S/MIME: Che cos'è, perché dovrei preoccuparmene e come si relaziona a SparkPost?
Uccello
19 dic 2018
1 min read
Punti Chiave
Premessa: S/MIME (Secure/Multipurpose Internet Mail Extensions) è uno standard di lunga data per l'invio di email firmate e criptate—critico per settori che gestiscono dati sensibili come finanza, sanità e governo.
Obiettivo: Spiegare cosa fa S/MIME, perché è importante, come si differenzia da DKIM/DMARC/TLS e come si integra con SparkPost.
Punti salienti:
Definizione: S/MIME abilita due capacità fondamentali:
Crittografia → Protegge il contenuto del messaggio (privacy).
Firma → Conferma l'identità del mittente, previene manomissioni e garantisce non ripudio.
Utilizzo nel settore: Richiesto o preferito da settimane regolamentate che necessitano di privacy dei messaggi end-to-end e identità verificabile.
Confronto con altre protezioni email:
TLS: Sicurezza nella trasmissione tra server (livello di trasporto).
S/MIME: Sicurezza del contenuto del messaggio stesso (livello di presentazione).
DKIM/DMARC: Autenticano i domini, non gli individui, e lavorano a livello admin/server.
Meccanica:
Utilizza coppie di chiavi pubbliche/private e certificati digitali emessi per ogni identità email (es. alice@company.com).
Richiede client di posta supportati (Apple Mail, Outlook, Thunderbird, iOS Mail, ecc.).
Limitazioni:
Le chiavi e i certificati possono essere complessi da gestire.
I payload criptati non possono essere scansionati per malware.
Le intestazioni (Da, A, Oggetto) rimangono visibili.
Integrazione con SparkPost:
Gli utenti di SparkPost possono firmare messaggi con S/MIME per maggiore autenticità.
Per l'invio criptato, i destinatari devono prima condividere la loro chiave pubblica (es. inviando un messaggio firmato).
I partner commerciali come Virtru e Echoworx semplificano questo per i flussi di lavoro aziendali.
Prossimi passi:
Parte 2 della serie mostra come firmare e criptare messaggi attraverso SparkPost.
Le parti successive mostrano installazioni on-premises utilizzando PowerMTA e Momentum.
Punti salienti del Q&A
Perché è importante S/MIME se utilizzo già TLS o DKIM?
TLS protegge la connessione tra i server, mentre S/MIME protegge il contenuto stesso, garantendo che rimanga privato e verificabile anche dopo la consegna.
Chi ha maggior bisogno di S/MIME?
Settori regolamentati (finanza, governo, sanità) e qualsiasi organizzazione che invia e-mail confidenziali, legalmente vincolanti o sensibili all'identità.
Quali problemi risolve S/MIME?
Previene l'intercettazione e il falsamento, garantisce l'autenticità del mittente e fornisce prova che un messaggio non è stato alterato.
SparkPost supporta nativamente S/MIME?
SparkPost supporta l'invio di messaggi in formato S/MIME; è sufficiente firmare/crittografare il contenuto prima di inviarlo tramite API o SMTP.
Come faccio a ottenere certificati?
I certificati possono essere emessi da fornitori come Comodo (gratis per uso non commerciale) o autodichiarati per test interni.
Cosa succede se il mio destinatario non riesce a leggere le email criptate?
Vedranno comunque l'intestazione del messaggio firmato, ma per decrittografare, devono installare un client compatibile e avere la loro chiave privata importata.
Come viene gestito lo scambio delle chiavi per le email generate dalle app?
I destinatari possono inviare un'email al tuo servizio con un messaggio firmato; la loro chiave pubblica può quindi essere estratta automaticamente tramite webhook di relay in entrata.
S/MIME è un metodo ben consolidato per inviare email criptate e firmate, basato su standard pubblici di Internet. Ci imbattiamo regolarmente in requisiti per S/MIME, in particolare da settori regolamentati come banche, sanità e finanza. S/MIME è spesso richiesto quando si comunica tra aziende e agenzie governative, ad esempio.
Un altro standard di posta sicura, PGP (chiamato divertentemente “Pretty Good Privacy”), è utilizzato maggiormente per comunicazioni sicure tra persone. Oggi è meno popolare perché le versioni consumer dei popolari client di posta elettronica basati sul web come Gmail e Outlook/Hotmail non sono in grado di visualizzare email criptate. Questa è una delle ragioni per cui molte comunicazioni tra persone che richiedono privacy si sono spostate su piattaforme come WhatsApp (e molte altre) che offrono crittografia nativa end-to-end.
