Reforce a segurança do Gmail com TLS por padrão e outros recursos novos
Wednesday, April 8, 2020
Este artigo é a tradução do Blog em inglês do dia 2 de Abril.
O que mudaráRecentemente, uma postagem do Google Security Blog (em inglês) descreveu como o uso do Transport Layer Security (TLS) aumentou para mais de 96% do tráfego em um navegador Chrome no Chrome OS. A postagem também destacou uma meta significativa: ativar o TLS por padrão nos produtos e serviços do Google e garantir que ele funcione automaticamente.
Como o Gmail é compatível com o TLS, uma conexão de e-mail SMTP é protegida pelo TLS quando possível. No entanto, para incentivar mais organizações a reforçar a segurança do e-mail e alcançar a meta de ativar o TLS por padrão, fizemos as seguintes mudanças:
Os administradores sempre puderam exigir a criptografia TLS para rotas de e-mail, mas esse recurso ficava desativado por padrão. As rotas de e-mail atuais não serão afetadas por essas mudanças.
Quem será afetadoAdministradores
Por que isso é importanteSempre recomendamos que os administradores ativem os recursos de segurança disponíveis, como o SPF, o DKIM e o DMARC, para proteger os usuários finais. Também recomendamos a ativação do MTA Strict Transport Security (MTA-STS). Esse padrão reforça a segurança do Gmail, exigindo verificações de autenticação e criptografia dos e-mails enviados para os domínios. A ativação do TLS por padrão nas novas rotas de e-mail SMTP reforça a segurança dos clientes. Além disso, permitir que os administradores testem conexões antes de exigir o TLS nas rotas atuais facilita a implantação das políticas de segurança recomendadas.
Essa mudança não afetará as rotas de e-mail criadas anteriormente.
Mais detalhesTLS ativado por padrão nas novas rotas de e-mail
Com este novo recurso, todos os requisitos de validação de certificado também são ativados por padrão. Isso garante que os hosts dos destinatários tenham um certificado emitido para o host certo e assinado por uma autoridade de certificação (CA, na sigla em inglês) confiável. Veja abaixo mais detalhes sobre como estamos mudando os requisitos para as CAs confiáveis.
Os administradores ainda poderão personalizar as configurações de segurança do TLS nas novas rotas de e-mail. Por exemplo, se o e-mail for encaminhado para servidores de e-mail no local ou de terceiros usando certificados de CA internos, os administradores talvez precisem desativar a validação desses certificados. Recomendamos não desativar o TLS e a validação dos certificados de CA. Nossa orientação é que os administradores testem a configuração do TLS do SMTP no Admin Console para validar a conexão TLS com servidores de e-mail externos antes de desativar as validações recomendadas. Veja mais detalhes sobre como testar as conexões TLS no Admin Console.
Autoridade de certificação não confiável no Gmail
O Google Security Blog já destacou casos em que o Chrome deixa de confiar em certificados de CA raiz usados para interceptar tráfego na Internet pública e casos em que o Chrome desconfia de CAs específicas.
Se essas situações ocorrerem, o Gmail também desconfiará desses certificados. Quando isso acontecer, os e-mails enviados por rotas que exigem TLS com certificado assinado por CA poderão ser rejeitados se a CA não for mais confiável. A lista de certificados raiz que o Gmail considera confiáveis pode ser acessada no repositório Google Trust Services (em inglês). No entanto, recomendamos que os administradores usem o recurso "Testar conexão TLS" no Admin Console para verificar se os certificados não são mais confiáveis.
Teste de conexões TLS no Admin Console
Agora os administradores podem usar o novo recurso "Testar conexão TLS" para verificar se uma rota de e-mail estabelece uma conexão TLS com validação total com qualquer destino, como um servidor de e-mail no local ou um redirecionamento de e-mail de terceiros, antes de exigir o TLS para esse destino.
Primeiros passosAdministradores:
Configurações do TLS
O TLS será ativado por padrão em todas as novas rotas de e-mail. Nossa orientação é que os administradores verifiquem as rotas atuais e ativem todas as opções de segurança do TLS recomendadas para essas rotas.
Teste das conexões TLS
Agora os administradores que querem exigir uma conexão TLS segura para e-mails podem clicar no botão “Testar conexão TLS” no Admin Console para verificar se a conexão com o servidor de e-mail do destinatário é válida. Eles não precisam mais aguardar os e-mails serem rejeitados.
Veja como exigir que o e-mail seja transmitido por uma conexão segura (TLS) e adicionar rotas de e-mail na Central de Ajuda.
Usuários finais: não é necessário configurar esses recursos.
