S/MIME: O que é, por que eu deveria me importar e como isso se relaciona com o SparkPost?
Pássaro
19 de dez. de 2018
1 min read
Principais Conclusões
Premissa: S/MIME (Extensões de Correio da Internet Seguro/Múltiplos Propósitos) é um padrão de longa data para enviar e-mails assinados e criptografados — crítico para indústrias que lidam com dados sensíveis como finanças, saúde e governo.
Objetivo: Explicar o que S/MIME faz, por que é importante, como difere de DKIM/DMARC/TLS e como se integra com SparkPost.
Destaques:
Definição: S/MIME habilita duas capacidades essenciais:
Cryptografia → Protege o conteúdo da mensagem (privacidade).
Assinatura → Confirma a identidade do remetente, previne adulterações e garante não repúdio.
Uso na indústria: Necessário ou preferido por setores regulados que necessitam de privacidade de mensagem de ponta a ponta e identidade verificável.
Comparação com outras proteções de e-mail:
TLS: Protege a transmissão entre servidores (camada de transporte).
S/MIME: Protege o conteúdo da mensagem em si (camada de apresentação).
DKIM/DMARC: Autentica domínios, não indivíduos, e funciona no nível de administrador/servidor.
Mecânica:
Usa pares de chaves públicas/privadas e certificados digitais emitidos por identidade de e-mail (por exemplo, alice@empresa.com).
Exige clientes de e-mail compatíveis (Apple Mail, Outlook, Thunderbird, iOS Mail, etc.).
Limitações:
Chaves e certificados podem ser complexos de gerenciar.
Payloads criptografados não podem ser verificados para detectar malware.
Cabeçalhos (De, Para, Assunto) permanecem visíveis.
Integração com SparkPost:
Usuários do SparkPost podem assinar mensagens com S/MIME para maior autenticidade.
Para envio criptografado, os destinatários devem primeiramente compartilhar sua chave pública (por exemplo, enviando uma mensagem assinada).
Parceiros comerciais como Virtru e Echoworx simplificam isso para fluxos de trabalho corporativos.
Próximos passos:
Parte 2 da série demonstra como assinar e criptografar mensagens através do SparkPost.
Partes posteriores mostram configurações locais usando PowerMTA e Momentum.
Destaques de Perguntas e Respostas
Por que o S/MIME é importante se já utilizo TLS ou DKIM?
O TLS protege a conexão entre os servidores, enquanto o S/MIME protege o conteúdo em si—garantindo que permaneça privado e verificável mesmo após a entrega.
Quem precisa mais de S/MIME?
Indústrias regulamentadas (finanças, governo, saúde) e qualquer organização que envie e-mails confidenciais, legalmente vinculativos ou sensíveis à identidade.
Quais problemas o S/MIME resolve?
Ele previne interceptação e falsificação, garante a autenticidade do remetente e fornece provas de que uma mensagem não foi alterada.
O SparkPost suporta S/MIME nativamente?
A SparkPost suporta o envio de mensagens no formato S/MIME; você só precisa assinar/encriptar seu conteúdo antes de enviar via API ou SMTP.
Como eu consigo certificados?
Os certificados podem ser emitidos por provedores como Comodo (gratuito para uso não comercial) ou autoassinados para testes internos.
E se o meu destinatário não conseguir ler e-mails criptografados?
Eles ainda verão o cabeçalho da mensagem assinada, mas para descriptografar, devem instalar um cliente compatível e ter sua chave privada importada.
Como a troca de chaves é tratada para e-mails gerados pelo aplicativo?
Os destinatários podem enviar um e-mail para o seu serviço com uma mensagem assinada; a chave pública deles pode ser extraída automaticamente via webhooks de relé de entrada.
S/MIME é um método há muito estabelecido de envio de e-mails criptografados e assinados, baseado em padrões públicos da Internet. Regularmente encontramos requisitos para S/MIME, particularmente de indústrias regulamentadas, como bancos, saúde e finanças. O S/MIME é frequentemente necessário ao se comunicar entre empresas e agências governamentais, por exemplo.
Outro padrão de e-mail seguro, PGP (engraçadamente chamado de “Pretty Good Privacy”), é utilizado mais para comunicações seguras de pessoa para pessoa. Ele é menos popular agora porque as versões de consumo dos clientes de e-mail baseados na web, como Gmail e Outlook/Hotmail, não conseguem exibir e-mails criptografados. Essa é uma das razões pelas quais muitas comunicações de pessoa para pessoa que requerem privacidade foram deslocadas para plataformas como WhatsApp (e muitas outras) que oferecem criptografia nativa de ponta a ponta.
Ambos, PGP e S/MIME, requerem um cliente de e-mail que possa usar chaves e certificados. Muitos clientes de desktop e mobile, incluindo Apple Mail, Microsoft Outlook e Mozilla Thunderbird, se encaixam no perfil, assim como versões comerciais de alguns clientes da web, como Microsoft Office 365. Configurar as chaves dá trabalho, mas muitas organizações ainda consideram isso válido, apesar das recentes divulgações de vulnerabilidades que exigem remédios para bloquear o carregamento de conteúdo remoto.
