Cos'è la segnalazione SMTP TLS?

Cos'è la segnalazione SMTP-TLS

TLS Reporting è un meccanismo di feedback inverso che aiuta i proprietari di domini a individuare i problemi di consegna delle e-mail con precisione millimetrica. Funziona in combinazione con il MTA-STS e fornisce dati di tracciamento sulle e-mail rimbalzate che non sono state consegnate a causa di un handshake TLS non riuscito.

Cosa significa segnalazione TLS?

TLS Reporting (TLS-RPT) è uno standard per segnalare i problemi di consegna delle e-mail che si verificano quando un'e-mail non è crittografata con TLS. Supporta il protocollo MTA-STS, utilizzato per garantire che tutte le e-mail inviate al vostro dominio siano crittografate con TLS.

  • La crittografia TLS garantisce che ogni e-mail inviata venga consegnata in modo sicuro. Tuttavia, un utente malintenzionato potrebbe tentare un downgrade SMTP, un tipo di attacco in cui l'e-mail viene inviata senza essere crittografata, consentendo di leggerne o manometterne il contenuto. MTA-STS combatte questo problema rendendo necessaria la crittografia di tutte le e-mail prima del loro invio. Se un utente malintenzionato tenta di eseguire un downgrade SMTP, l'e-mail non verrà inviata affatto.
  • TLS-RPT permette a voi, proprietari del dominio, di ricevere rapporti su ogni email che non viene criptata e non riesce ad essere inviata a voi. Puoi quindi identificare la fonte del problema e risolvere i tuoi problemi di consegna.

Come funziona il reporting TLS?

Come funziona la segnalazione TLS

La segnalazione TLS (TLS-RPT) è usata per supportare il protocollo MTA-STS, che assicura che le email siano criptate prima di essere consegnate. Normalmente, il tuo email server o Mail Transfer Agent (MTA) negozia con il server ricevente per vedere se supporta il comando STARTTLS. Se lo fa, l'email viene criptata con TLS e viene consegnata all'MTA ricevente.

Un attaccante potrebbe tentare un attacco SMTP downgrade a questo punto, che consiste nel bloccare la negoziazione tra l'MTA di invio e quello di ricezione. Il server di invio pensa che il ricevitore non supporti il comando STARTTLS e invia l'email senza crittografia TLS, permettendo all'attaccante di vedere o manomettere il contenuto dell'email.

Quando si implementa l'MTA-STS nel proprio dominio, si rende obbligatorio per il server di invio crittografare i messaggi prima di inviarli. Se un aggressore tenta un attacco di downgrade SMTP, l'e-mail non verrà semplicemente inviata. In questo modo si garantisce la crittografia TLS su tutte le e-mail senza errori.

Il reporting TLS (TLS-RPT) è un protocollo che notifica il proprietario del dominio quando le e-mail inviate attraverso il dominio presentano problemi di consegna. Se un'e-mail non viene inviata a causa di un downgrade SMTP o di un altro problema, riceverete un rapporto in formato file JSON contenente i dettagli dell'e-mail non riuscita. Questo rapporto non contiene il contenuto dell'e-mail.

Perché avete bisogno della segnalazione SMTP TLS?

Per i proprietari di domini è essenziale rimanere informati sui problemi di consegna delle e-mail dovuti a errori nella crittografia TLS per le e-mail inviate da un dominio abilitato all'MTA-STS. Il reporting TLS lo rende possibile fornendo queste informazioni. 

