Cos'è la segnalazione SMTP TLS?
TLS Reporting è un meccanismo di feedback inverso che aiuta i proprietari di domini a individuare i problemi di consegna delle e-mail con precisione millimetrica. Funziona in combinazione con il MTA-STS e fornisce dati di tracciamento sulle e-mail rimbalzate che non sono state consegnate a causa di un handshake TLS non riuscito.
Cosa significa segnalazione TLS?
TLS Reporting (TLS-RPT) è uno standard per segnalare i problemi di consegna delle e-mail che si verificano quando un'e-mail non è crittografata con TLS. Supporta il protocollo MTA-STS, utilizzato per garantire che tutte le e-mail inviate al vostro dominio siano crittografate con TLS.
- La crittografia TLS garantisce che ogni e-mail inviata venga consegnata in modo sicuro. Tuttavia, un utente malintenzionato potrebbe tentare un downgrade SMTP, un tipo di attacco in cui l'e-mail viene inviata senza essere crittografata, consentendo di leggerne o manometterne il contenuto. MTA-STS combatte questo problema rendendo necessaria la crittografia di tutte le e-mail prima del loro invio. Se un utente malintenzionato tenta di eseguire un downgrade SMTP, l'e-mail non verrà inviata affatto.
- TLS-RPT permette a voi, proprietari del dominio, di ricevere rapporti su ogni email che non viene criptata e non riesce ad essere inviata a voi. Puoi quindi identificare la fonte del problema e risolvere i tuoi problemi di consegna.
Come funziona il reporting TLS?
La segnalazione TLS (TLS-RPT) è usata per supportare il protocollo MTA-STS, che assicura che le email siano criptate prima di essere consegnate. Normalmente, il tuo email server o Mail Transfer Agent (MTA) negozia con il server ricevente per vedere se supporta il comando STARTTLS. Se lo fa, l'email viene criptata con TLS e viene consegnata all'MTA ricevente.
Un attaccante potrebbe tentare un attacco SMTP downgrade a questo punto, che consiste nel bloccare la negoziazione tra l'MTA di invio e quello di ricezione. Il server di invio pensa che il ricevitore non supporti il comando STARTTLS e invia l'email senza crittografia TLS, permettendo all'attaccante di vedere o manomettere il contenuto dell'email.
Quando si implementa l'MTA-STS nel proprio dominio, si rende obbligatorio per il server di invio crittografare i messaggi prima di inviarli. Se un aggressore tenta un attacco di downgrade SMTP, l'e-mail non verrà semplicemente inviata. In questo modo si garantisce la crittografia TLS su tutte le e-mail senza errori.
Il reporting TLS (TLS-RPT) è un protocollo che notifica il proprietario del dominio quando le e-mail inviate attraverso il dominio presentano problemi di consegna. Se un'e-mail non viene inviata a causa di un downgrade SMTP o di un altro problema, riceverete un rapporto in formato file JSON contenente i dettagli dell'e-mail non riuscita. Questo rapporto non contiene il contenuto dell'e-mail.
Perché avete bisogno della segnalazione SMTP TLS?
Per i proprietari di domini è essenziale rimanere informati sui problemi di consegna delle e-mail dovuti a errori nella crittografia TLS per le e-mail inviate da un dominio abilitato all'MTA-STS. Il reporting TLS lo rende possibile fornendo queste informazioni.
Ricevere rapporti di feedback
Se un messaggio non viene inviato, la segnalazione TLS aiuta a ricevere una notifica in merito
Per ottenere una visibilità totale dei canali e-mail
Ottenere informazioni dettagliate sul flusso di e-mail attraverso la reportistica TLS
Per eliminare i problemi di consegna
Il reporting TLS aiuta a identificare l'origine del problema e a risolverlo senza ritardi.