O S/MIME existe desde 1995 e passou por várias revisões; a versão atual é coberta pelo RFC 5751. Isso requer a troca de chaves públicas, uma tarefa não trivial que muitas vezes exige o apoio de uma equipe de TI ou um recurso similar. Para organizações que utilizam infraestrutura de e-mail local, implementar S/MIME requer considerações adicionais para plataformas como PowerMTA e Momentum, que abordamos em nosso guia sobre S/MIME para e-mail seguro em locais. No entanto, existem abordagens automatizadas para simplificar esse processo, como coletar chaves públicas dos destinatários através de sistemas baseados em e-mail que podem simplificar o gerenciamento de chaves para fluxos de e-mails gerados por aplicativos. É aqui que entram soluções comerciais de empresas como os parceiros da SparkPost, Virtru e Echoworkx, facilitando a segurança para o envio de e-mails empresariais de pessoa para pessoa (veja nosso guia SparkPost/Echoworkx para mais informações).
Dito isso, vamos aprofundar um pouco mais no simples S/MIME e ver o que podemos fazer com ele.
S/MIME é um método há muito estabelecido de envio de e-mails criptografados e assinados, baseado em padrões públicos da Internet. Regularmente encontramos requisitos para S/MIME, particularmente de indústrias regulamentadas, como bancos, saúde e finanças. O S/MIME é frequentemente necessário ao se comunicar entre empresas e agências governamentais, por exemplo.
Outro padrão de e-mail seguro, PGP (engraçadamente chamado de “Pretty Good Privacy”), é utilizado mais para comunicações seguras de pessoa para pessoa. Ele é menos popular agora porque as versões de consumo dos clientes de e-mail baseados na web, como Gmail e Outlook/Hotmail, não conseguem exibir e-mails criptografados. Essa é uma das razões pelas quais muitas comunicações de pessoa para pessoa que requerem privacidade foram deslocadas para plataformas como WhatsApp (e muitas outras) que oferecem criptografia nativa de ponta a ponta.
Ambos, PGP e S/MIME, requerem um cliente de e-mail que possa usar chaves e certificados. Muitos clientes de desktop e mobile, incluindo Apple Mail, Microsoft Outlook e Mozilla Thunderbird, se encaixam no perfil, assim como versões comerciais de alguns clientes da web, como Microsoft Office 365. Configurar as chaves dá trabalho, mas muitas organizações ainda consideram isso válido, apesar das recentes divulgações de vulnerabilidades que exigem remédios para bloquear o carregamento de conteúdo remoto.
O S/MIME existe desde 1995 e passou por várias revisões; a versão atual é coberta pelo RFC 5751. Isso requer a troca de chaves públicas, uma tarefa não trivial que muitas vezes exige o apoio de uma equipe de TI ou um recurso similar. Para organizações que utilizam infraestrutura de e-mail local, implementar S/MIME requer considerações adicionais para plataformas como PowerMTA e Momentum, que abordamos em nosso guia sobre S/MIME para e-mail seguro em locais. No entanto, existem abordagens automatizadas para simplificar esse processo, como coletar chaves públicas dos destinatários através de sistemas baseados em e-mail que podem simplificar o gerenciamento de chaves para fluxos de e-mails gerados por aplicativos. É aqui que entram soluções comerciais de empresas como os parceiros da SparkPost, Virtru e Echoworkx, facilitando a segurança para o envio de e-mails empresariais de pessoa para pessoa (veja nosso guia SparkPost/Echoworkx para mais informações).
Dito isso, vamos aprofundar um pouco mais no simples S/MIME e ver o que podemos fazer com ele.
S/MIME é um método há muito estabelecido de envio de e-mails criptografados e assinados, baseado em padrões públicos da Internet. Regularmente encontramos requisitos para S/MIME, particularmente de indústrias regulamentadas, como bancos, saúde e finanças. O S/MIME é frequentemente necessário ao se comunicar entre empresas e agências governamentais, por exemplo.
Outro padrão de e-mail seguro, PGP (engraçadamente chamado de “Pretty Good Privacy”), é utilizado mais para comunicações seguras de pessoa para pessoa. Ele é menos popular agora porque as versões de consumo dos clientes de e-mail baseados na web, como Gmail e Outlook/Hotmail, não conseguem exibir e-mails criptografados. Essa é uma das razões pelas quais muitas comunicações de pessoa para pessoa que requerem privacidade foram deslocadas para plataformas como WhatsApp (e muitas outras) que oferecem criptografia nativa de ponta a ponta.
Ambos, PGP e S/MIME, requerem um cliente de e-mail que possa usar chaves e certificados. Muitos clientes de desktop e mobile, incluindo Apple Mail, Microsoft Outlook e Mozilla Thunderbird, se encaixam no perfil, assim como versões comerciais de alguns clientes da web, como Microsoft Office 365. Configurar as chaves dá trabalho, mas muitas organizações ainda consideram isso válido, apesar das recentes divulgações de vulnerabilidades que exigem remédios para bloquear o carregamento de conteúdo remoto.
