Guida all'implementazione di MTA-STS e TLS-RPT

Benvenuti nel vostro manuale dettagliato su MTA-STS e TLS-RPT per avere una conoscenza pratica dei protocolli e delle loro funzionalità.

Contattateci Prenota una demo

Tabella dei contenuti

Cos'è Mail Transfer Agent-Strict Transport Security (MTA-STS)?
Come fa MTA-STS a garantire la crittografia dei messaggi in transito?
Scomporre l'anatomia di un attacco MITM
Come fa MTA-STS a garantire la crittografia TLS?
Cos'è il file di politica MTA-STS?
Come pubblicare il file di politica MTA-STS?
Cos'è il record DNS MTA-STS?
Come distribuire MTA-STS?
Quali sono le sfidee sfide affrontate durante l'implementazione manuale di MTA-STS?
Servizi MTA-STS ospitati da PowerDMARC
Cos'è la segnalazione SMTP TLS (TLS-RPT)?
Come abilitare TLS-RPT per il tuo dominio?
Domande frequenti

Mail Transfer Agent-Strict Transport Security (MTA-STS)

MTA-STS, come suggerisce il nome, è un protocollo che permette il trasporto criptato di messaggi tra due server di posta SMTP. MTA-STS specifica ai server di invio che le e-mail dovrebbero essere inviate solo su una connessione cifrata TLS, e non dovrebbero essere consegnate affatto nel caso in cui una connessione protetta non sia stabilita tramite il comando STARTTLS. Migliorando la sicurezza delle e-mail in transito, MTA-STS aiuta a mitigare gli attacchi Man-In-The-Middle (MITM) come gli attacchi SMTP downgrade e gli attacchi DNS spoofing.

Come fa MTA-STS a garantire la crittografia dei messaggi in transito?

Facciamo un semplice esempio per capire come i messaggi vengono criptati durante il flusso di e-mail. Se un MTA sta inviando un'email a [email protected]l'MTA esegue una query DNS per scoprire a quale MTA l'email deve essere inviata. La richiesta DNS viene inviata per recuperare i record MX di powerdmarc.com. L'MTA che invia si connette successivamente all'MTA ricevente trovato nel risultato della query DNS, chiedendo se questo server ricevente supporta la crittografia TLS. Se lo fa, l'e-mail viene inviata su una connessione criptata, tuttavia, se non lo fa, l'MTA di invio non riesce a negoziare una connessione protetta e invia l'e-mail in chiaro.

L'invio di email su un percorso non criptato apre la strada ad attacchi di monitoraggio pervasivi come MITM e SMTP downgrade. Scopriamo come:

Scomporre l'anatomia di un attacco MITM

Essenzialmente, un attacco MITM ha luogo quando un attaccante sostituisce o cancella il comando STARTTLS per far tornare la connessione protetta ad una non protetta, senza crittografia TLS. Questo viene definito un attacco di downgrade. Dopo aver eseguito con successo un attacco di downgrade, l'attaccante può accedere e visualizzare il contenuto delle e-mail senza ostacoli.

Un attaccante MITM può anche sostituire i record MX nella risposta della query DNS con un server di posta a cui ha accesso e di cui ha il controllo. L'agente di trasferimento della posta in questo caso consegna l'e-mail al server dell'attaccante, permettendogli di accedere e manomettere il contenuto dell'e-mail. L'e-mail può essere successivamente inoltrata al server del destinatario previsto, senza essere rilevata. Questo è noto come un attacco di spoofing DNS.

Assicurare la crittografia con MTA-STS

Ogni volta che si inviano e-mail utilizzando il server SMTP dei fornitori di servizi di posta elettronica come Gmail o Microsoft, le e-mail vengono trasferite dal server di invio al server ricevente attraverso il Simple Mail Transfer Protocol (SMTP). Tuttavia, SMTP permette la crittografia opportunistica, il che implica che la comunicazione tra i server SMTP può essere crittografata o meno per evitare la manipolazione o l'intercettazione del contenuto delle e-mail. MTA-STS è pubblicato usando HTTPS, proteggendolo dagli attacchi MITM.

