Quali sono le opzioni per proteggere la posta elettronica? 3a puntata

24/nov/2022 | Jindřich Zechmeister

Nella terza puntata della nostra miniserie esamineremo la protezione della posta elettronica dal punto di vista dell'utente. Che cosa puoi fare per elevare la protezione dello scambio dei messaggi? Per esempio, scoprirai come proteggere facilmente la posta dell'intera azienda in modo automatico e senza dedicarvi ore di lavoro. In chiusura ti presenteremo un'arma efficace contro phishing che può anche contribuire ad aumentare la frequenza con cui vengono lette le mail.

Standard S/MIME per la protezione della posta elettronica

S/MIME è la denominazione della versione "sicura" (protetta) del protocollo MIME, abitualmente utilizzata come standard. S/MIME garantisce l'identità delle parti comunicanti basandosi sui dati della persona riportati nel certificato, fornisce al messaggio il sigillo digitale per proteggerlo da alterazioni e consente la crittografia end-to-end completa tra le parti comunicanti.

Per utilizzare S/MIME ti serve un certificato personale che verrà rilasciato in riferimento all'indirizzo elettronico che userai per comunicare. Di seguito potrai anche firmare e crittografare i tuoi messaggi. Puoi apporre la firma al messaggio indirizzato a qualsiasi destinatario; grazie alla firma digitale, lo stesso saprà se il messaggio è arrivato integro (senza alterazioni) e se proviene direttamente da te. Se il destinatario ha già acquisito il tuo certificato S/MIME da una comunicazione precedente, puoi inoltre criptare il messaggio per proteggerlo anche in futuro quando sarà archiviato sul server. Il messaggio non potrà essere letto che da te e dal destinatario.

Ovviamente, per fare un uso (sensato) di S/MIME è necessario estendere la protezione in modo capillare a tutta l'azienda. È necessario fornire a ciascun utente un certificato S/MIME che deve essere impostato sul suo computer, per esempio in Outlook. In presenza di un numero elevato di utenti si tratta di un lavoro noioso: forse proprio per questo motivo S/MIME non viene utilizzato in tutte le aziende. Tuttavia, noi conosciamo una soluzione anche a questo problema.

KeyTalk (PKIaaS) automatizza completamente S/MIME

Facciamo una piccola deviazione verso l'installazione dei certificati S/MIME nell'ambito aziendale. Ogni certificato deve essere richiesto, convalidato e, una volta rilasciato all'utente, installato nel sistema (accoppiando la chiave privata con il certificato emesso); inoltre, il certificato per la firma deve essere installato nei relativi programmi.

Questo è praticamente impossibile in presenza di un numero elevato di utenti, poiché l'amministratore dovrebbe "fare il giro" di tutti i computer ben due volte e ogni anno dovrebbe dedicare molte ore a questa operazione. Fortunatamente, è disponibile sul mercato una soluzione in grado di automatizzare queste procedure faticose e di occuparsi automaticamente dei certificati personali (e non solo). Si chiama KeyTalk.

KeyTalk è un'azienda olandese che si occupa di soluzioni PKI complete. Il loro ManagedPKI server KeyTalk noffre anche Keytalk Secure Email Service (SES) (denominato PKIaaS) come servizio cloud. Questo servizio consente di semplificare al massimo l'installazione dei certificati S/MIME.

Se sei interessato a saperne di più, non esitare a contattarci per avere informazioni su KeyTalk. Saremo lieti di spiegarti il suo funzionamento.

Proteggere l'utente con VMC/BIMI

Nella nostra mini-serie abbiamo presentato diverse tecnologie che contribuiscono alla sicurezza nell'uso della posta elettronica e che devono essere supportate dal provider di posta; ne fa eccezione solo il protocollo S/MIME che consente all'utente della posta elettronica di disporre direttamente della protezione. Il VMC, invece, è una nuova funzionalità che, pur essendo configurata sul server, serve principalmente per proteggere il destinatario del messaggio.

VMC e BIMI sono denominazioni delle tecnologie che aumentano la sicurezza delle comunicazioni scambiate via posta elettronica, e ciò principalmente attraverso l'interazione visiva da parte del destinatario del messaggio. Se disponi di un certificato VMC emesso e di un dominio impostato correttamente (BIMI), il logo della tua azienda verrà visualizzato presso il destinatario (nei client e servizi selezionati). Il solo utilizzo di BIMI sul dominio non è sufficiente: per visualizzare il logo aziendale ti serve anche il certificato VMC che sarà emesso previa autenticazione del logo e della tua azienda. Ciò consente al lettore del messaggio di fidarsi dell'autenticazione grazie al logo (senza il certificato VMC e la relativa autenticazione, il logo potrebbe essere utilizzato anche da truffatori).

VMC visualizza al destinatario del messaggio il logo del mittente
VMC visualizza al destinatario del messaggio il logo del mittente.

L'identità del richiedente del certificato VMC viene verificata da DigiCert e il diritto di utilizzare il logo è comprovato dal marchio registrato attivo, quindi nessuno può usare impropriamente il logo della tua azienda. Dal punto di vista tecnico, un VMC funzionante richiede che sul dominio del mittente sia attivo DMARC con il valore "reject" rigorosamente impostato per proteggere gli utenti dal phishing, ovvero dall'invio di messaggi fraudolenti. Se comunque un messaggio di questo tipo venisse inviato a nome del tuo dominio, il destinatario lo rifiuterebbe e il messaggio apparirebbe nel rapporto DMARC riepilogativo in modo da far sapere all'amministratore del dominio chi ha tentato di farne un uso improprio.

Possiamo aiutarti ad acquisire il tuo certificato VMC

SSLmarket può aiutarti ad acquisire e installare il certificato VMC per la tua azienda. Abbiamo preparato per te un riassunto delle informazioni, da conoscere prima di acquistare certificati VMC. Tuttavia, puoi acquisire il certificato direttamente nel tuo ordine presso l'SSLmarket. In tale caso, ricevuto l'ordine, il personale dell'SSLmarket ti contatterà per concordare i dettagli della richiesta.


Ing. Jindřich Zechmeister
Specialista per i certificati SSL di sicurezza
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz