Cos’è e come funziona il protocollo MTA-STS per la sicurezza della posta elettronica

La posta elettronica è uno dei servizi più usati e importanti di Internet, ma anche uno dei più vulnerabili agli attacchi informatici. Per proteggere la privacy e l’integrità dei messaggi inviati e ricevuti, è fondamentale che i server di posta elettronica usino dei protocolli di sicurezza che garantiscano la cifratura e l’autenticazione delle connessioni.
Purtroppo, non tutti i server di posta elettronica supportano gli stessi protocolli di sicurezza, e alcuni di essi potrebbero essere configurati in modo errato o obsoleto. Questo crea delle situazioni in cui la connessione tra due server di posta elettronica potrebbe essere degradata a un livello di sicurezza inferiore (TLS downgrade), o addirittura intercettata da un attaccante che si interpone tra i due server (man-in-the-middle).
Per prevenire questi scenari, è stato introdotto un nuovo protocollo di sicurezza chiamato MTA-STS, che sta per Mail Transfer Agent Strict Transport Security. Si tratta di un protocollo che permette ai server di posta elettronica di dichiarare ed imporre le proprie politiche di sicurezza, di verificare l’identità dei server con cui essi comunicano e ricevere un feedback quando le connessioni TLS avvengono correttamente o tramite anomalie (medesima logica della reportistica DMARC).

MTA-STS applicato nelle connessioni client

Il funzionamento di MTA-STS

Il protocollo MTA-STS si basa su due elementi principali: un record DNS e un file di policy. Il record DNS è un tipo di record chiamato TXT, che contiene una stringa che indica che il dominio supporta il protocollo MTA-STS e il nome del file di policy. Quest’ultimo è un file in formato testo, che contiene le informazioni sulla politica di sicurezza del dominio, come la durata di validità (max-age), l’obbligatorierietà dell’applicazione (mode) e l’elenco dei server di posta elettronica autorizzati (mx).
Quando un server di posta elettronica vuole inviare un messaggio ad un altro server di posta elettronica, il primo passo che fa è quello di controllare se il dominio del destinatario ha un record DNS di tipo TXT che indica il supporto al protocollo MTA-STS. Se lo trova, il server di posta elettronica scarica il file di politica dal dominio del destinatario, e lo usa per stabilire una connessione sicura con il server di posta elettronica esplicitamente dichiarati del destinatario. Se il server mittente non implementa questo protocollo nessun vincolo di policy viene applicato alla connessione.
La connessione sicura si basa sul protocollo TLS, che è lo stesso protocollo usato per le connessioni HTTPS dei siti web. Il protocollo TLS permette di cifrare i dati scambiati tra i due server, e di verificare l’identità dei due server tramite dei certificati digitali.
Se la connessione sicura non può essere stabilita, per esempio perché il server di posta elettronica del destinatario non supporta il protocollo TLS, o perché il certificato non è valido, o perché la connessione è stata alterata da un attaccante (es: cambio del nome del server di posta), il server di posta elettronica del mittente rifiuta di inviare il messaggio, e lo mette in coda per un tentativo successivo. In questo modo il protocollo MTA-STS impedisce che la connessione sia degradata a un livello di sicurezza inferiore, o che il messaggio sia intercettato da un attaccante.

Guida ufficiale Microsoft per la diffusione del protocollo.

Guida pratica alla configurazione su ExchangeOnline (attenzione che l’opzione 2 che è obsoleta).

Modulo powershell per la configurazione massiva del protocollo per coloro che hanno tanti domini di posta in Microsoft 365.

L’utilizzo e i benefici di MTA-STS

Il protocollo MTA-STS è stato progettato per essere compatibile con i protocolli di sicurezza esistenti, come SPF, DKIM e DMARC, che servono a prevenire il fenomeno dello spoofing, ovvero la falsificazione dell’identità del mittente di un messaggio. Il protocollo MTA-STS aggiunge un ulteriore livello di sicurezza, proteggendo la connessione tra i server di posta elettronica.
Alcuni esempi di domini che usano il protocollo MTA-STS sono: gmail.com, outlook.com, yahoo.com, fastmail.com, protonmail.com. Questi domini sono tra i più usati per la posta elettronica, e hanno deciso di adottare il protocollo MTA-STS per garantire ai loro utenti una maggiore protezione dei loro messaggi. E’ arrivato il momento di spostare l’attenzione sui domini di posta aziendali.
I benefici del protocollo MTA-STS sono evidenti soprattutto quando si tratta di comunicazioni sensibili, come quelle che riguardano le informazioni personali, le transazioni finanziarie, le comunicazioni legali o le comunicazioni mediche. In questi casi, il protocollo MTA-STS aiuta a prevenire che i messaggi siano letti, modificati o deviati da terze parti non autorizzate, che potrebbero avere intenzioni malevole o sfruttare le informazioni per scopi illeciti.
Senza questo protocollo, per stabilire una comunicazione cifrata ed autenticata tra domini, è necessario eseguire una configurazione manuale tra le parti. Per esempio, nelle grandi aziende i gruppi bancari impongono le comunicazioni con i loro domini tramite protocollo TLS con conseguente settaggio di specifici connettori in Exchange Online.

L’importanza della sicurezza nella posta elettronica

La posta elettronica è uno strumento indispensabile per la comunicazione e la collaborazione, ma anche uno dei più esposti ai rischi informatici. Per questo motivo, è fondamentale che i server di posta elettronica usino dei protocolli di sicurezza adeguati, che proteggano la privacy e l’integrità dei messaggi.
Il protocollo MTA-STS è uno dei protocolli più recenti e avanzati per la sicurezza della posta elettronica, e offre una soluzione efficace per prevenire gli attacchi di tipo downgrade e man-in-the-middle. Il protocollo MTA-STS non è ancora molto diffuso e richiede una certa competenza tecnica per essere implementato (DNS, SMTP, WebApp). Per questo motivo, è importante che i gestori dei domini che usano la posta elettronica si informino per bene in merito al protocollo MTA-STS, e che lo adottino per migliorare la sicurezza delle loro comunicazioni. Microsoft 365 implementa sempre, in uscita, questo protocollo quindi basta solo creare le opportune configurazioni per garantire i nostri interlocutori anche per la posta in ingresso. Per controllare l’uso di questo protocollo nel proprio ExchangeOnline esiste un report per le connessioni in uscita consultabile qui.

Conclusioni

La sicurezza della posta elettronica non è solo una questione tecnica, ma anche una questione di responsabilità e di fiducia. Al pari del DMARC, i proprietari dei domini che usano il protocollo MTA-STS dimostrano di avere a cuore la sicurezza dei loro utenti e dei loro partner, di voler garantire una comunicazione sicura e affidabile e di tenere monitorato costantemente lo stato del loro dominio di posta con un’adeguata reportistica. In questo modo, il protocollo MTA-STS contribuisce a creare una cultura della sicurezza nella posta elettronica, che è fondamentale per il benessere e lo sviluppo della società digitale.