SMTP DANE con DNSSEC in Microsoft 365

Il protocollo SMTP (Simple Mail Transfer Protocol) è uno dei pilastri fondamentali della comunicazione aziendale. La sicurezza delle email è sempre una preoccupazione a causa delle vulnerabilità intrinseche del protocollo progettato più di 40 anni fa. Per affrontare queste sfide, sono stati introdotti due standard di sicurezza: DANE (DNS-based Authentication of Named Entities) e DNSSEC (Domain Name System Security Extensions). Questi standard lavorano insieme per migliorare la sicurezza delle comunicazioni, garantendo che esse avvengano in modo sicuro e autenticato.

Il problema e la soluzione

Il protocollo DNS (Domain Name System) serve a tradurre i nomi di dominio in indirizzi IP (alfa)numerici, permettendo agli utenti di navigare in internet utilizzando nomi facilmente memorizzabili. Quando un utente inserisce un nome di dominio nella barra degli indirizzi del browser, il DNS risolve il nome nel corrispondente indirizzo IP, consentendo l’accesso al sito desiderato. Il protocollo però agisce in chiaro e le risposte dei server non sono autenticate quindi il primo passo di ogni connessione in internet ha una base di insicurezza intrinseca. Nonostante i primi articoli di standard del DNSSEC risalgano al 2005 cominciamo solo in questi anni a vederlo implementato su sistemi d’uso massivo. Ma è ancora lunga la strada da percorrere soprattutto nel mercato privato dove i server DNS delle zone pubbliche sono in azienda e spesso abbandonati a loro stessi.

I benefici

Il protocollo DANE, che dipende dal DNSSEC, autentica tutte le comunicazioni, siano esse web o SMTP ma nello specifico parliamo del solo scambio di posta elettronica.
L’implementazione di SMTP DANE con DNSSEC offre numerosi vantaggi:

  • Protezione contro attacchi di downgrade TLS: DANE utilizza record DNS TLSA per verificare l’identità del server di destinazione, prevenendo attacchi in cui un malintenzionato tenta di forzare una connessione non sicura. Nella configurazione in Microsoft 365 questi record TLSA sono gestiti automaticamente dai servizi cloud.
  • Integrità dei dati: DNSSEC assicura che i record DNS non siano stati alterati durante il transito, proteggendo contro attacchi di spoofing e man-in-the-middle. Il DNSSEC deve essere implementato nella zona DNS pubblica del proprio dominio di posta, intervento questo che impatta il registrar (Register, Aruba, Godaddy ecc…) ed il gestore della zona DNS, che talvolta non sono la stessa entità.
  • Autenticità delle comunicazioni: Combinando DANE e DNSSEC, è possibile garantire che le email provengano effettivamente dal dominio dichiarato, riducendo il rischio di phishing e spoofing. Exchange Online invia email con questi protocolli dall’inizio del 2024 ed ora è possibile configurare anche la ricezione sul proprio dominio di posta.
  • Miglioramento della reputazione del dominio: L’adozione di questi standard di sicurezza può migliorare la reputazione del dominio, dimostrando un impegno verso le migliori pratiche di sicurezza. Rimane ancora valido e fondamentale implementare i protocolli DMARC e MTA-STS in quanto chiudono il cerchio nei sistemi eterogenei.

Le dipendenze

Per implementare SMTP DANE con DNSSEC, sono necessarie alcune dipendenze e prerequisiti:

  • Supporto DNSSEC: il dominio di posta deve essere firmato con DNSSEC. Questo implica che il registrar del dominio supporti DNSSEC e che i record DNS siano configurati correttamente. La zona pubblica deve quindi essere gestita alla perfezione. Per controllare lo stato DNSSEC della propria zona pubblica usare questo sito, per un serio debugging nell’implementazione è utile questo sito.
  • Supporto del server di posta: Il server di posta deve supportare sia DANE che DNSSEC. In Microsoft 365 questa funzionalità, da pochi giorni, è in Public Preview e, tra i grandi provider di posta, è tra i primi al mondo ad implementarlo tramite una procedura che prevede il cambio del record MX che punta ad Exchange Online. Per verificare una corretta configurazione utilizzare il Microsoft Remote Connectivity Analyzer nell’apposita sezione.
  • Infrastruttura DNS affidabile: È essenziale avere un’infrastruttura DNS affidabile e sicura per garantire che i record DNSSEC e TLSA siano sempre disponibili e corretti. Per sapere se il registrar del proprio dominio .it supporta il DNSSEC consultare questo elenco con gli opportuni filtri. Ogni NIC di altri domini di primo livello offre il medesimo servizio. Microsoft, co servizio cloud Azure DNS, sta provando il servizio DNSSEC in Private Preview e tra qualche mese sarà rilasciato permettendo una corretta configurazione di tutti i protocolli interamente nel cloud Microsoft.

Conclusioni

L’adozione di SMTP DANE con DNSSEC rappresenta un passo significativo verso la sicurezza delle comunicazioni email. Questi standard lavorano insieme ad altri protocolli (DMARC e MTA-STS) per garantire che le email siano inviate e ricevute in modo sicuro, protetto e autenticato. Sebbene l’implementazione possa richiedere un certo sforzo iniziale, i benefici in termini di sicurezza e reputazione del dominio sono considerevoli.