MTA-STS assicura la consegna delle e-mail:

Applicare la crittografia TLS
Servire i record MX da un server sicuro HTTPS

Il protocollo MTA-STS è implementato avendo un record DNS che specifica che un server di posta può recuperare un file di policy da un sottodominio specifico. Questo file di policy viene recuperato via HTTPS e autenticato con certificati, insieme alla lista dei nomi dei server di posta dei destinatari. Il protocollo specifica ad un server SMTP che la comunicazione con l'altro server SMTP deve essere criptata e che il nome del dominio sul certificato deve corrispondere al dominio del file di policy. Se MTA-STS è applicato, nel caso in cui un canale criptato non possa essere negoziato, il messaggio non viene consegnato affatto.

Il file di politica MTA-STS

Il file di policy MTA-STS è essenzialmente un semplice file di testo, che assomiglia al seguente:

versione: STSv1
modo: applicare
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
max_age: 604800

Nota: il campo versione deve essere incluso all'inizio del file di testo, mentre gli altri campi possono essere incorporati in qualsiasi ordine.

Il file di policy usa l'accoppiamento chiave-valore con ogni valore codificato su una linea separata nel file di testo come mostrato sopra. La dimensione di questo file può estendersi fino a 64 KB. Il nome del file di policy deve essere mta-sts.txt. I file di policy devono essere aggiornati ogni volta che aggiungete o modificate i server di posta nel vostro dominio.

Nota: Impostare MTA-STS in modalità enforce può causare la mancata consegna di alcune email. Perciò è consigliabile impostare la modalità di policy su testing e optare per un max_age basso per assicurarsi che tutto funzioni correttamente prima di passare a enforce policy. Raccomandiamo di impostare TLS-RPT per la vostra policy anche in modalità testing per ricevere una notifica nel caso in cui le email siano inviate in chiaro.

Pubblicare il file dei criteri MTA-STS

Per pubblicare il file di policy MTA-STS, il server web che ospita il file deve:

Supporto HTTPS/SSL
Il certificato del server deve essere firmato e convalidato da un'autorità di certificazione radice terza.

Per pubblicare un file di policy per il vostro dominio, dovreste impostare un server web pubblico con il sottodominio "mta-sts" aggiunto al vostro dominio. Il file di policy creato deve essere pubblicato nella directory .well-known creata nel sottodominio. L'URL per il vostro file di policy MTA-STS caricato potrebbe apparire come questo:

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

Registrazione DNS di MTA-STS

Un record DNS TXT per MTA-STS è pubblicato sul DNS del vostro dominio per specificare che il vostro dominio supporta il protocollo MTA-STS e per segnalare il refresh dei valori memorizzati nella cache degli MTA in caso di modifica della policy. Il record DNS MTA-STS è posizionato nel sottodominio _mta-sts come in: _mta-sts.powerdmarc.com. Il record TXT deve iniziare con v=STSv1, e il valore "id" può contenere fino a 32 caratteri alfanumerici, inclusi nel modo seguente:

v=STSv1; id=30271001S00T000;

Nota: il valore id del record TXT deve essere aggiornato ad un nuovo valore ogni volta che si fanno dei cambiamenti alla policy.

Il record DNS MTA-STS è usato per:

Specificare il supporto per MTA-STS per il dominio
Segnala all'MTA di recuperare nuovamente la politica tramite HTTPS nel caso in cui la politica venga alterata

Si noti che con il record DNS MTA-STS TXT, il file di policy può essere memorizzato dagli MTA per un periodo di tempo più lungo senza dover recuperare nuovamente la policy a meno che non sia stata alterata, pur continuando ad eseguire una query DNS ogni volta che viene ricevuta una mail per il dominio.