Ricevere rapporti di feedback

Se un messaggio non viene inviato, la segnalazione TLS aiuta a ricevere una notifica in merito

Per ottenere una visibilità totale dei canali e-mail

Ottenere informazioni dettagliate sul flusso di e-mail attraverso la reportistica TLS

Per eliminare i problemi di consegna

Il reporting TLS aiuta a identificare l'origine del problema e a risolverlo senza ritardi.rapporto tls

Procedura per l'attivazione della segnalazione TLS 

È possibile abilitare la segnalazione TLS per il proprio dominio creando un record TXT per TLS-RPT e pubblicandolo nel DNS. Questo record deve essere pubblicato sul sottodominio _smtp._tls.yourdomain.com

Esempio di record TLS-RPT

v=TLSRPTv1; rua=mailto:[email protected];

Analizziamo i componenti del record di segnalazione TLS fornito:

v=TLSRPTv1:

Questo tag specifica la versione del protocollo TLS-RPT utilizzata. In questo caso, "TLSRPTv1" indica la prima versione del protocollo TLS-RPT.

rua=mailto:[email protected]:

Questo tag indica l'URI di segnalazione per i rapporti aggregati (RUA). Specifica dove il server di posta del destinatario deve inviare i rapporti aggregati sui guasti TLS. rua sta per "Reporting URI for Aggregated Reports".

Il valore "mailto:[email protected]" è un URI che specifica un indirizzo email ([email protected]) a cui inviare i rapporti aggregati via e-mail.

In pratica, si sostituisce "tuodominio.com" con il nome del dominio effettivo su cui si desidera ricevere i rapporti.

Il significato di ogni componente:

v=TLSRPTv1:

Indica la versione del protocollo TLS-RPT utilizzata. Contribuisce a garantire la compatibilità tra il mittente e il destinatario delle segnalazioni.

rua=mailto:[email protected]:

Specifica la destinazione dei rapporti aggregati per i problemi di consegna TLS. Fornendo un indirizzo e-mail di segnalazione, i proprietari dei domini possono ricevere informazioni sulle connessioni TLS fallite o problematiche. I rapporti sono utili per diagnosticare potenziali problemi di sicurezza o di configurazione relativi alla comunicazione e-mail.

Formato di reportistica TLS ed esempio di report

Un report JSON TLS segue un formato specifico definito dalla specifica TLS-RPT (Transport Layer Security Reporting Policy). Questo formato viene utilizzato per trasmettere informazioni sui problemi di consegna delle e-mail relativi alla crittografia TLS. Di seguito è riportato un esempio di come potrebbe apparire un report JSON TLS:

Ecco la ripartizione dei campi principali di questo rapporto JSON TLS:

Esempio di formato e di rapporto di TLS

organizzazione: L'organizzazione del dominio che possiede il record TLS-RPT.

email: L'indirizzo e-mail a cui vengono inviati i rapporti aggregati.

data_inizio: La data di inizio del periodo di riferimento.

data_fine: La data di fine del periodo di riferimento.

politiche: Un array di oggetti criterio che descrivono i criteri applicati durante il periodo di riferimento.

politica: Contiene informazioni sul criterio applicato.

tipo_politica: Specifica il tipo di criterio (ad esempio, "policy" per un criterio TLS).

stringa_politica: Specifica la stringa di criterio associata al criterio (ad esempio, "reject" per un criterio TLS rigoroso).

sintesi: Contiene informazioni di riepilogo sulle sessioni tentate.

numero totale di sessioni riuscite: Il conteggio totale delle sessioni TLS stabilite con successo.

numero totale di sessioni fallite: Il conteggio totale dei fallimenti della sessione TLS.

dettagli_fallimento: Un array di oggetti che forniscono dettagli su fallimenti specifici.

motivo: Una stringa che indica il motivo del fallimento (ad esempio, "certificato_scaduto").

conto: Conteggio delle sessioni fallite per un motivo specifico.

Motivi e tipi di fallimento della crittografia TLS 

Problemi di certificato:

  1. certificato_scaduto: Il certificato presentato dal server remoto ha superato la data di scadenza e non è quindi affidabile per la crittografia.
  2. certificato_non_valido_ancora: Il certificato presentato dal server remoto non è ancora valido, forse a causa di un orario del server non corretto o di un utilizzo prematuro del certificato.
  3. certificato_revocato: Il certificato presentato dal server remoto è stato revocato dall'autorità di certificazione per problemi di sicurezza.
  4. certificato non attendibile: La catena di certificati presentata dal server remoto non è attendibile dal server di posta o dal client del mittente, il che indica un potenziale rischio per la sicurezza.
  5. firma_non_valida: Il certificato presentato dal server remoto non è firmato correttamente da un'autorità di certificazione affidabile, il che solleva dubbi sulla sua autenticità.
  6. certificato_non_supportato: Il certificato presentato dal server remoto utilizza algoritmi di crittografia o lunghezze di chiave non supportate dal server di posta del mittente, impedendo una connessione sicura.