Sia PGP che S/MIME richiedono un client di posta in grado di utilizzare chiavi e certificati. Molti client desktop e mobili, inclusi Apple Mail, Microsoft Outlook e Mozilla Thunderbird soddisfano i requisiti, così come le versioni business di alcuni client web come Microsoft Office 365. Configurare le chiavi richiede lavoro, ma molte organizzazioni lo considerano comunque valido, nonostante recenti disclosure di vulnerabilità che richiedono rimedi per bloccare il caricamento di contenuti remoti.
S/MIME è presente dal 1995 e ha subito diverse revisioni; l'attuale versione è coperta da RFC 5751. Richiede lo scambio di chiavi pubbliche, un compito non banale che spesso richiede il supporto di un team IT o di una risorsa simile. Per le organizzazioni che gestiscono infrastrutture email on-premises, implementare S/MIME richiede considerazioni aggiuntive per piattaforme come PowerMTA e Momentum, di cui parliamo nella nostra guida a S/MIME per email sicure on-premises. Tuttavia, ci sono approcci automatizzati per semplificare questo processo, come la raccolta di chiavi pubbliche dei destinatari tramite sistemi basati su email che possono semplificare la gestione delle chiavi per flussi di email generati da app. Qui entrano in gioco soluzioni commerciali di aziende come i partner di SparkPost Virtru e Echoworkx, rendendo la sicurezza più semplice per l'invio di email commerciali tra persone (vedi il nostro come fare di SparkPost/Echoworkx per ulteriori informazioni).
Detto ciò, approfondiamo un po' il semplice S/MIME e vediamo cosa possiamo fare con esso.
S/MIME è un metodo ben consolidato per inviare email criptate e firmate, basato su standard pubblici di Internet. Ci imbattiamo regolarmente in requisiti per S/MIME, in particolare da settori regolamentati come banche, sanità e finanza. S/MIME è spesso richiesto quando si comunica tra aziende e agenzie governative, ad esempio.
Un altro standard di posta sicura, PGP (chiamato divertentemente “Pretty Good Privacy”), è utilizzato maggiormente per comunicazioni sicure tra persone. Oggi è meno popolare perché le versioni consumer dei popolari client di posta elettronica basati sul web come Gmail e Outlook/Hotmail non sono in grado di visualizzare email criptate. Questa è una delle ragioni per cui molte comunicazioni tra persone che richiedono privacy si sono spostate su piattaforme come WhatsApp (e molte altre) che offrono crittografia nativa end-to-end.
Sia PGP che S/MIME richiedono un client di posta in grado di utilizzare chiavi e certificati. Molti client desktop e mobili, inclusi Apple Mail, Microsoft Outlook e Mozilla Thunderbird soddisfano i requisiti, così come le versioni business di alcuni client web come Microsoft Office 365. Configurare le chiavi richiede lavoro, ma molte organizzazioni lo considerano comunque valido, nonostante recenti disclosure di vulnerabilità che richiedono rimedi per bloccare il caricamento di contenuti remoti.
S/MIME è presente dal 1995 e ha subito diverse revisioni; l'attuale versione è coperta da RFC 5751. Richiede lo scambio di chiavi pubbliche, un compito non banale che spesso richiede il supporto di un team IT o di una risorsa simile. Per le organizzazioni che gestiscono infrastrutture email on-premises, implementare S/MIME richiede considerazioni aggiuntive per piattaforme come PowerMTA e Momentum, di cui parliamo nella nostra guida a S/MIME per email sicure on-premises. Tuttavia, ci sono approcci automatizzati per semplificare questo processo, come la raccolta di chiavi pubbliche dei destinatari tramite sistemi basati su email che possono semplificare la gestione delle chiavi per flussi di email generati da app. Qui entrano in gioco soluzioni commerciali di aziende come i partner di SparkPost Virtru e Echoworkx, rendendo la sicurezza più semplice per l'invio di email commerciali tra persone (vedi il nostro come fare di SparkPost/Echoworkx per ulteriori informazioni).
Detto ciò, approfondiamo un po' il semplice S/MIME e vediamo cosa possiamo fare con esso.
S/MIME è un metodo ben consolidato per inviare email criptate e firmate, basato su standard pubblici di Internet. Ci imbattiamo regolarmente in requisiti per S/MIME, in particolare da settori regolamentati come banche, sanità e finanza. S/MIME è spesso richiesto quando si comunica tra aziende e agenzie governative, ad esempio.
