis) para receber e-mail e SMTP (protegido por SSL) para enviar correio. Funciona em todos os principais clientes de e-mail de Mac/windows/Linux (Outlook, Thunderbird, Apple Mail, etc) e de telemóveis (Android/iPhone/iPad). O envio de e-mail através de sistemas proprietários (Blackberry por exemplo) não é suportado.

- Não são suportados protocolos inseguros (i.e. sem SSL) e os utilizadores são acompanhados na criação de certificados digitais para assinarem e encriptarem todo o e-mail. Ao contrário do que se passa com o gmail, no nosso serviço as mensagens devem ser privadas, não se faz perfilagem dos utilizadores para lhes mostrar publicidade. Não é suportado POP por ser um protocolo pouco adequado para gerir automatismos de servidores e permitir aos utilizadores lidar com filtros de spam sem recorrer a interfaces “web”.

- O serviço é monitorizado 24h por dia (para detectar roubos de passwords, acessos indevidos a contas, problemas com recepção e envio de mensagens). Tem suporte profissional, de uma equipa que lida com filtros de Spam (treináveis pelos utilizadores) com capacidade de filtragem de 99% do spam e phishing.



- Quanto a preços quero afastar-me precisamente do que tanto me desagrada no modelo do Google para o gmail: é cobrado apenas o espaço usado pela empresa, e não quantas contas ou e-mails administrativos a empresa necessita de criar. Se a empresa fizer cópias para folders locais do e-mail, em vez de o deixar nos servidores, pode ter milhares de colaboradores no pacote “mais acessível” (i.e. 32 euros/mês por 50gb). Para a maioria das empresas que usar racionalmente os recursos em termos de espaço o serviço custará 384 euros por ano na modalidade mais barata. É equivalente a 7 contas do gmail! Para as que necessitarem de mais espaço, ou optem por guardar o mail nos servidores (onde há backups diários e um nível de segurança elevado) temos pacotes até 1000gb (e podemos vender tantos desses quanto a empresa necessitar).

O serviço começa dia no 29 de Maio de 2013 e é dirigido fundamentalmente a empresas e grupos de indivíduos que queiram e-mail realmente seguro, privado e isento de spam/phishing. Pode ser subscrito em http://www.fullmailserver.com

PS: repararam que não mencionei os “serviços de cloud” da Microsoft? Ao fim de duas décadas a ver vírus, malware, vulnerabilidades idiotas, patches infindáveis… francamente perdi a pachorra. A Microsoft é irrelevante, teve os seus dias, usar software deles por saudosismo ou desconhecimento é de um masoquismo sem paralelo. No século XXI não contam...

Tags: Full IT, MrNet, Mail