O e-mail existe há muito tempo. Meus primeiros dias de comunicação remota começaram na era “You’ve got mail”, com a AOL dominando a participação no mercado americano de internet discada e e-mail. Outros serviços gratuitos de e-mail surgiram e as empresas que buscavam expandir globalmente viram o e-mail como uma ferramenta de comunicação mais barata e rápida para conduzir negócios. No início dos anos 2000, era comum ver empresas hospedando seus próprios servidores de e-mail internos, geralmente gerenciando usuários por meio do Active Directory, a ferramenta de gerenciamento de identidade e acesso dominante na época. Existiam alternativas ao Linux, porém limitadas a empresas que pudessem contratar suporte dedicado para manter esses sistemas funcionando. Uma coisa importante a saber é que o e-mail não foi projetado inicialmente com a segurança em mente. Desde as primeiras versões de e-mail desde a década de 1980, temos adaptado novos tipos de segurança sobre as versões existentes para se adaptar às tecnologias e protocolos modernos. No entanto, muitas configurações de e-mail são propositadamente projetadas para serem compatíveis com versões anteriores, o que geralmente pode enfraquecer a postura de segurança de uma organização.
Na evolução moderna do e-mail, vemos que muitas organizações passaram a usar “e-mail gerenciado” como provedor de serviços. Os mais comuns que se destacam são Office365 da Microsoft, Gsuite do Google, Zoho Workplace da Zoho. Todos esses serviços permitem o máximo de tempo de atividade e disponibilidade, minimizando o custo de hardware e permitindo a escalabilidade rápida entre o número de usuários. Além de grandes provedores, existem inúmeros provedores menores que geralmente agrupam hospedagem na web e e-mail, como Go Daddy ou Bluehost, com um conjunto de recursos reduzido.
De finanças corporativas a tarefas diárias, muitas empresas dependem do e-mail para manter as coisas funcionando. É uma das poucas ferramentas de comunicação entre empresas que temos, além de telefone ou correio físico. É também um dos sistemas mais visados e comprometidos com sucesso no mundo hoje. Explicarei as práticas recomendadas de e-mail, bem como as armadilhas comuns na configuração.
Hospedado x SaaS
Os provedores gerenciados podem oferecer vários níveis de serviço em diferentes faixas de preço. A maioria das pessoas concordaria que usar um provedor gerenciado supera o risco de hospedar e-mail em sua empresa. Você não precisa se preocupar com patches, desativar um servicer para manutenção, substituir certificados ou arquivar emails em um armazenamento de longo prazo. Uma consideração que os usuários devem estar cientes são as implicações de longo alcance de ter acesso ao próprio e-mail. O acesso ao e-mail geralmente está conectado a muitas outras ferramentas corporativas por meio de conexões e processos de terceiros. Alguns exemplos podem incluir a compra de software, controle financeiro, logística ou repositórios de códigos privados. Isso basicamente fornece um balcão único para um usuário mal-intencionado obter acesso a vários sistemas ao mesmo tempo.
Infelizmente, as senhas vazadas ainda são uma das formas mais comuns de agentes mal-intencionados entrarem no e-mail. Despejos de senha ocorrem quando sites comumente usados que contêm informações do usuário são comprometidos e o banco de dados de senhas é roubado. Os atores venderão ou postarão esses e-mails e senhas em sites públicos. O maior problema aqui não é que o site foi hackeado, mas que muitos usuários reutilizam as mesmas senhas em outros sites. Isso significa que um usuário pode ter a mesma senha em um site como seu e-mail corporativo. Quando isso acontece, basta que um invasor tente a mesma combinação de senha em vários serviços até obter acesso.
Pequenos detalhes causam grande impacto
O maior benefício dos provedores de e-mail gerenciados é a disposição de implementar a segurança com seriedade e se adaptar a uma organização. Normalmente, por padrão, esses provedores oferecem proteção básica e habilitam a maioria dos recursos de criptografia. Alguma outra proteção básica pode incluir filtragem de spam e filtragem de URL maliciosa e configurações comuns em torno de SPF, DKIM e DMARC. No entanto, os usuários têm a capacidade de substituir as configurações padrão e podem não entender a consequência. Um exemplo é alterar as configurações para aumentar a compatibilidade com dispositivos ou softwares mais antigos, protocolos conhecidos como POP3 e IMAP. Esses sistemas permitem que o e-mail seja baixado e replicado para um dispositivo compatível; no entanto, o mecanismo de autenticação usa apenas um nome de usuário e senha e não precisa necessariamente ser enviado por um canal criptografado. Isso o abre para algumas fraquezas das quais você pode não estar ciente.
1) Pulverização de senhas – Adivinhar as senhas dos usuários ao longo de meses ou anos sem qualquer período de bloqueio
2) Falta de MFA – Esses protocolos não suportam autenticação multifator
– Esses recursos podem não oferecer suporte à criptografia em trânsito.
Existem centenas de configurações que podem ter consequências de longo alcance. Encorajo os administradores a entender as configurações por meio do serviço que adquirem. Para proteger ainda mais o e-mail, alguns novos fornecedores de segurança estão analisando os e-mails para procurar abate de porcos ou golpes de fatura, que procuram pistas comportamentais em comparação com uma linha de base padrão que uma organização pode ter. Isso pode ajudar na camada de proteção para evitar fraudes ou enganos antecipadamente, geralmente direcionados a determinados usuários (como seu CEO ou CFO).
O e-mail continua a ser a ferramenta de comunicação preferida com mais de 125 bilhões trocados todos os dias e forçar os usuários a usar o MFA pode prevenir ataques. Mesmo com outras ferramentas remotas crescendo em popularidade, como Slack e Zoom, continuamos a ver o e-mail como o jogador dominante no espaço de comunicação. O trabalho remoto veio para ficar e as empresas devem continuar a garantir que suas formas básicas de comunicação sejam configuradas e protegidas adequadamente.