Un altro standard di posta sicura, PGP (chiamato divertentemente “Pretty Good Privacy”), è utilizzato maggiormente per comunicazioni sicure tra persone. Oggi è meno popolare perché le versioni consumer dei popolari client di posta elettronica basati sul web come Gmail e Outlook/Hotmail non sono in grado di visualizzare email criptate. Questa è una delle ragioni per cui molte comunicazioni tra persone che richiedono privacy si sono spostate su piattaforme come WhatsApp (e molte altre) che offrono crittografia nativa end-to-end.
Sia PGP che S/MIME richiedono un client di posta in grado di utilizzare chiavi e certificati. Molti client desktop e mobili, inclusi Apple Mail, Microsoft Outlook e Mozilla Thunderbird soddisfano i requisiti, così come le versioni business di alcuni client web come Microsoft Office 365. Configurare le chiavi richiede lavoro, ma molte organizzazioni lo considerano comunque valido, nonostante recenti disclosure di vulnerabilità che richiedono rimedi per bloccare il caricamento di contenuti remoti.
S/MIME è presente dal 1995 e ha subito diverse revisioni; l'attuale versione è coperta da RFC 5751. Richiede lo scambio di chiavi pubbliche, un compito non banale che spesso richiede il supporto di un team IT o di una risorsa simile. Per le organizzazioni che gestiscono infrastrutture email on-premises, implementare S/MIME richiede considerazioni aggiuntive per piattaforme come PowerMTA e Momentum, di cui parliamo nella nostra guida a S/MIME per email sicure on-premises. Tuttavia, ci sono approcci automatizzati per semplificare questo processo, come la raccolta di chiavi pubbliche dei destinatari tramite sistemi basati su email che possono semplificare la gestione delle chiavi per flussi di email generati da app. Qui entrano in gioco soluzioni commerciali di aziende come i partner di SparkPost Virtru e Echoworkx, rendendo la sicurezza più semplice per l'invio di email commerciali tra persone (vedi il nostro come fare di SparkPost/Echoworkx per ulteriori informazioni).
Detto ciò, approfondiamo un po' il semplice S/MIME e vediamo cosa possiamo fare con esso.
Perché dovrei interessarmene?
La versione breve:
La crittografia ti offre privacy nei messaggi.
La firma ti dà autenticazione (del mittente), non ripudio di origine e controlli di integrità del messaggio.
S/MIME funziona in modo diverso da DKIM e DMARC e può coesistere con essi.
Privacy
Se i tuoi messaggi non contengono nulla di personale, privato o legalmente importante, probabilmente non dovrai pensare a S/MIME. I moderni sistemi di consegna delle email come SparkPost utilizzano già “TLS opportunistico” per proteggere il trasporto del messaggio dal server di invio al server del destinatario.
La parte “opportunistica” significa però che se il server di invio non può negoziare una connessione sicura, invieremo la mail in testo semplice. Questo non è adatto se vuoi forzare il messaggio a essere sicuro fino in fondo. Puoi dare un'occhiata a quali fornitori di caselle di posta sostengono il supporto di TLS e quali lo fanno davvero. Assumendo che il server del destinatario supporti TLS, il tuo messaggio è protetto in questo modo:
TLS protegge le conversazioni tra i server di posta (per questo si chiama Transport Layer Security). MIME (incluso S/MIME) si occupa del contenuto del messaggio e del suo trattamento, e può essere considerato parte dello “strato di presentazione”.
S/MIME protegge il contenuto del messaggio fino in fondo (“end to end”) dall'origine del messaggio al client di posta del destinatario, incapsulando il corpo del messaggio.
S/MIME crittografa il corpo del messaggio con la chiave pubblica del destinatario. Il corpo non può essere decifrato senza la chiave privata del destinatario, non da alcuna “persona in mezzo” come il tuo ISP, SparkPost, o il server di posta del destinatario.
La chiave privata non viene mai divulgata; è mantenuta in possesso esclusivo del destinatario. Il messaggio crittografato viaggia su Internet fino al server di posta ricevente. Quando arriva nella casella di posta del destinatario, viene (di solito automaticamente) decrittografato con la loro chiave privata e diventa leggibile.
Alcuni problemi comuni di S/MIME di cui essere consapevoli:
La crittografia S/MIME ha l'effetto collaterale di impedire lo scanning del messaggio in arrivo da parte del server per malware, poiché il payload del messaggio è in forma crittografata e quindi non identificabile.
Nota che le intestazioni del messaggio (Da:, A:, Oggetto: ecc.) non sono crittografate, quindi il contenuto della riga dell'oggetto deve essere creato tenendo conto di questo.
Firma – autenticazione
S/MIME fornisce anche al destinatario la possibilità di verificare che l'identità del mittente del messaggio sia davvero chi afferma di essere.
L'email del mittente ha un certificato allegato, che, proprio come il certificato su un sito web sicuro, può essere tracciato fino a un'autorità di emissione. Per una descrizione completa del processo di firma, vedere il PDF del processo di firma S/MIME.
Adotteremo l’approccio di firmare prima la mail, e poi crittografarla, quindi il processo appare in questo modo.
Non ripudio
Un altro utile vantaggio della firma per il destinatario è il non ripudio di origine. Considera una situazione in cui un messaggio email venga utilizzato per approvare un contratto. Il destinatario riceve il contratto in un messaggio dal mittente. Se il mittente cerca poi di dire, “No, non ti ho mai inviato quel messaggio”, allora il messaggio ricevuto mostra che il certificato del mittente è stato effettivamente utilizzato.
Integrità del messaggio
Il processo di firma crea un'impronta digitale del messaggio sorgente in chiaro (nota come digest del messaggio), cripta il digest utilizzando la chiave privata del mittente e lo include nel messaggio consegnato. Il client di posta del destinatario può rilevare se il corpo del messaggio è stato manomesso.
Forse potresti dire, “Pensavo che DKIM mi desse controlli di integrità del messaggio!” Beh sì, DKIM fornisce controlli di integrità del corpo del messaggio e dell'intestazione del messaggio – garanzie anti-manomissione. Tuttavia, il fallimento (o l'assenza) di DKIM di solito non comporterà che il messaggio in arrivo venga contrassegnato come completamente non valido… a meno che non sia in vigore una politica DMARC di p=reject (vedi il nostro post sul blog DMARC: Come Proteggere la Tua Reputazione Email). DKIM è uno dei tanti fattori utilizzati dall'ISP per un'assegnazione affidabile della reputazione a un dominio ed è, ovviamente, una parte essenziale del tuo stack di messaggistica.
Il tuo client di posta ti mostrerà in modo evidente se un messaggio S/MIME fallisce i controlli di firma:
Riepilogo: end-to-end (S/MIME) vs server-to-server (DKIM, DMARC, TLS)
S/MIME è una capacità a livello di presentazione che può funzionare tra due utenti finali di email (con certificati/chiavi validi) senza alcuna azione da parte dell'amministratore email. S/MIME fornisce crittografia e firma ed è personale per ogni utente.
S/MIME è legato all'indirizzo di invio completo (parte locale e parte dominio), quindi, ad esempio, alice@bigcorp.com e bob@bigcorp.com avrebbero bisogno di certificati diversi. Al contrario, DKIM convalida che l'email provenga dal dominio di firma. DKIM è un argomento a sé; questo articolo è un buon punto di partenza.
La configurazione di DKIM e DMARC viene effettuata dal tuo amministratore email (lavorando sul server di posta e nei record DNS). Una volta configurati, sono attivi per i domini, piuttosto che per singoli utenti.
La versione breve:
La crittografia ti offre privacy nei messaggi.
La firma ti dà autenticazione (del mittente), non ripudio di origine e controlli di integrità del messaggio.
S/MIME funziona in modo diverso da DKIM e DMARC e può coesistere con essi.
Privacy
Se i tuoi messaggi non contengono nulla di personale, privato o legalmente importante, probabilmente non dovrai pensare a S/MIME. I moderni sistemi di consegna delle email come SparkPost utilizzano già “TLS opportunistico” per proteggere il trasporto del messaggio dal server di invio al server del destinatario.
La parte “opportunistica” significa però che se il server di invio non può negoziare una connessione sicura, invieremo la mail in testo semplice. Questo non è adatto se vuoi forzare il messaggio a essere sicuro fino in fondo. Puoi dare un'occhiata a quali fornitori di caselle di posta sostengono il supporto di TLS e quali lo fanno davvero. Assumendo che il server del destinatario supporti TLS, il tuo messaggio è protetto in questo modo:
TLS protegge le conversazioni tra i server di posta (per questo si chiama Transport Layer Security). MIME (incluso S/MIME) si occupa del contenuto del messaggio e del suo trattamento, e può essere considerato parte dello “strato di presentazione”.