O S/MIME existe desde 1995 e passou por várias revisões; a versão atual é coberta pelo RFC 5751. Isso requer a troca de chaves públicas, uma tarefa não trivial que muitas vezes exige o apoio de uma equipe de TI ou um recurso similar. Para organizações que utilizam infraestrutura de e-mail local, implementar S/MIME requer considerações adicionais para plataformas como PowerMTA e Momentum, que abordamos em nosso guia sobre S/MIME para e-mail seguro em locais. No entanto, existem abordagens automatizadas para simplificar esse processo, como coletar chaves públicas dos destinatários através de sistemas baseados em e-mail que podem simplificar o gerenciamento de chaves para fluxos de e-mails gerados por aplicativos. É aqui que entram soluções comerciais de empresas como os parceiros da SparkPost, Virtru e Echoworkx, facilitando a segurança para o envio de e-mails empresariais de pessoa para pessoa (veja nosso guia SparkPost/Echoworkx para mais informações).
Dito isso, vamos aprofundar um pouco mais no simples S/MIME e ver o que podemos fazer com ele.
Por que eu deveria me importar?
A versão curta:
A criptografia oferece privacidade na mensagem.
A assinatura fornece autenticação (do remetente), não-repúdio da origem e verificações de integridade da mensagem.
S/MIME funciona de maneira diferente de DKIM e DMARC e pode coexistir com eles.
Privacidade
Se suas mensagens não contêm nada pessoal, privado ou juridicamente importante, então você provavelmente não precisará pensar sobre S/MIME. Sistemas modernos de entrega de e-mail, como SparkPost, já usam “TLS oportunista” para garantir o transporte da mensagem do servidor de envio para o servidor do destinatário.
A parte “oportunista” significa, no entanto, que se o servidor de envio não conseguir negociar uma conexão segura, enviaremos o e-mail em texto simples. Isso não é adequado se você quiser forçar que a mensagem seja segura o tempo todo. Você pode dar uma olhada em quais provedores de caixa de entrada afirmam suporte a TLS e quais realmente o fazem. Assumindo que o servidor do destinatário suporta TLS, sua mensagem é protegida assim:
O TLS protege as conversas entre servidores de e-mail (por isso é chamado de Segurança na Camada de Transporte). MIME (incluindo S/MIME) se preocupa com o conteúdo da mensagem e seu tratamento, e pode ser considerado parte da “camada de apresentação”.
S/MIME protege o conteúdo da mensagem do começo ao fim (“end to end”) desde a origem da mensagem até o cliente de e-mail do destinatário, encapsulando o corpo da mensagem.
S/MIME criptografa o corpo da mensagem com a chave pública do destinatário. O corpo não pode ser decifrado sem a chave privada do destinatário - não por qualquer “pessoa no meio”, como seu ISP, SparkPost ou o servidor de e-mail do destinatário.
A chave privada nunca é divulgada; ela é mantida em posse exclusiva do destinatário. A mensagem criptografada viaja pela Internet até o servidor de e-mail do destinatário. Quando chega na caixa de entrada do destinatário, é (geralmente automaticamente) descriptografada com sua chave privada e se torna legível.
Alguns pontos de atenção sobre S/MIME:
A criptografia S/MIME tem o efeito colateral de impedir a análise de mensagens recebidas por servidores em busca de malware, porque o conteúdo da mensagem está em forma criptografada e, portanto, inidentificável.
Note que os cabeçalhos da mensagem (De:, Para:, Assunto:, etc.) não são criptografados, portanto, o conteúdo da linha de assunto precisa ser criado com isso em mente.
Assinatura – autenticação
O S/MIME também fornece ao destinatário a capacidade de verificar se a identidade do remetente da mensagem é realmente quem diz ser.
O e-mail do remetente possui um certificado anexado, o qual, assim como o certificado em um site seguro, pode ser rastreado até uma autoridade emissora. Para uma descrição completa do processo de assinatura, veja o PDF do processo de assinatura S/MIME.
Vamos adotar a abordagem de assinar o e-mail primeiro e depois criptografá-lo, de modo que o processo fique assim:
Não-repúdio
Outro benefício útil da assinatura para o destinatário é o não-repúdio da origem. Considere uma situação em que uma mensagem de e-mail é usada para aprovar um contrato. O destinatário recebe o contrato em uma mensagem do remetente. Se o remetente tentar dizer mais tarde: “Não, eu nunca enviei essa mensagem para você”, a mensagem recebida mostra que o certificado do remetente foi, de fato, utilizado.
Integridade da mensagem
O processo de assinatura cria uma impressão digital da mensagem original em texto claro (conhecida como um resumo de mensagem), criptografa o resumo usando a chave privada do remetente e o inclui na mensagem entregue. O cliente de e-mail do destinatário pode informar se o corpo da mensagem foi alterado.