Mancata corrispondenza tra nome host e identità

  1. hostname_mismatch: Il nome dell'host specificato nel certificato del server non corrisponde al nome dell'host del server a cui il server di posta del mittente sta cercando di connettersi, indicando un possibile attacco man-in-the-middle o un problema di configurazione.

Suite di cifratura e configurazione della crittografia

  1. suite_cipher_insicura: La suite di cifratura negoziata tra i server di posta del mittente e del destinatario è considerata debole o insicura e può compromettere la riservatezza e l'integrità della comunicazione.
  2. corrispondenza_di_versione_di_protocollo: C'è una discrepanza nelle versioni del protocollo TLS supportate tra i server di posta del mittente e del destinatario, che impedisce loro di stabilire una connessione crittografata compatibile.
  3. no_shared_cipher_suite: Non è disponibile una suite di cifratura comune che i server di posta del mittente e del destinatario possano utilizzare per la crittografia, con conseguente fallimento della connessione.

Problemi di handshake e protocollo

  1. handshake_failure: Si è verificato un problema durante il processo iniziale di handshake TLS tra il server di posta del mittente e il server di posta del destinatario, impedendo la creazione del canale sicuro.
  2. messaggio_inatteso: Il server di posta del mittente ha ricevuto un messaggio inatteso o non supportato durante il processo di handshake TLS, indicando un potenziale errore di protocollo o di implementazione.

Problemi di politica MTA-STS

  1. mta_sts_policy_not_found: Questo errore si verifica quando il server di posta del mittente non è in grado di trovare un criterio MTA-STS per il dominio del destinatario.
  2. mta_sts_policy_invalid: Questo errore si verifica quando il criterio MTA-STS trovato nel DNS per il dominio del destinatario non è valido, contiene errori o non è conforme alle specifiche MTA-STS.
  3. mta_sts_policy_fetch_error: Questo errore si verifica quando il server di posta del mittente incontra un errore durante il tentativo di recuperare il criterio MTA-STS dai record DNS del dominio del destinatario.
  4. mta_sts_connection_failure: Questo errore si verifica quando il server di posta del mittente tenta di stabilire una connessione sicura utilizzando MTA-STS, ma fallisce per motivi quali certificati non attendibili, suite di cifratura non supportate o altri problemi TLS.
  5. mta_sts_invalid_hostname: Questo errore si verifica quando il nome host del server di posta del destinatario, come specificato nel criterio MTA-STS, non corrisponde al nome host effettivo del server.
  6. mta_sts_policy_upgrade: Questo errore si verifica quando il server di posta del mittente tenta di aggiornare la connessione a una sicura utilizzando MTA-STS, ma il server del destinatario non supporta l'aggiornamento.

Reporting SMTP TLS semplificato con PowerDMARC

Segnalazione semplificata-SMTP-TLS-con-PowerDMARC

L'esperienza di reporting SMTP TLS di PowerDMARC mira a migliorare la vostra sicurezza e a semplificarvi la vita con un servizio in hosting.

Rapporti TLS tradotti

I complessi report JSON per la reportistica TLS vengono convertiti in informazioni semplificate che possono essere sfogliate in pochi secondi o lette in dettaglio.

Problemi di rilevamento automatico

La piattaforma PowerDMARC individua automaticamente il problema che state affrontando in modo da poterlo risolvere senza perdere tempo

rapporto tls

Ultimi messaggi di Ahona Rudra (vedi tutti)
/da
Perché la compromissione delle e-mail dei venditori è così spaventosa (e cosa puoi fare per fermarla)blog vecblog sulla limitazione degli spfPerché SPF non è abbastanza buono per fermare lo spoofing