Configurare MTA-STS per il proprio dominio

Al fine di abilitare MTA-STS per il vostro dominio dovrete:

Aggiungete un record DNS di tipo cname a mta-sts.example.comdiretto verso il server web abilitato HTTPS che ospita il file di policy MTA-STS.
Aggiungete un record DNS di tipo txt o cname a _mta-sts.example.com che specifica il supporto per MTA-STS per il vostro dominio.

Impostare un server web abilitato HTTPS con un certificato valido per il tuo dominio.
Abilita SMTP TLS Reporting per il tuo dominio per rilevare i problemi nella consegna delle e-mail a causa di fallimenti nella crittografia TLS.

spf record lookup icona powerdmarc

Sfide affrontate durante la distribuzione manuale di MTA-STS

MTA-STS richiede un server web abilitato HTTPS con un certificato valido, record DNS e manutenzione costante, il che rende il processo di implementazione lungo, lungo e complicato. Ecco perché noi di PowerDMARC vi aiutiamo a gestire la maggior parte delle cose in background pubblicando solo tre record CNAME nel DNS del vostro dominio.

Servizi MTA-STS ospitati da PowerDMARC

PowerDMARC rende la vostra vita molto più facile gestendo tutto questo per voi, completamente in background. Una volta che vi aiutiamo a configurarlo, non dovrete mai più pensarci.

Ti aiutiamo a pubblicare i tuoi record di cname con pochi clic
Ci prendiamo la responsabilità di mantenere il server web e di ospitare i certificati
Attraverso i nostri servizi MTA-STS ospitati, l'implementazione da parte vostra si riduce alla semplice pubblicazione di alcuni record DNS

È possibile apportare modifiche ai criteri MTA-STS istantaneamente e con facilità, attraverso la dashboard di PowerDMARC, senza dover apportare manualmente modifiche al DNS
I servizi MTA-STS ospitati da PowerDMARC sono conformi a RFC e supportano gli ultimi standard TLS
Dalla generazione dei certificati e del file di politica MTA-STS all'applicazione della politica, vi aiutiamo a eludere le tremende complessità legate all'adozione del protocollo

Segnalazione SMTP TLS (TLS-RPT)

Al fine di rendere la connessione tra due server SMTP comunicanti più sicura e criptata su TLS, MTA-STS è stato introdotto per applicare la crittografia e impedire che le e-mail siano consegnate in chiaro, nel caso in cui uno dei due server non supporti TLS. Tuttavia, un problema rimane ancora irrisolto, cioè: Come notificare ai proprietari dei domini se i server remoti stanno affrontando problemi nella consegna delle e-mail a causa del fallimento della crittografia TLS? È qui che entra in gioco TLS-RPT, fornendo rapporti diagnostici al fine di consentire il monitoraggio e la risoluzione dei problemi nelle comunicazioni dei server, come i certificati TLS scaduti, configurazioni errate nei server di posta elettronica, o il fallimento nella negoziazione di una connessione sicura a causa della mancanza di supporto per la crittografia TLS.

I rapporti TLS aiutano a rilevare e rispondere ai problemi nella consegna delle e-mail attraverso un meccanismo di segnalazione sotto forma di file JSON. Questi file JSON possono essere complicati e indecifrabili per una persona non tecnica.

PowerDMARC aiuta a semplificare i file JSON sotto forma di documenti semplici, completi e leggibili con grafici e tabelle per la vostra comodità. I rapporti diagnostici per il tuo dominio sono anche visualizzati in due formati sulla dashboard di PowerDMARC: per risultato e per fonte di invio.

Abilitare TLS-RPT per il tuo dominio

Il processo di abilitazione di SMTP TLS Reporting è abbastanza semplice. Tutto quello che devi fare per abilitarlo è aggiungere un record DNS TXT nella posizione corretta, con prefisso _smtp._tls. al vostro nome di dominio. Con PowerDMARC, tuttavia, questo può essere impostato direttamente dall'interfaccia utente di PowerDMARC senza dover apportare alcuna modifica al vostro DNS!

