Il tanto atteso roll-out è finalmente arrivato! Microsoft sta inviando rapporti aggregati DMARC RUA ai suoi utenti ed è probabile che non ve ne siate accorti. I rapporti aggregati Microsoft DMARC vengono inviati dal seguente indirizzo e-mail: [email protected]. Il file grezzo Microsoft DMARC aggregato viene inviato in formato XML standard. Microsoft ha finalmente abbracciato la segnalazione DMARC, il che significa essenzialmente che ora gli utenti di Hotmail, Outlook, Live e msn.com potranno godere dei vari benefici dei dati aggregati Microsoft DMARC.

Elaborazione dei dati aggregati Microsoft DMARC

L'analizzatore di rapporti PowerDMARC analizza i dati aggregati Microsoft DMARC in un formato organizzato che vi aiuterà a processarli in modo più efficiente.  

Per aiutare gli utenti ad avvalersi dei vantaggi dei dati aggregati dei report inviati da Microsoft, l'analizzatore di report DMARC di PowerDMARC analizzatore di rapporti DMARC è stato preconfigurato per ricevere i loro rapporti direttamente sulla piattaforma. Tutto ciò che gli utenti devono fare è aggiungere i loro domini sulla piattaforma PowerDMARC insieme alla configurazione del record DMARC DNS, mentre noi elaboriamo e presentiamo i rapporti in modo facile e comprensibile. Qui troverete:

  • Dati aggregati DMARC inviati da indirizzi di destinatari Hotmail, Outlook, Live e msn.com analizzati dal formato grezzo del file XML in informazioni semplici e leggibili organizzate in tabelle
  • PowerDMARC è preconfigurato per bypassare le violazioni RFC, permettendoci di ricevere ed analizzare i tuoi dati DMARC inviati dai server Microsoft senza che tu te ne debba preoccupare
  • Registra più domini, monitora i tuoi canali e-mail e apporta modifiche ai DNS direttamente dal dashboard con pulsanti attivabili a portata di mano
  • Filtrare i risultati in categorie assortite come per risultato, per fonte di invio, per organizzazione, per paese, geolocalizzazione, e statistiche dettagliate o risultati di ricerca per dominio sulla barra di ricerca
  • Ottieni approfondimenti sulle prestazioni delle tue e-mail e individua rapidamente i tentativi di spoofing del dominio, di impersonificazione o le false e-mail inviate utilizzando i tuoi domini aziendali Microsoft. Sarai anche in grado di analizzare qualsiasi errore SPF e DKIM dalle tue fonti di invio.

Sopra è mostrata una schermata dei nostri rapporti aggregati DMARC per organizzazione che mostra i dati DMARC RUA inviati da Microsoft.

Problemi che potresti dover affrontare mentre gestisci da solo i rapporti aggregati Microsoft DMARC

Le e-mail aggregate Microsoft DMARC non sono conformi a RFC

Il problema principale che gli utenti hanno affrontato con queste e-mail contenenti rapporti inviati da Microsoft è che non sono conformi alle specifiche RFC per le e-mail internet. Mentre RFC 5322 capitolo 2.1.1 afferma chiaramente che una riga di caratteri non deve superare i 78 caratteri, i dati BASE64 degli allegati in queste e-mail aggregate Microsoft DMARC sono una linea continua senza interruzioni di riga adeguate che supera il limite di 78 caratteri. La violazione RFC risultante è la ragione per cui la maggior parte di queste e-mail stanno finendo nel registro dei rifiuti dell'utente invece di essere consegnate alla loro casella di posta. 

I file XML grezzi sono difficili da leggere

Proprio come i dati DMARC inviati da tutte le organizzazioni di segnalazione, il file RUA grezzo è in un linguaggio di markup estensibile (XML) che è difficile da leggere e capire.

Prerequisiti per ricevere Microsoft DMARC RUA

Per ricevere rapporti aggregati per i vostri domini su outlook.com, dovete assicurarvi di avere un record PowerDMARC valido pubblicato sul vostro DNS, insieme a una politica DMARC definita. Le organizzazioni di reporting invieranno quindi i dati dei report aggregati al vostro server web o indirizzo e-mail specificato. Questo vi aiuterà ad ottenere visibilità e conformità DMARC sui vostri fornitori di posta elettronica di terze parti, sui quali altrimenti non avreste alcun controllo. 