Procedura per l'attivazione della segnalazione TLS
È possibile abilitare la segnalazione TLS per il proprio dominio creando un record TXT per TLS-RPT e pubblicandolo nel DNS. Questo record deve essere pubblicato sul sottodominio _smtp._tls.yourdomain.com
Esempio di record TLS-RPT
v=TLSRPTv1; rua=mailto:[email protected];
Analizziamo i componenti del record di segnalazione TLS fornito:
v=TLSRPTv1:
Questo tag specifica la versione del protocollo TLS-RPT utilizzata. In questo caso, "TLSRPTv1" indica la prima versione del protocollo TLS-RPT.
rua=mailto:[email protected]:
Questo tag indica l'URI di segnalazione per i rapporti aggregati (RUA). Specifica dove il server di posta del destinatario deve inviare i rapporti aggregati sui guasti TLS. rua sta per "Reporting URI for Aggregated Reports".
Il valore "mailto:[email protected]" è un URI che specifica un indirizzo email ([email protected]) a cui inviare i rapporti aggregati via e-mail.
In pratica, si sostituisce "tuodominio.com" con il nome del dominio effettivo su cui si desidera ricevere i rapporti.
Il significato di ogni componente:
v=TLSRPTv1:
Indica la versione del protocollo TLS-RPT utilizzata. Contribuisce a garantire la compatibilità tra il mittente e il destinatario delle segnalazioni.
rua=mailto:[email protected]:
Specifica la destinazione dei rapporti aggregati per i problemi di consegna TLS. Fornendo un indirizzo e-mail di segnalazione, i proprietari dei domini possono ricevere informazioni sulle connessioni TLS fallite o problematiche. I rapporti sono utili per diagnosticare potenziali problemi di sicurezza o di configurazione relativi alla comunicazione e-mail.
Formato di reportistica TLS ed esempio di report
Un report JSON TLS segue un formato specifico definito dalla specifica TLS-RPT (Transport Layer Security Reporting Policy). Questo formato viene utilizzato per trasmettere informazioni sui problemi di consegna delle e-mail relativi alla crittografia TLS. Di seguito è riportato un esempio di come potrebbe apparire un report JSON TLS:
Ecco la ripartizione dei campi principali di questo rapporto JSON TLS:
organizzazione: L'organizzazione del dominio che possiede il record TLS-RPT.
email: L'indirizzo e-mail a cui vengono inviati i rapporti aggregati.
data_inizio: La data di inizio del periodo di riferimento.
data_fine: La data di fine del periodo di riferimento.
politiche: Un array di oggetti criterio che descrivono i criteri applicati durante il periodo di riferimento.
politica: Contiene informazioni sul criterio applicato.
tipo_politica: Specifica il tipo di criterio (ad esempio, "policy" per un criterio TLS).
stringa_politica: Specifica la stringa di criterio associata al criterio (ad esempio, "reject" per un criterio TLS rigoroso).
sintesi: Contiene informazioni di riepilogo sulle sessioni tentate.
numero totale di sessioni riuscite: Il conteggio totale delle sessioni TLS stabilite con successo.
numero totale di sessioni fallite: Il conteggio totale dei fallimenti della sessione TLS.
dettagli_fallimento: Un array di oggetti che forniscono dettagli su fallimenti specifici.
motivo: Una stringa che indica il motivo del fallimento (ad esempio, "certificato_scaduto").
conto: Conteggio delle sessioni fallite per un motivo specifico.
Motivi e tipi di fallimento della crittografia TLS
Problemi di certificato:
- certificato_scaduto: Il certificato presentato dal server remoto ha superato la data di scadenza e non è quindi affidabile per la crittografia.
- certificato_non_valido_ancora: Il certificato presentato dal server remoto non è ancora valido, forse a causa di un orario del server non corretto o di un utilizzo prematuro del certificato.
- certificato_revocato: Il certificato presentato dal server remoto è stato revocato dall'autorità di certificazione per problemi di sicurezza.
- certificato non attendibile: La catena di certificati presentata dal server remoto non è attendibile dal server di posta o dal client del mittente, il che indica un potenziale rischio per la sicurezza.