Talvez você diga: “Eu pensei que DKIM me dá verificações de integridade da mensagem!” Bem, sim, o DKIM fornece verificações de integridade do corpo da mensagem e cabeçalho da mensagem - garantias contra adulteração. No entanto, uma falha (ou ausência) do DKIM não geralmente leva a mensagem recebida a ser marcada como completamente inválida… a menos que uma política de DMARC com p=reject esteja em vigor (veja nosso post no blog DMARC: Como Proteger Sua Reputação de E-mail). O DKIM é um dos muitos fatores usados pelo ISP para a atribuição confiável de reputação a um domínio e é, claro, uma parte essencial de sua pilha de mensagens.
Seu cliente de e-mail mostrará se uma mensagem S/MIME falha nas verificações de assinatura:
Resumo: fim a fim (S/MIME) vs servidor a servidor (DKIM, DMARC, TLS)
O S/MIME é uma capacidade da camada de apresentação que pode funcionar entre dois usuários finais de e-mail (com certificados/chaves válidas) sem qualquer ação do administrador de e-mail. O S/MIME fornece criptografia e assinatura e é pessoal para cada usuário.
O S/MIME está ligado ao endereço completo de envio (parte local e parte de domínio), portanto, por exemplo, alice@bigcorp.com e bob@bigcorp.com precisariam ter certificados diferentes. Em contraste, DKIM valida se o e-mail está vindo do domínio que assina. DKIM é um tema todo por si só; este artigo é um bom lugar para começar.
DKIM e DMARC são configurados pelo seu administrador de e-mail (trabalhando no servidor de e-mail e nos registros DNS). Uma vez configurados, eles estão ativos para domínios, em vez de usuários individuais.
A versão curta:
A criptografia oferece privacidade na mensagem.
A assinatura fornece autenticação (do remetente), não-repúdio da origem e verificações de integridade da mensagem.
S/MIME funciona de maneira diferente de DKIM e DMARC e pode coexistir com eles.
Privacidade
Se suas mensagens não contêm nada pessoal, privado ou juridicamente importante, então você provavelmente não precisará pensar sobre S/MIME. Sistemas modernos de entrega de e-mail, como SparkPost, já usam “TLS oportunista” para garantir o transporte da mensagem do servidor de envio para o servidor do destinatário.
A parte “oportunista” significa, no entanto, que se o servidor de envio não conseguir negociar uma conexão segura, enviaremos o e-mail em texto simples. Isso não é adequado se você quiser forçar que a mensagem seja segura o tempo todo. Você pode dar uma olhada em quais provedores de caixa de entrada afirmam suporte a TLS e quais realmente o fazem. Assumindo que o servidor do destinatário suporta TLS, sua mensagem é protegida assim:
O TLS protege as conversas entre servidores de e-mail (por isso é chamado de Segurança na Camada de Transporte). MIME (incluindo S/MIME) se preocupa com o conteúdo da mensagem e seu tratamento, e pode ser considerado parte da “camada de apresentação”.
S/MIME protege o conteúdo da mensagem do começo ao fim (“end to end”) desde a origem da mensagem até o cliente de e-mail do destinatário, encapsulando o corpo da mensagem.
S/MIME criptografa o corpo da mensagem com a chave pública do destinatário. O corpo não pode ser decifrado sem a chave privada do destinatário - não por qualquer “pessoa no meio”, como seu ISP, SparkPost ou o servidor de e-mail do destinatário.
A chave privada nunca é divulgada; ela é mantida em posse exclusiva do destinatário. A mensagem criptografada viaja pela Internet até o servidor de e-mail do destinatário. Quando chega na caixa de entrada do destinatário, é (geralmente automaticamente) descriptografada com sua chave privada e se torna legível.
Alguns pontos de atenção sobre S/MIME:
A criptografia S/MIME tem o efeito colateral de impedir a análise de mensagens recebidas por servidores em busca de malware, porque o conteúdo da mensagem está em forma criptografada e, portanto, inidentificável.
Note que os cabeçalhos da mensagem (De:, Para:, Assunto:, etc.) não são criptografados, portanto, o conteúdo da linha de assunto precisa ser criado com isso em mente.
Assinatura – autenticação
O S/MIME também fornece ao destinatário a capacidade de verificar se a identidade do remetente da mensagem é realmente quem diz ser.
O e-mail do remetente possui um certificado anexado, o qual, assim como o certificado em um site seguro, pode ser rastreado até uma autoridade emissora. Para uma descrição completa do processo de assinatura, veja o PDF do processo de assinatura S/MIME.
Vamos adotar a abordagem de assinar o e-mail primeiro e depois criptografá-lo, de modo que o processo fique assim:
Não-repúdio
Outro benefício útil da assinatura para o destinatário é o não-repúdio da origem. Considere uma situação em que uma mensagem de e-mail é usada para aprovar um contrato. O destinatário recebe o contrato em uma mensagem do remetente. Se o remetente tentar dizer mais tarde: “Não, eu nunca enviei essa mensagem para você”, a mensagem recebida mostra que o certificado do remetente foi, de fato, utilizado.
Integridade da mensagem
O processo de assinatura cria uma impressão digital da mensagem original em texto claro (conhecida como um resumo de mensagem), criptografa o resumo usando a chave privada do remetente e o inclui na mensagem entregue. O cliente de e-mail do destinatário pode informar se o corpo da mensagem foi alterado.