Proteggi i tuoi domini su Microsoft Office365 e altri iniziando il tuo viaggio di autenticazione e-mail oggi. Salite a bordo con una prova gratuita di prova DMARC o programmate una demo DMARCed esplora i vantaggi dell'implementazione di una solida postura di sicurezza e-mail nella tua organizzazione!

Nel caso in cui vi siate imbattuti nella "Manca la politica MTA-STS: STSFetchResult.NONE "durante l'utilizzo di strumenti online, siete venuti nel posto giusto. Oggi parleremo di come risolvere questo messaggio di errore e sbarazzarsi di esso incorporando una politica MTA-STS per il vostro dominio.

Simple Mail Transfer Protocol, alias SMTP, è il protocollo standard di trasferimento della posta elettronica utilizzato dalla maggior parte dei fornitori di servizi e-mail. Non è un concetto estraneo che SMTP ha affrontato sfide di sicurezza fin dall'alba dei tempi, sfide che non sono stati in grado di risolvere fino ad ora. Questo perché, al fine di rendere le e-mail compatibili all'indietro, SMTP ha introdotto la crittografia opportunistica sotto forma di un comando STARTTLS. Questo significa essenzialmente che, nel caso in cui una connessione criptata non possa essere negoziata tra due server SMTP comunicanti, la connessione viene riportata ad una non criptata, e i messaggi vengono inviati in chiaro. 

Questo rende le e-mail trasferite via SMTP vulnerabili al monitoraggio pervasivo e agli attacchi di intercettazione informatica come il Man-in-the-middle. Questo è rischioso sia per il mittente che per il destinatario e può portare alla violazione di dati sensibili. È qui che MTA-STS entra in gioco e rende la crittografia TLS obbligatoria in SMTP per impedire che le e-mail vengano consegnate su connessioni non sicure. 

Cos'è una politica MTA-STS?

Per migliorare la sicurezza delle e-mail SMTP e sfruttare al massimo i protocolli di autenticazione come MTA-STS, il server di invio dovrebbe avere il supporto per il protocollo e il server di ricezione delle e-mail dovrebbe avere una politica MTA-STS definita nel proprio DNS. Una modalità di politica forzata è anche incoraggiata per amplificare ulteriormente gli standard di sicurezza. La politica MTA-STS definisce i server di posta elettronica che usano MTA-STS nel dominio del destinatario. 

Per abilitare MTA-STS per il tuo dominio come destinatario di email, devi ospitare un file di policy MTA-STS nel tuo DNS. Questo permette ai mittenti di e-mail esterni di inviare e-mail al tuo dominio che sono autenticate e criptate TLS con una versione aggiornata di TLS (1.2 o superiore). 

Non avere un file di policy pubblicato o aggiornato per il vostro dominio può essere la ragione principale per imbattersi in messaggi di errore come "Manca la policy MTA-STS: STSFetchResult.NONE", che implica che il server del mittente non ha potuto recuperare il file di policy MTA-STS quando ha interrogato il DNS del destinatario, trovandolo mancante.

Prerequisiti per MTA-STS:

I server di posta elettronica per i quali MTA-STS sarà abilitato dovrebbero usare una versione TLS di 1.2 o più, e dovrebbero avere certificati TLS in atto che aderiscono agli attuali standard e specifiche RFC, non sono scaduti, e certificati di server che sono firmati da un'autorità di certificazione root affidabile.

Passi per risolvere "La politica MTA-STS è mancante".

1. Creazione e pubblicazione di un record TXT di MTA-STS DNS 

Il primo passo è quello di creare un record MTA-STS per il tuo dominio. Potete creare un record istantaneamente usando un generatore di record MTA-STS, fornendovi un record DNS su misura per il vostro dominio. 

2. Definire una modalità di politica MTA-STS

MTA-STS offre due modalità di politica con cui gli utenti possono lavorare.

  • Modalità di test: Questa modalità è ideale per i principianti che non hanno configurato il protocollo prima. La modalità di test MTA-STS permette di ricevere rapporti SMTP TLS su problemi nelle politiche MTA-STS, problemi nello stabilire connessioni SMTP criptate, o fallimento nella consegna delle e-mail. Questo ti aiuta a rispondere ai problemi di sicurezza esistenti relativi ai tuoi domini e server senza applicare la crittografia TLS.
  • Applicare la modalità: Mentre si ricevono ancora i rapporti TLS, nel corso del tempo è ottimale per gli utenti applicare la loro politica MTA-STS per rendere obbligatoria la crittografia durante la ricezione di e-mail utilizzando SMTP. Questo impedisce che i messaggi vengano modificati o manomessi durante il transito.