- firma_non_valida: Il certificato presentato dal server remoto non è firmato correttamente da un'autorità di certificazione affidabile, il che solleva dubbi sulla sua autenticità.
- certificato_non_supportato: Il certificato presentato dal server remoto utilizza algoritmi di crittografia o lunghezze di chiave non supportate dal server di posta del mittente, impedendo una connessione sicura.
Mancata corrispondenza tra nome host e identità
- hostname_mismatch: Il nome dell'host specificato nel certificato del server non corrisponde al nome dell'host del server a cui il server di posta del mittente sta cercando di connettersi, indicando un possibile attacco man-in-the-middle o un problema di configurazione.
Suite di cifratura e configurazione della crittografia
- suite_cipher_insicura: La suite di cifratura negoziata tra i server di posta del mittente e del destinatario è considerata debole o insicura e può compromettere la riservatezza e l'integrità della comunicazione.
- corrispondenza_di_versione_di_protocollo: C'è una discrepanza nelle versioni del protocollo TLS supportate tra i server di posta del mittente e del destinatario, che impedisce loro di stabilire una connessione crittografata compatibile.
- no_shared_cipher_suite: Non è disponibile una suite di cifratura comune che i server di posta del mittente e del destinatario possano utilizzare per la crittografia, con conseguente fallimento della connessione.
Problemi di handshake e protocollo
- handshake_failure: Si è verificato un problema durante il processo iniziale di handshake TLS tra il server di posta del mittente e il server di posta del destinatario, impedendo la creazione del canale sicuro.
- messaggio_inatteso: Il server di posta del mittente ha ricevuto un messaggio inatteso o non supportato durante il processo di handshake TLS, indicando un potenziale errore di protocollo o di implementazione.
Problemi di politica MTA-STS
- mta_sts_policy_not_found: Questo errore si verifica quando il server di posta del mittente non è in grado di trovare un criterio MTA-STS per il dominio del destinatario.
- mta_sts_policy_invalid: Questo errore si verifica quando il criterio MTA-STS trovato nel DNS per il dominio del destinatario non è valido, contiene errori o non è conforme alle specifiche MTA-STS.
- mta_sts_policy_fetch_error: Questo errore si verifica quando il server di posta del mittente incontra un errore durante il tentativo di recuperare il criterio MTA-STS dai record DNS del dominio del destinatario.
- mta_sts_connection_failure: Questo errore si verifica quando il server di posta del mittente tenta di stabilire una connessione sicura utilizzando MTA-STS, ma fallisce per motivi quali certificati non attendibili, suite di cifratura non supportate o altri problemi TLS.
- mta_sts_invalid_hostname: Questo errore si verifica quando il nome host del server di posta del destinatario, come specificato nel criterio MTA-STS, non corrisponde al nome host effettivo del server.
- mta_sts_policy_upgrade: Questo errore si verifica quando il server di posta del mittente tenta di aggiornare la connessione a una sicura utilizzando MTA-STS, ma il server del destinatario non supporta l'aggiornamento.
Reporting SMTP TLS semplificato con PowerDMARC
L'esperienza di reporting SMTP TLS di PowerDMARC mira a migliorare la vostra sicurezza e a semplificarvi la vita con un servizio in hosting.
Rapporti TLS tradotti
I complessi report JSON per la reportistica TLS vengono convertiti in informazioni semplificate che possono essere sfogliate in pochi secondi o lette in dettaglio.
Problemi di rilevamento automatico
La piattaforma PowerDMARC individua automaticamente il problema che state affrontando in modo da poterlo risolvere senza perdere tempo
- Sicurezza Web 101 - Migliori pratiche e soluzioni - 29 novembre 2023
- Che cos'è la crittografia delle e-mail e quali sono i suoi vari tipi? - Novembre 29, 2023
- Che cos'è l'MTA-STS? Impostare il giusto criterio MTA STS - 25 novembre 2023