Talvez você diga: “Eu pensei que DKIM me dá verificações de integridade da mensagem!” Bem, sim, o DKIM fornece verificações de integridade do corpo da mensagem e cabeçalho da mensagem - garantias contra adulteração. No entanto, uma falha (ou ausência) do DKIM não geralmente leva a mensagem recebida a ser marcada como completamente inválida… a menos que uma política de DMARC com p=reject esteja em vigor (veja nosso post no blog DMARC: Como Proteger Sua Reputação de E-mail). O DKIM é um dos muitos fatores usados pelo ISP para a atribuição confiável de reputação a um domínio e é, claro, uma parte essencial de sua pilha de mensagens.
Seu cliente de e-mail mostrará se uma mensagem S/MIME falha nas verificações de assinatura:
Resumo: fim a fim (S/MIME) vs servidor a servidor (DKIM, DMARC, TLS)
O S/MIME é uma capacidade da camada de apresentação que pode funcionar entre dois usuários finais de e-mail (com certificados/chaves válidas) sem qualquer ação do administrador de e-mail. O S/MIME fornece criptografia e assinatura e é pessoal para cada usuário.
O S/MIME está ligado ao endereço completo de envio (parte local e parte de domínio), portanto, por exemplo, alice@bigcorp.com e bob@bigcorp.com precisariam ter certificados diferentes. Em contraste, DKIM valida se o e-mail está vindo do domínio que assina. DKIM é um tema todo por si só; este artigo é um bom lugar para começar.
DKIM e DMARC são configurados pelo seu administrador de e-mail (trabalhando no servidor de e-mail e nos registros DNS). Uma vez configurados, eles estão ativos para domínios, em vez de usuários individuais.
A versão curta:
A criptografia oferece privacidade na mensagem.
A assinatura fornece autenticação (do remetente), não-repúdio da origem e verificações de integridade da mensagem.
S/MIME funciona de maneira diferente de DKIM e DMARC e pode coexistir com eles.
Privacidade
Se suas mensagens não contêm nada pessoal, privado ou juridicamente importante, então você provavelmente não precisará pensar sobre S/MIME. Sistemas modernos de entrega de e-mail, como SparkPost, já usam “TLS oportunista” para garantir o transporte da mensagem do servidor de envio para o servidor do destinatário.
A parte “oportunista” significa, no entanto, que se o servidor de envio não conseguir negociar uma conexão segura, enviaremos o e-mail em texto simples. Isso não é adequado se você quiser forçar que a mensagem seja segura o tempo todo. Você pode dar uma olhada em quais provedores de caixa de entrada afirmam suporte a TLS e quais realmente o fazem. Assumindo que o servidor do destinatário suporta TLS, sua mensagem é protegida assim:
O TLS protege as conversas entre servidores de e-mail (por isso é chamado de Segurança na Camada de Transporte). MIME (incluindo S/MIME) se preocupa com o conteúdo da mensagem e seu tratamento, e pode ser considerado parte da “camada de apresentação”.
S/MIME protege o conteúdo da mensagem do começo ao fim (“end to end”) desde a origem da mensagem até o cliente de e-mail do destinatário, encapsulando o corpo da mensagem.
S/MIME criptografa o corpo da mensagem com a chave pública do destinatário. O corpo não pode ser decifrado sem a chave privada do destinatário - não por qualquer “pessoa no meio”, como seu ISP, SparkPost ou o servidor de e-mail do destinatário.
A chave privada nunca é divulgada; ela é mantida em posse exclusiva do destinatário. A mensagem criptografada viaja pela Internet até o servidor de e-mail do destinatário. Quando chega na caixa de entrada do destinatário, é (geralmente automaticamente) descriptografada com sua chave privada e se torna legível.
Alguns pontos de atenção sobre S/MIME:
A criptografia S/MIME tem o efeito colateral de impedir a análise de mensagens recebidas por servidores em busca de malware, porque o conteúdo da mensagem está em forma criptografada e, portanto, inidentificável.
Note que os cabeçalhos da mensagem (De:, Para:, Assunto:, etc.) não são criptografados, portanto, o conteúdo da linha de assunto precisa ser criado com isso em mente.
Assinatura – autenticação
O S/MIME também fornece ao destinatário a capacidade de verificar se a identidade do remetente da mensagem é realmente quem diz ser.
O e-mail do remetente possui um certificado anexado, o qual, assim como o certificado em um site seguro, pode ser rastreado até uma autoridade emissora. Para uma descrição completa do processo de assinatura, veja o PDF do processo de assinatura S/MIME.
Vamos adotar a abordagem de assinar o e-mail primeiro e depois criptografá-lo, de modo que o processo fique assim:
Não-repúdio
Outro benefício útil da assinatura para o destinatário é o não-repúdio da origem. Considere uma situação em que uma mensagem de e-mail é usada para aprovar um contrato. O destinatário recebe o contrato em uma mensagem do remetente. Se o remetente tentar dizer mais tarde: “Não, eu nunca enviei essa mensagem para você”, a mensagem recebida mostra que o certificado do remetente foi, de fato, utilizado.