Opções de lançamentoDisponibilidadeRecursos
Fique por dentro dos lançamentos do G Suite
Como o Gmail é compatível com o TLS, uma conexão de e-mail SMTP é protegida pelo TLS quando possível. No entanto, para incentivar mais organizações a reforçar a segurança do e-mail e alcançar a meta de ativar o TLS por padrão, fizemos as seguintes mudanças:
- Agora o TLS para conexões de e-mail será ativado por padrão.
- Os administradores podem testar a configuração do TLS das rotas de saída SMTP no Admin Console antes da implantação. Não é mais preciso esperar as mensagens serem rejeitadas.
Os administradores sempre puderam exigir a criptografia TLS para rotas de e-mail, mas esse recurso ficava desativado por padrão. As rotas de e-mail atuais não serão afetadas por essas mudanças.
Essa mudança não afetará as rotas de e-mail criadas anteriormente.
Com este novo recurso, todos os requisitos de validação de certificado também são ativados por padrão. Isso garante que os hosts dos destinatários tenham um certificado emitido para o host certo e assinado por uma autoridade de certificação (CA, na sigla em inglês) confiável. Veja abaixo mais detalhes sobre como estamos mudando os requisitos para as CAs confiáveis.
Os administradores ainda poderão personalizar as configurações de segurança do TLS nas novas rotas de e-mail. Por exemplo, se o e-mail for encaminhado para servidores de e-mail no local ou de terceiros usando certificados de CA internos, os administradores talvez precisem desativar a validação desses certificados. Recomendamos não desativar o TLS e a validação dos certificados de CA. Nossa orientação é que os administradores testem a configuração do TLS do SMTP no Admin Console para validar a conexão TLS com servidores de e-mail externos antes de desativar as validações recomendadas. Veja mais detalhes sobre como testar as conexões TLS no Admin Console.
Autoridade de certificação não confiável no Gmail
O Google Security Blog já destacou casos em que o Chrome deixa de confiar em certificados de CA raiz usados para interceptar tráfego na Internet pública e casos em que o Chrome desconfia de CAs específicas.
Se essas situações ocorrerem, o Gmail também desconfiará desses certificados. Quando isso acontecer, os e-mails enviados por rotas que exigem TLS com certificado assinado por CA poderão ser rejeitados se a CA não for mais confiável. A lista de certificados raiz que o Gmail considera confiáveis pode ser acessada no repositório Google Trust Services (em inglês). No entanto, recomendamos que os administradores usem o recurso "Testar conexão TLS" no Admin Console para verificar se os certificados não são mais confiáveis.
Teste de conexões TLS no Admin Console
Agora os administradores podem usar o novo recurso "Testar conexão TLS" para verificar se uma rota de e-mail estabelece uma conexão TLS com validação total com qualquer destino, como um servidor de e-mail no local ou um redirecionamento de e-mail de terceiros, antes de exigir o TLS para esse destino.
Configurações do TLS
O TLS será ativado por padrão em todas as novas rotas de e-mail. Nossa orientação é que os administradores verifiquem as rotas atuais e ativem todas as opções de segurança do TLS recomendadas para essas rotas.
Teste das conexões TLS
Agora os administradores que querem exigir uma conexão TLS segura para e-mails podem clicar no botão “Testar conexão TLS” no Admin Console para verificar se a conexão com o servidor de e-mail do destinatário é válida. Eles não precisam mais aguardar os e-mails serem rejeitados.
Veja como exigir que o e-mail seja transmitido por uma conexão segura (TLS) e adicionar rotas de e-mail na Central de Ajuda.
| Agora todas as validações de certificado são ativadas por padrão quando você cria uma configuração de compliance com o TLS. |
| Agora o TLS e todas as validações de certificado são ativados por padrão quando você cria uma rota de e-mail. |
Usuários finais: não é necessário configurar esses recursos.
- Domínios com lançamento rápido e agendado: lançamento estendido (possivelmente mais de 15 dias para a visibilidade do recurso) a partir de 2 de abril de 2020
- Disponível para todos os clientes do G Suite
- Ajuda do Administrador do G Suite: Exigir que o e-mail seja transmitido por uma conexão segura (TLS)
- Ajuda do Administrador do G Suite: Adicionar rotas de e-mail para a entrega avançada do Gmail
- Ajuda do Administrador do G Suite: Visão geral das conexões SSL
- Ajuda do Administrador do G Suite: Configurar um gateway de e-mail de saída
- Ajuda do Administrador do G Suite: Integrar o Gmail a uma solução de arquivamento de terceiros
Fique por dentro dos lançamentos do G Suite
- Receba alertas de atualização de produtos do G Suite por e-mail
- Veja a agenda de lançamentos do G Suite
- Inscreva-se no feed RSS das atualizações