3. Creare il file di policy MTA-STS

Il passo successivo è quello di ospitare i file di policy MTA-STS per i vostri domini. Notate che mentre il contenuto di ogni file può essere lo stesso, è obbligatorio ospitare le policy separatamente per domini separati, e un singolo dominio può avere solo un singolo file di policy MTA-STS. Più file di policy MTA-STS ospitati per un singolo dominio possono portare a configurazioni errate del protocollo. 

Il formato standard per un file di policy MTA-STS è dato di seguito: 

Nome del file: mta-sts.txt

Dimensione massima del file: 64 KB

versione: STSv1

modo: test

mx: mail.yourdomain.com

mx: *.yourdomain.com

max_age: 806400 

Nota: Il file di policy mostrato sopra è semplicemente un esempio.

4. Pubblicare il file di policy MTA-STS

Successivamente, dovete pubblicare il vostro file di policy MTA-STS su un server web pubblico che sia accessibile ai server esterni. Assicuratevi che il server su cui ospitate il vostro file supporti HTTPS o SSL. La procedura per questo è semplice. Supponendo che il vostro dominio sia preconfigurato con un server web pubblico:

  • Aggiungi un sottodominio al tuo dominio esistente che dovrebbe iniziare con il testo: mta-sts (per esempio mta-sts.domain.com) 
  • Il tuo file di policy punterà a questo sottodominio che hai creato e deve essere memorizzato in un .well-known
  • L'URL per il file di policy è aggiunto alla voce DNS durante la pubblicazione del record DNS MTA-STS in modo che il server possa interrogare il DNS per recuperare il file di policy durante il trasferimento della posta elettronica

5. Attivare MTA-STS e TLS-RPT

Infine, dovete pubblicare i vostri MTA-STS e TLS-RPT nel DNS del vostro dominio, usando TXT come tipo di risorsa, posizionati su due sottodomini separati (_smtp._tls e _mta-sts). Questo permetterà solo ai messaggi criptati TLS di raggiungere la tua casella di posta, che sono verificati e non manomessi. Inoltre, riceverai quotidianamente dei rapporti sui problemi di consegna e crittografia su un indirizzo e-mail o un server web configurato da te, da server esterni.

Potete verificare la validità dei vostri record DNS eseguendo una ricerca di record MTA-STS dopo che il vostro record è pubblicato e attivo.  

Nota: Ogni volta che fate delle modifiche al contenuto dei vostri file di policy MTA-STS, dovete aggiornarlo sia sul server web pubblico su cui ospitate il vostro file, sia sulla voce DNS che contiene il vostro URL di policy. Lo stesso vale per ogni volta che aggiornate o aggiungete ai vostri domini o server.

Come possono i servizi MTA-STS ospitati aiutare a risolvere il problema "La politica MTA-STS è mancante"?

L'implementazione manuale di MTA-STS può essere ardua e impegnativa e lasciare spazio agli errori. PowerDMARC MTA-STS in hosting aiutano a catapultare il processo per i proprietari di domini, rendendo l'implementazione del protocollo facile e veloce. Voi potete:

  • Pubblica i tuoi record CNAME per MTA-STS con pochi clic
  • Esternalizzare il duro lavoro coinvolto nel mantenimento e nell'hosting dei file delle politiche MTA-STS e dei server web
  • Cambiate la modalità della vostra politica ogni volta che lo desiderate, direttamente dalla vostra dashboard personalizzata, senza dover accedere al vostro DNS
  • Mostriamo i file JSON dei rapporti SMTP TLS in un formato organizzato e leggibile dall'uomo che è comodo e comprensibile sia per le persone tecniche che per quelle non tecniche.

La cosa migliore? Siamo conformi alle RFC e supportiamo gli ultimi standard TLS. Questo ti aiuta a iniziare con una configurazione MTA-STS senza errori per il tuo dominio, e a godere dei suoi benefici lasciando a noi le seccature e le complessità da gestire per tuo conto! 

Spero che questo articolo vi abbia aiutato a sbarazzarvi del messaggio "Manca la policy MTA-STS: STSFetchResult.NONE", e a configurare correttamente i protocolli per il vostro dominio per mitigare le lacune e le sfide della sicurezza SMTP. 

Abilita MTA-STS per le tue email oggi stesso prendendo un autenticazione e-mail prova DMARCper migliorare le tue difese contro il MITM e altri attacchi di intercettazione informatica!