Integridade da mensagem
O processo de assinatura cria uma impressão digital da mensagem original em texto claro (conhecida como um resumo de mensagem), criptografa o resumo usando a chave privada do remetente e o inclui na mensagem entregue. O cliente de e-mail do destinatário pode informar se o corpo da mensagem foi alterado.
Talvez você diga: “Eu pensei que DKIM me dá verificações de integridade da mensagem!” Bem, sim, o DKIM fornece verificações de integridade do corpo da mensagem e cabeçalho da mensagem - garantias contra adulteração. No entanto, uma falha (ou ausência) do DKIM não geralmente leva a mensagem recebida a ser marcada como completamente inválida… a menos que uma política de DMARC com p=reject esteja em vigor (veja nosso post no blog DMARC: Como Proteger Sua Reputação de E-mail). O DKIM é um dos muitos fatores usados pelo ISP para a atribuição confiável de reputação a um domínio e é, claro, uma parte essencial de sua pilha de mensagens.
Seu cliente de e-mail mostrará se uma mensagem S/MIME falha nas verificações de assinatura:
Resumo: fim a fim (S/MIME) vs servidor a servidor (DKIM, DMARC, TLS)
O S/MIME é uma capacidade da camada de apresentação que pode funcionar entre dois usuários finais de e-mail (com certificados/chaves válidas) sem qualquer ação do administrador de e-mail. O S/MIME fornece criptografia e assinatura e é pessoal para cada usuário.
O S/MIME está ligado ao endereço completo de envio (parte local e parte de domínio), portanto, por exemplo, alice@bigcorp.com e bob@bigcorp.com precisariam ter certificados diferentes. Em contraste, DKIM valida se o e-mail está vindo do domínio que assina. DKIM é um tema todo por si só; este artigo é um bom lugar para começar.
DKIM e DMARC são configurados pelo seu administrador de e-mail (trabalhando no servidor de e-mail e nos registros DNS). Uma vez configurados, eles estão ativos para domínios, em vez de usuários individuais.
Como isso se relaciona com o SparkPost?
Sistemas de correio para mensagens de pessoa para pessoa, como o Microsoft Exchange Server, têm suportado longamente S/MIME.
Se você está usando SparkPost para enviar para destinatários específicos com clientes de e-mail que podem ler S/MIME, então pode fazer sentido assinar suas mensagens com S/MIME. A assinatura S/MIME adiciona mais garantias de que a mensagem realmente vem de você (ou do seu sistema) e não foi adulterada, o que pode ser valioso em alguns casos de uso. Tudo o que você precisa para isso é da sua própria chave e de um software gratuito que demonstraremos na parte 2 deste artigo.
Usar criptografia S/MIME é uma escolha separada a ser feita. Você precisará da chave pública para cada um de seus destinatários. Obter isso pode ser tão simples quanto fazê-los enviar a você (ou ao seu aplicativo) um e-mail assinado. Vamos explorar uma ferramenta prática para enviar e-mails assinados e criptografados com S/MIME através do SparkPost em um post de acompanhamento.
Sistemas de correio para mensagens de pessoa para pessoa, como o Microsoft Exchange Server, têm suportado longamente S/MIME.
Se você está usando SparkPost para enviar para destinatários específicos com clientes de e-mail que podem ler S/MIME, então pode fazer sentido assinar suas mensagens com S/MIME. A assinatura S/MIME adiciona mais garantias de que a mensagem realmente vem de você (ou do seu sistema) e não foi adulterada, o que pode ser valioso em alguns casos de uso. Tudo o que você precisa para isso é da sua própria chave e de um software gratuito que demonstraremos na parte 2 deste artigo.
Usar criptografia S/MIME é uma escolha separada a ser feita. Você precisará da chave pública para cada um de seus destinatários. Obter isso pode ser tão simples quanto fazê-los enviar a você (ou ao seu aplicativo) um e-mail assinado. Vamos explorar uma ferramenta prática para enviar e-mails assinados e criptografados com S/MIME através do SparkPost em um post de acompanhamento.
Sistemas de correio para mensagens de pessoa para pessoa, como o Microsoft Exchange Server, têm suportado longamente S/MIME.
Se você está usando SparkPost para enviar para destinatários específicos com clientes de e-mail que podem ler S/MIME, então pode fazer sentido assinar suas mensagens com S/MIME. A assinatura S/MIME adiciona mais garantias de que a mensagem realmente vem de você (ou do seu sistema) e não foi adulterada, o que pode ser valioso em alguns casos de uso. Tudo o que você precisa para isso é da sua própria chave e de um software gratuito que demonstraremos na parte 2 deste artigo.
Usar criptografia S/MIME é uma escolha separada a ser feita. Você precisará da chave pública para cada um de seus destinatários. Obter isso pode ser tão simples quanto fazê-los enviar a você (ou ao seu aplicativo) um e-mail assinado. Vamos explorar uma ferramenta prática para enviar e-mails assinados e criptografados com S/MIME através do SparkPost em um post de acompanhamento.