Non appena si abilita TLS-RPT, i Mail Transfer Agent acquiescenti inizieranno a inviare rapporti diagnostici riguardanti i problemi di consegna delle e-mail tra i server comunicanti al dominio e-mail designato. I rapporti vengono generalmente inviati una volta al giorno, coprendo e trasmettendo le politiche MTA-STS osservate dai mittenti, le statistiche sul traffico e le informazioni sui fallimenti o i problemi nella consegna delle e-mail.

Domande frequenti

Come può PowerDMARC aiutarmi a distribuire MTA-STS per i miei domini?

Il pannello di controllo di PowerDMARC vi permette di impostare automaticamente MTA-STS e TLS-RPT per il vostro dominio pubblicando solo tre record CNAME nel DNS del vostro dominio. Dall'hosting dei file di policy MTAS-STS e dei certificati alla manutenzione del server web, ci occupiamo di tutto in background senza che voi dobbiate apportare alcuna modifica al vostro DNS. Il deployment di MTA-STS da parte vostra con PowerDMARC è ridotto a pochi clic.

Sarò in grado di distribuirlo per tutti i miei domini dal mio account PowerDMARC?

Puoi distribuire e gestire MTA-STS per tutti i tuoi domini dal tuo account PowerDMARC, attraverso un unico pannello di vetro. Nel caso in cui qualcuno di quei domini stia usando server di posta ricevente che non supportano STARTTLS, ciò si rifletterà nei tuoi rapporti TLS, a condizione che tu abbia abilitato TLS-RPT per quei domini.

Quale modalità devo impostare quando implemento MTA-STS per la prima volta?

È sempre consigliabile impostare la modalità della politica MTA-STS su test durante le fasi iniziali di implementazione in modo da poter monitorare le attività e ottenere visibilità nel vostro ecosistema di posta elettronica prima di passare a una politica più aggressiva come enforce. In questo modo, anche se le email non vengono inviate su una connessione criptata TLS, verrebbero comunque inviate in chiaro. Tuttavia, assicurati di abilitare TLS-RPT per ricevere una notifica se ciò accade.

Ho davvero bisogno dei rapporti TLS-RPT?

TLS-RPT è un ampio meccanismo di segnalazione che ti permette di ricevere una notifica nel caso in cui una connessione protetta non possa essere stabilita e l'e-mail non sia stata consegnata. Questo ti aiuta a rilevare i problemi nella consegna delle e-mail o le e-mail consegnate su una connessione non protetta in modo da poterli mitigare e risolvere prontamente.

Quali problemi potreste incontrare mentre usate MTA-STS?

Dovete notare che mentre MTA-STS assicura che le e-mail siano trasferite su una connessione cifrata TLS, nel caso in cui una connessione protetta non sia negoziata, l'e-mail potrebbe non essere consegnata affatto. Questo però è necessario perché assicura che le e-mail non vengano consegnate su un percorso non crittografato. Per evitare tali problemi, è consigliabile impostare una policy MTA-STS su una modalità di test e abilitare TLS-RPT per il tuo dominio inizialmente, prima di procedere alla modalità MTA-STS enforce.

Cosa succede se voglio cambiare la mia modalità MTA-STS?

Potete facilmente cambiare la vostra modalità MTA-STS dalla dashboard di PowerMTA-STS selezionando la modalità di policy desiderata e salvando le modifiche senza il bisogno di fare alcun cambiamento al vostro DNS.

Come faccio a disattivare MTA-STS per il mio dominio?

Potete disattivare MTA-STS per il vostro dominio impostando la modalità di policy su none, specificando così agli MTA che il vostro dominio non supporta il protocollo, o cancellando il vostro record TXT DNS MTA-STS.

Potete includere tutti i server di posta elettronica nel file di policy MTA-STS?

I record MX per il file di policy MTA-STS dovrebbero includere le voci per tutti i server di posta ricevente utilizzati dal vostro dominio.

Prenota una demo oggi stesso

Prova di 15 giorni Prenota una demo