Mejora la seguridad del correo electrónico en Gmail usando TLS de forma predeterminada y otras funciones nuevas

11 / 05 / 2020 Noticias Google Workspace

¿Qué cambios implementa Google?

Recientemente, el Blog de seguridad de Google anunció que la seguridad de la capa de transporte (TLS) se aplica a más del 96% de todo el tráfico que reciben los navegadores Chrome que usan el Sistema operativo Chrome. Esta entrada de blog también destacó un objetivo significativo: habilitar TLS de forma predeterminada para los productos y servicios de Google, y garantizar que TLS funcione de manera instantánea.

Dado que Gmail ya admite TLS, si la conexión de correo electrónico del Protocolo para transferencia simple de correo (SMTP) se puede proteger con TLS, se le aplicará esa protección. Sin embargo, para lograr que más organizaciones refuercen la seguridad de su correo electrónico y fomentar el objetivo de habilitar TLS de forma predeterminada, Google realiza los siguientes cambios:

Ahora TLS estará habilitada de forma predeterminada para las conexiones de correo electrónico.
Los administradores ahora pueden probar la configuración de TLS de las rutas salientes de SMTP en la Consola de Administración antes de la implementación. Esto significa que ya no tienen que esperar a que los mensajes reboten.

Si bien los administradores siempre tuvieron la opción de exigir la encriptación de TLS para las rutas de correo electrónico, esa opción antes estaba desactivada de forma predeterminada. Ten en cuenta que las rutas de correo electrónico existentes no se verán afectadas por estos cambios.

¿A quiénes afecta el cambio?

Administradores.

¿Por qué usar esta función?

Google siempre recomienda que los administradores habiliten las funciones existentes de seguridad del correo electrónico, incluidos SPF, DKIM y DMARC, para proteger a los usuarios finales. También se recomienda que los administradores activen MTA Strict Transport Security (MTA-STS) para mejorar la seguridad de Gmail, ya que este protocolo exige controles de autenticación y la encriptación del correo electrónico que se envía a sus dominios. La habilitación predeterminada de TLS en las nuevas rutas de correo electrónico de SMTP mejora la estrategia de seguridad a los clientes. Por otro lado, si los administradores pueden probar las conexiones antes de aplicar TLS de manera forzosa en las rutas existentes, podrán implementar las políticas de seguridad recomendadas con mayor facilidad.

Este cambio no afectará las rutas de correo electrónico que se hayan creado anteriormente.

Detalles adicionales

Habilitación predeterminada de TLS en las nuevas rutas de correo electrónico

Si TLS está habilitada de forma predeterminada para las nuevas rutas de correo electrónico, también estarán habilitados de este modo todos los requisitos de validación de certificados. Esto garantiza que los hosts de los destinatarios tengan un certificado que esté emitido para el host adecuado y firmado por una autoridad certificada (CA) de confianza. Consulta debajo para conocer más detalles sobre cómo se cambiarán los requisitos para las CA de confianza.

Los administradores aún podrán personalizar su configuración de seguridad de TLS en las nuevas rutas de correo electrónico que se creen. Por ejemplo, si el correo electrónico se reenvía a servidores de correo locales o de terceros por medio de Certificados de CA internos, es posible que los administradores deban inhabilitar la validación de los Certificados de CA. No es recomendable que inhabilites la validación de los Certificados de CA ni que inhabilites TLS por completo. Se sugiere a los administradores que, antes de inhabilitar las validaciones recomendadas, prueben su configuración de TLS de SMTP en la Consola de Administración a fin de validar la conexión TLS a los servidores de correo electrónico externos. Consulta más detalles sobre cómo probar las conexiones TLS en la Consola de Administración.

Desconfianza de Gmail en las autoridades certificadas

Anteriormente, el Blog de seguridad de Google destacó ciertos casos en los que Chrome ya no confía en los Certificados raíz de CA que se usan para interceptar el tráfico en el Internet público y otros casos en los que Chrome desconfía de ciertas CA.

Si se producen estas situaciones en el futuro, Gmail también desconfiará de estos certificados. Cuando esto sucede, si ya no se confía en la CA, es posible que reboten los correos electrónicos que se envían por medio de rutas que requieren TLS con la aplicación forzosa de los certificados firmados por CA. Si bien la lista de los certificados raíz en los que confía Gmail se puede recuperar del repositorio de servicios de confianza de Google, les recomendamos a los administradores que usen la función “Probar la conexión TLS” en la Consola de Administración a fin de confirmar si no se confía en los certificados.

Función “Probar la conexión TLS” en la Consola de Administración

Los administradores ahora pueden usar la nueva función “Probar la conexión TLS” para verificar si una ruta de correo electrónico puede establecer correctamente una conexión TLS con una validación completa a cualquier destino, como un servidor de correo electrónico local o una retransmisión de correo de terceros, antes de aplicar TLS de manera forzosa para ese destino.

¿Cómo comenzar?

Administradores:

Configuración de TLS

TLS estará ACTIVADA de forma predeterminada para todas las rutas de correo electrónico nuevas. Les recomendamos a los administradores que revisen todas sus rutas existentes y que, además, habiliten todas las opciones de seguridad de TLS recomendadas para esas rutas.

Prueba de las conexiones TLS

Los administradores que quieran exigir una conexión TLS segura para los correos electrónicos ahora podrán verificar que la conexión al servidor de correo electrónico del destinatario sea válida. Para ello, simplemente deberán hacer clic en el botón “Probar la conexión TLS” en la Consola de Administración. Ya no es necesario que esperen a que los correos electrónicos reboten.