Quais clientes suportam S/MIME?
Gmail do Consumidor
O cliente web do Gmail padrão exibe assinaturas de e-mails recebidos (veja abaixo), mas não está configurado para armazenar sua chave privada para ler mensagens criptografadas. Mesmo que isso fosse possível por meio de plugins de terceiros, fazer upload da sua chave privada não é uma boa ideia do ponto de vista da segurança.
Eu não consegui fazer o Yahoo! Mail decodificar assinaturas em mensagens de forma alguma.
A versão do consumidor das contas do Microsoft Outlook/Hotmail alerta você sobre a presença de uma assinatura S/MIME, mas não fornece acesso total para visualizar ou verificar o certificado.
Correio comercial hospedado
Para organizações com correio hospedado, o Microsoft Office 365 e o G Suite Enterprise têm suporte a S/MIME.
Clientes de email do Outlook
O Microsoft Outlook baseado em cliente (por exemplo, 2010 para Windows) funciona:
Clicar nos ícones fornece mais informações:
No Outlook 2010 / Windows, o armazenamento de certificados é acessado através de Arquivo / Opções / Central de Confiabilidade / Configurações da Central de Confiabilidade / Segurança do Email / Importar / Exportar.
Thunderbird – multiplataforma e gratuito
Se você está procurando um cliente gratuito, Mozilla Thunderbird é uma boa opção. Está disponível em PC, Mac e Linux, e suporta S/MIME em todas essas plataformas. Veja como uma mensagem aparece no Mac. O ícone de “envelope selado” indica que a mensagem está assinada, e o cadeado indica que foi criptografada.
Clicar no envelope/cadeado exibe informações sobre a mensagem:
O Thunderbird possui seu próprio armazenamento de chaves, acessado de maneiras semelhantes em cada plataforma:
Mac via Preferências / Avançado / Certificados / Gerenciar Certificados
PC: menu (“hambúrguer” no canto superior direito), Avançado / Certificados / Gerenciar Certificados
Linux: menu (“hambúrguer” no canto superior direito), Preferências / Avançado / Gerenciar Certificados
Mail do Mac
O Mail do Mac também suporta S/MIME. Ele depende do seu chaveiro do Mac para armazenar suas chaves.
Mail do iOS
Primeiro, importe o certificado da sua conta de e-mail deste jeito, então você poderá visualizar emails assinados e criptografados com S/MIME. Eles não parecem muito diferentes na tela de visualização.
Android
Alguns dispositivos e aplicativos suportam S/MIME; há uma grande variedade por aí. Samsung tem um guia.
Gmail do Consumidor
O cliente web do Gmail padrão exibe assinaturas de e-mails recebidos (veja abaixo), mas não está configurado para armazenar sua chave privada para ler mensagens criptografadas. Mesmo que isso fosse possível por meio de plugins de terceiros, fazer upload da sua chave privada não é uma boa ideia do ponto de vista da segurança.
Eu não consegui fazer o Yahoo! Mail decodificar assinaturas em mensagens de forma alguma.
A versão do consumidor das contas do Microsoft Outlook/Hotmail alerta você sobre a presença de uma assinatura S/MIME, mas não fornece acesso total para visualizar ou verificar o certificado.
Correio comercial hospedado
Para organizações com correio hospedado, o Microsoft Office 365 e o G Suite Enterprise têm suporte a S/MIME.
Clientes de email do Outlook
O Microsoft Outlook baseado em cliente (por exemplo, 2010 para Windows) funciona:
Clicar nos ícones fornece mais informações:
No Outlook 2010 / Windows, o armazenamento de certificados é acessado através de Arquivo / Opções / Central de Confiabilidade / Configurações da Central de Confiabilidade / Segurança do Email / Importar / Exportar.
Thunderbird – multiplataforma e gratuito
Se você está procurando um cliente gratuito, Mozilla Thunderbird é uma boa opção. Está disponível em PC, Mac e Linux, e suporta S/MIME em todas essas plataformas. Veja como uma mensagem aparece no Mac. O ícone de “envelope selado” indica que a mensagem está assinada, e o cadeado indica que foi criptografada.
Clicar no envelope/cadeado exibe informações sobre a mensagem:
O Thunderbird possui seu próprio armazenamento de chaves, acessado de maneiras semelhantes em cada plataforma:
Mac via Preferências / Avançado / Certificados / Gerenciar Certificados
PC: menu (“hambúrguer” no canto superior direito), Avançado / Certificados / Gerenciar Certificados
Linux: menu (“hambúrguer” no canto superior direito), Preferências / Avançado / Gerenciar Certificados
Mail do Mac
O Mail do Mac também suporta S/MIME. Ele depende do seu chaveiro do Mac para armazenar suas chaves.
Mail do iOS
Primeiro, importe o certificado da sua conta de e-mail deste jeito, então você poderá visualizar emails assinados e criptografados com S/MIME. Eles não parecem muito diferentes na tela de visualização.
Android
Alguns dispositivos e aplicativos suportam S/MIME; há uma grande variedade por aí. Samsung tem um guia.
