Professional Documents
Culture Documents
------------------------------------------------------------------------------------------------------------------------
ndice
1. Introduo.........................................................................................................................................1 1.2 Mecanismos de autenticao.....................................................................................................1 2. Autenticao dos utilizadores e Transporte seguro..........................................................................3 2.1 SASL (Simple Authentication and Security Layer)...................................................................3 2.2 TLS (Transport Layer Security).................................................................................................3 3. Autenticao dos emails a nvel dos UAs.........................................................................................4 3.1 PGP (Pretty Good Privacy)........................................................................................................5 3.2 S/MIME (Secure MIME)...........................................................................................................5 4. Autenticao dos emails a nvel dos MTAs......................................................................................6 4.1 SPF (Sender Policy Framework)...............................................................................................6 4.2 Sender ID...................................................................................................................................7 4.3 DKIM (DomainKeys Identified Mail).......................................................................................8 5. Concluses........................................................................................................................................9 Referncias...........................................................................................................................................9 ------------------------------------------------------------------------------------------------------------------------
1. Introduo
De uma forma generalizada, pode-se identificar os seguintes problemas relacionados com a autenticao dos emails: Envio de mensagens no solicitadas (spam), que pode ter os seguintes objectivos: estratgia comercial, por exemplo para a divulgao de um produto; propagao de vrus; provocar DoS (Denial of Service), por exemplo devido ao volume elevado de emails a processar. Utilizao indevida de mensagens, para: falsificao de identidade (spoofing); tentativa de conseguir dados pessoais (phishing). Estes problemas no afectam apenas os utilizadores, mas tambm os servidores de email, que compromete alguns dos seus requisitos no funcionais como: a desempenho, fiabilidade e a segurana.
autenticacao_email_v2.odt
A autenticao pode ser efectuada em dois tipos de nveis: Autenticao a nvel de endereos Sender Policy Framework (SPF) Sender ID Autenticao a nvel do contedo da mensagem, autor da mensagem DomainKeys Identified Mail (DKIM) Secure MIME (S/MIME) Pretty Good Privacy (PGP)
O SPF (Sender Policy Framework), Sender ID e DKIM (DomainKeys Identified Mail) so tecnologias utilizadas para a autenticao do remetente e com isto pretende de algum modo combater as mensagens do tipo spam e os falsos positivos. Por falsos positivos entende-se que as mensagens legitimas so confundidas como spam. Como no correio postal, nas mensagens de email no mnimo tm dois tipos de endereos: um no envelope e outro no cabealho da carta/mensagem. [1] O endereo do remetente no envelope (return-path) utilizado durante o transporte da mensagem entre os servidores de email. Em caso de falha na entrega, o servidor devolve a mensagem para este endereo. O endereo do remetente no cabealho da mensagem includo no campo From: ou Sender:. Sendo este que visvel nos UAs. Normalmente os servidores de email no do muita importncia a este endereo.
autenticacao_email_v2.odt
Pgina 2 de 9
De um modo geral, pode-se dizer que o SASL, oferece a autenticao dos clientes e a encriptao dos dados transmitidos.
autenticacao_email_v2.odt
Pgina 3 de 9
Encriptao das mensagens - A confidencialidade das mensagens entre utilizadores, como visto anteriormente, no assegurada com o simples protocolo SMTP. necessrio recorrer a criptografia de chave pblica para o envio de mensagens com garantias de confidencialidade.
Assinatura e encriptao - Para garantir a confidencialidade e a autenticidade das mensagens recorre-se aos dois mecanismos anteriores.
Caractersticas da criptografia de chave pblica [5]: Existem duas chaves que matematicamente so relacionadas: Uma chave pblica, de conhecimento pblico e outra uma chave privada, que apenas conhecida pelo prprio dono. Caractersticas dos algoritmos: Computacionalmente impossvel (em tempo til) descobrir uma chave, conhecendo a outra e o algoritmo. Computacionalmente fcil cifrar/decifrar quando chave conhecida. autenticacao_email_v2.odt Pgina 4 de 9
Comparao O sistema de email um modelo do tipo "store-and-forward", onde as mensagens passam de servidor em servidor (via o SMTP) at chegarem ao seu destino final, que pode acontecer em alguns minutos, horas ou at mesmo dias. A proteco dos dados ponto-a-ponto nestes casos no aplicvel, pois no possvel ter um canal de comunicao sempre disponvel. E aqui que se exige que haja uma segurana extremo-a-extremo, conseguida pelo PGP e S/MIME. Estes dois mecanismos so muito semelhantes, permitem obter os resultados relativamente iguais, diferindo nas tecnologias utilizadas. A grande diferena entre PGP e S/MIME, que o PGP a chave pblica utilizada base de confiana, que no tem nenhuma autoridade que faa a sua autenticao (CA), como o X.509 PKI utilizados pelo S/MIME. autenticacao_email_v2.odt Pgina 5 de 9
autenticacao_email_v2.odt
Pgina 6 de 9
4.2 Sender ID
O Sender ID, definido no RFC 4406 um protocolo desenvolvido pela Microsoft, semelhante ao SPF que visa a autenticao de um dos endereos do cabealho. Recorre a um algoritmo designado de PRA (Purported Responsible Address, definido no RFC 4407) para determinar quem que originou e quem responsvel pela mensagem. Os registos do DNS utilizados pelo Sender ID tm uma sintaxe semelhante ao SPF. O Sender ID efectua a autenticao do endereo resultante do algoritmo PRA enquanto o SFP faz a autenticao do endereo do envelope. [1] O Sender ID visa verificar que as mensagens com origem num determinado domnio so do mesmo que dizem ser. [2] O funcionamento do Sender ID ilustrado de seguida:
1. O utilizador envia a mensagem de email recorrendo ao UA ou com um cliente Web. 2. O servidor de email do destinatrio recebe a mensagem. O qual utiliza Sender ID Framework (SIDF) que efectua a verificao do registo SPF. 3. O servidor de email aceita ou rejeita em funo dos resultados obtidos na operao anterior. 4. Caso aceite, a mensagem depositada na respectiva caixa de email. Sender ID tem como objectivos [2]: Melhorar a entrega de emails legtimos; Aumentar a proteco contra ataques do tipo phishing; Reduzir os falsos positivos; Melhorar a confiana e confidencialidade do servio de email; Reduzir parcialmente as mensagens spam; Fcil implementao e de manuteno.
autenticacao_email_v2.odt
Pgina 7 de 9
autenticacao_email_v2.odt
Pgina 8 de 9
5. Concluses
Todos os mecanismos apresentao no so 100% eficazes, resolvem apenas partes dos problemas. Sendo que todos estes mecanismos so opcionais, de modo a haver compatibilidade com o protocolo de transporte base (SMTP).
Referncias
[1] http://www.openspf.org/Introduction [2] http://www.microsoft.com/senderid [3] http://www.dkim.org/ [4] Kyle Dent. Postx: The Denitive Guide. OReilly Media, Inc., 1st edition, December 2003. [5] Stallings William;Cryptography and Network Security, Prentice Hall, 2006.
autenticacao_email_v2.odt
Pgina 9 de 9