5 min lectura

Cada correu electrònic que enviem realitza un viatge complex: passa per servidors, passarel·les i xarxes intermèdies fins a arribar al bústia del destinatari. Durant aquest trajecte, les dades poden ser interceptades o manipulades si no estan protegides adequadament.

Per evitar-ho, el correu electrònic modern s’apunya en tres pilars de seguretat: TLS, que xifra la connexió; DANE, que valida l’autenticitat del xifrat; i PGP, que protegeix el contingut extrem a extrem. Junts, formen la base tècnica que permet que el correu electrònic segueixi sent un canal segur i fiable.

El Problema Original de l’Email

El correu electrònic va néixer als anys 70 com un sistema obert i confiat. Els missatges s’enviaven en text pla i qualsevol que interceptés la connexió podia llegir el seu contingut. A diferència dels sistemes de missatgeria actuals, SMTP —el protocol base de l’email— no incloïa xifrat ni autenticació.

Això el convertia en un canal vulnerable: interceptar, modificar o falsificar correus era trivial. D’aquí va sorgir la necessitat d’aplicar mecanismes criptogràfics per protegir les comunicacions, migrant la seguretat de la xarxa a la pròpia aplicació.

TLS: el Xifrat en Trànsit (el Túnel de Comunicació)

TLS (Transport Layer Security) és l’estàndard actual per protegir la connexió entre servidors i clients de correu. Quan envies un email, el teu servidor negocia una connexió xifrada amb el del destinatari, similar a quan accedeixes a una web segura amb HTTPS.

Si ambdós servidors admeten TLS:

  • El contingut del missatge es transmet xifrat durant tot el trajecte.
  • Ningú que intercepti el tràfic pot llegir-lo ni modificar-lo sense trencar la connexió (atac man-in-the-middle).

Exemple:

C: STARTTLS
S: 220 Ready to start TLS

A partir d’aquest punt, tota la comunicació SMTP viatja xifrada.

Avantatges:

  • Implementació automàtica i transparent per a l’usuari.
  • Compatible amb la majoria de servidors moderns.
  • Evita la lectura o manipulació del missatge durant el transport.

Limitacions:

  • Protegeix només el transport, no el contingut en repòs al servidor.
  • Si un dels servidors no admet TLS, el correu pot viatjar sense xifrar (xifrat oportunista).
  • Els proveïdors encara poden accedir al text del missatge (no és xifrat extrem a extrem).

DANE: la Verificació d’Identitat del Servidor

Tot i que TLS xifra la comunicació, per si sol no garanteix que el servidor destí sigui legítim. Un atacant podria interceptar la connexió i forçar que el correu s’envii a un servidor fals amb un certificat fraudulent (atac man-in-the-middle o downgrade attack).

Per verificar l’autenticitat del servidor, es va crear DANE (DNS-based Authentication of Named Entities). DANE permet que un domini publiqui al seu DNS —utilitzant DNSSEC— els certificats TLS vàlids per al seu servidor de correu.

Així, els remitents poden verificar la identitat del servidor receptor abans d’establir la connexió i garantir que estan xifrant amb l’entitat correcta.

Exemple de registre DANE (TLSA):

_25._tcp.mail.example.com. IN TLSA 3 1 1 <hash_del_certificado>

Avantatges:

  • Evita atacs de suplantació i degradació del xifrat en connexions SMTP.
  • Assegura que la sessió TLS s’estableix amb el servidor autèntic.
  • Reforça la confiança en el xifrat en trànsit en afegir una capa d’autenticació verificable.

En resum: TLS xifra la connexió, i DANE confirma que t’estàs connectant amb el destinatari legítim.

PGP: el Xifrat de Contingut d’Extrem a Extrem

PGP (Pretty Good Privacy) dóna un pas fonamental: xifra el propi missatge, independentment de la connexió que el transporti. Aquest sistema de criptografia asimètrica utilitza un parell de claus:

  • Clau pública: Es comparteix amb el món i s’usa per xifrar missatges destinats a aquest usuari.
  • Clau privada: Es manté en secret i s’usa per desxifrar els missatges rebuts i signar els enviats.

Així, només el destinatari que posseeix la clau privada corresponent pot llegir el missatge. Ni els servidors intermedis, ni el proveïdor de correu, ni tercers poden accedir al contingut. PGP també permet signar digitalment els missatges, garantint l’autenticitat del remitent.

Avantatges:

  • Màxima confidencialitat: Xifrat extrem a extrem.
  • Integritat i autenticitat garantides mitjançant signatures digitals.
  • Seguretat no dependent dels servidors de tercers.

Limitacions:

  • Complex de configurar i mantenir per a l’usuari mitjà.
  • Requereix l’intercanvi previ i segur de claus públiques.

PGP s’usa en entorns on la confidencialitat absoluta és la màxima prioritat (periodisme d’investigació, advocats amb informació privilegiada, etc.).

Xifrat vs. Traçabilitat: El Paper dels Serveis de Confiança

PGP i TLS/DANE se centren en la confidencialitat (ocultar el contingut). Tanmateix, en els serveis d’email certificat, l’objectiu primordial és garantir la integritat i la traçabilitat amb fins probatoris.

El correu certificat ha de poder auditar-se i verificar-se en cas de litigi, el que exigeix que el seu contingut, tot i xifrat en trànsit i emmagatzematge, romangui verificable legalment.

Per això, a eEvidence apliquem xifrat en trànsit (TLS) i en emmagatzematge per protegir la informació. A més, apliquem segellat de temps, hash i signatura digital sobre el contingut i les evidències.

D’aquesta forma, es crea una cadena de confiança que preserva la confidencialitat davant tercers sense comprometre la funció probatòria del correu, assegurant que el contingut original és inalterable i verificable en un procés legal.

Preguntes Freqüents (FAQ)

TLS xifra el contingut del correu?

TLS xifra el canal de comunicació (el túnel). El missatge en si segueix estant en text pla als servidors, però viatja per un mitjà segur. El xifrat del contingut requereix PGP.

Què aporta DANE respecte a TLS?

DANE valida que el certificat TLS del servidor receptor és autèntic, confirmant la identitat del destinatari i evitant atacs de suplantació o degradació del xifrat.

L’email certificat d’eEvidence xifra els missatges?

Sí. Els correus viatgen xifrats mitjançant TLS i les evidències (el missatge segellat) es xifren i signen digitalment al nostre emmagatzematge segur. Això garanteix la seva integritat i que les proves són verificables.

Conclusió

El correu electrònic modern es protegeix mitjançant una arquitectura de capes: TLS assegura el transport; DANE garanteix l’autenticitat del canal; i PGP protegeix el contingut. Junts, proporcionen un marc sòlid de protecció tècnica i confiança digital.

Amb solucions com l’email certificat d’eEvidence, les empreses integren aquestes capes de seguretat amb les exigències legals. Garanteixen no només la confidencialitat en l’enviament, sinó també la prova verificable del seu contingut, enviament i entrega, aconseguint l’equilibri perfecte entre seguretat tècnica i validesa legal.

A punt per començar?

Contacta'ns per compartir el teu projecte de negoci o registra't ara per començar a provar els nostres serveis avui

Contacta'ns Registra't ara