Gmail do Consumidor
O cliente web do Gmail padrão exibe assinaturas de e-mails recebidos (veja abaixo), mas não está configurado para armazenar sua chave privada para ler mensagens criptografadas. Mesmo que isso fosse possível por meio de plugins de terceiros, fazer upload da sua chave privada não é uma boa ideia do ponto de vista da segurança.
Eu não consegui fazer o Yahoo! Mail decodificar assinaturas em mensagens de forma alguma.
A versão do consumidor das contas do Microsoft Outlook/Hotmail alerta você sobre a presença de uma assinatura S/MIME, mas não fornece acesso total para visualizar ou verificar o certificado.
Correio comercial hospedado
Para organizações com correio hospedado, o Microsoft Office 365 e o G Suite Enterprise têm suporte a S/MIME.
Clientes de email do Outlook
O Microsoft Outlook baseado em cliente (por exemplo, 2010 para Windows) funciona:
Clicar nos ícones fornece mais informações:
No Outlook 2010 / Windows, o armazenamento de certificados é acessado através de Arquivo / Opções / Central de Confiabilidade / Configurações da Central de Confiabilidade / Segurança do Email / Importar / Exportar.
Thunderbird – multiplataforma e gratuito
Se você está procurando um cliente gratuito, Mozilla Thunderbird é uma boa opção. Está disponível em PC, Mac e Linux, e suporta S/MIME em todas essas plataformas. Veja como uma mensagem aparece no Mac. O ícone de “envelope selado” indica que a mensagem está assinada, e o cadeado indica que foi criptografada.
Clicar no envelope/cadeado exibe informações sobre a mensagem:
O Thunderbird possui seu próprio armazenamento de chaves, acessado de maneiras semelhantes em cada plataforma:
Mac via Preferências / Avançado / Certificados / Gerenciar Certificados
PC: menu (“hambúrguer” no canto superior direito), Avançado / Certificados / Gerenciar Certificados
Linux: menu (“hambúrguer” no canto superior direito), Preferências / Avançado / Gerenciar Certificados
Mail do Mac
O Mail do Mac também suporta S/MIME. Ele depende do seu chaveiro do Mac para armazenar suas chaves.
Mail do iOS
Primeiro, importe o certificado da sua conta de e-mail deste jeito, então você poderá visualizar emails assinados e criptografados com S/MIME. Eles não parecem muito diferentes na tela de visualização.
Android
Alguns dispositivos e aplicativos suportam S/MIME; há uma grande variedade por aí. Samsung tem um guia.
Finalmente...
Essa é nossa visão geral rápida sobre os usos práticos do S/MIME. Se você quiser obter seus próprios certificados de e-mail, há uma lista de provedores aqui. Eu achei que Comodo funciona bem (grátis para uso não comercial – abra isso no Firefox, não no Chrome).
Na parte 2, vamos explorar como aplicar a assinatura e criptografia do S/MIME às mensagens que você envia via SparkPost.
Leitura adicional
A Microsoft tem um bom artigo introdutório sobre S/MIME em sua documentação.
Para mais informações sobre a vulnerabilidade EFAIL e como foi abordada, consulte o site oficial do EFAIL. Outras explicações fáceis de seguir estão disponíveis na página wiki do EFAIL e no post do blog do CipherMail sobre EFAIL: Qual é vulnerável, PGP, S/MIME ou seu cliente de e-mail?.
Essa é nossa visão geral rápida sobre os usos práticos do S/MIME. Se você quiser obter seus próprios certificados de e-mail, há uma lista de provedores aqui. Eu achei que Comodo funciona bem (grátis para uso não comercial – abra isso no Firefox, não no Chrome).
Na parte 2, vamos explorar como aplicar a assinatura e criptografia do S/MIME às mensagens que você envia via SparkPost.
Leitura adicional
A Microsoft tem um bom artigo introdutório sobre S/MIME em sua documentação.
Para mais informações sobre a vulnerabilidade EFAIL e como foi abordada, consulte o site oficial do EFAIL. Outras explicações fáceis de seguir estão disponíveis na página wiki do EFAIL e no post do blog do CipherMail sobre EFAIL: Qual é vulnerável, PGP, S/MIME ou seu cliente de e-mail?.
Essa é nossa visão geral rápida sobre os usos práticos do S/MIME. Se você quiser obter seus próprios certificados de e-mail, há uma lista de provedores aqui. Eu achei que Comodo funciona bem (grátis para uso não comercial – abra isso no Firefox, não no Chrome).
Na parte 2, vamos explorar como aplicar a assinatura e criptografia do S/MIME às mensagens que você envia via SparkPost.
Leitura adicional
A Microsoft tem um bom artigo introdutório sobre S/MIME em sua documentação.
Para mais informações sobre a vulnerabilidade EFAIL e como foi abordada, consulte o site oficial do EFAIL. Outras explicações fáceis de seguir estão disponíveis na página wiki do EFAIL e no post do blog do CipherMail sobre EFAIL: Qual é vulnerável, PGP, S/MIME ou seu cliente de e-mail?.