S/MIME protegge il contenuto del messaggio fino in fondo (“end to end”) dall'origine del messaggio al client di posta del destinatario, incapsulando il corpo del messaggio.
S/MIME crittografa il corpo del messaggio con la chiave pubblica del destinatario. Il corpo non può essere decifrato senza la chiave privata del destinatario, non da alcuna “persona in mezzo” come il tuo ISP, SparkPost, o il server di posta del destinatario.
La chiave privata non viene mai divulgata; è mantenuta in possesso esclusivo del destinatario. Il messaggio crittografato viaggia su Internet fino al server di posta ricevente. Quando arriva nella casella di posta del destinatario, viene (di solito automaticamente) decrittografato con la loro chiave privata e diventa leggibile.
Alcuni problemi comuni di S/MIME di cui essere consapevoli:
La crittografia S/MIME ha l'effetto collaterale di impedire lo scanning del messaggio in arrivo da parte del server per malware, poiché il payload del messaggio è in forma crittografata e quindi non identificabile.
Nota che le intestazioni del messaggio (Da:, A:, Oggetto: ecc.) non sono crittografate, quindi il contenuto della riga dell'oggetto deve essere creato tenendo conto di questo.
Firma – autenticazione
S/MIME fornisce anche al destinatario la possibilità di verificare che l'identità del mittente del messaggio sia davvero chi afferma di essere.
L'email del mittente ha un certificato allegato, che, proprio come il certificato su un sito web sicuro, può essere tracciato fino a un'autorità di emissione. Per una descrizione completa del processo di firma, vedere il PDF del processo di firma S/MIME.
Adotteremo l’approccio di firmare prima la mail, e poi crittografarla, quindi il processo appare in questo modo.
Non ripudio
Un altro utile vantaggio della firma per il destinatario è il non ripudio di origine. Considera una situazione in cui un messaggio email venga utilizzato per approvare un contratto. Il destinatario riceve il contratto in un messaggio dal mittente. Se il mittente cerca poi di dire, “No, non ti ho mai inviato quel messaggio”, allora il messaggio ricevuto mostra che il certificato del mittente è stato effettivamente utilizzato.
Integrità del messaggio
Il processo di firma crea un'impronta digitale del messaggio sorgente in chiaro (nota come digest del messaggio), cripta il digest utilizzando la chiave privata del mittente e lo include nel messaggio consegnato. Il client di posta del destinatario può rilevare se il corpo del messaggio è stato manomesso.
Forse potresti dire, “Pensavo che DKIM mi desse controlli di integrità del messaggio!” Beh sì, DKIM fornisce controlli di integrità del corpo del messaggio e dell'intestazione del messaggio – garanzie anti-manomissione. Tuttavia, il fallimento (o l'assenza) di DKIM di solito non comporterà che il messaggio in arrivo venga contrassegnato come completamente non valido… a meno che non sia in vigore una politica DMARC di p=reject (vedi il nostro post sul blog DMARC: Come Proteggere la Tua Reputazione Email). DKIM è uno dei tanti fattori utilizzati dall'ISP per un'assegnazione affidabile della reputazione a un dominio ed è, ovviamente, una parte essenziale del tuo stack di messaggistica.
Il tuo client di posta ti mostrerà in modo evidente se un messaggio S/MIME fallisce i controlli di firma:
Riepilogo: end-to-end (S/MIME) vs server-to-server (DKIM, DMARC, TLS)
S/MIME è una capacità a livello di presentazione che può funzionare tra due utenti finali di email (con certificati/chiavi validi) senza alcuna azione da parte dell'amministratore email. S/MIME fornisce crittografia e firma ed è personale per ogni utente.
S/MIME è legato all'indirizzo di invio completo (parte locale e parte dominio), quindi, ad esempio, alice@bigcorp.com e bob@bigcorp.com avrebbero bisogno di certificati diversi. Al contrario, DKIM convalida che l'email provenga dal dominio di firma. DKIM è un argomento a sé; questo articolo è un buon punto di partenza.
La configurazione di DKIM e DMARC viene effettuata dal tuo amministratore email (lavorando sul server di posta e nei record DNS). Una volta configurati, sono attivi per i domini, piuttosto che per singoli utenti.
La versione breve:
La crittografia ti offre privacy nei messaggi.
La firma ti dà autenticazione (del mittente), non ripudio di origine e controlli di integrità del messaggio.
S/MIME funziona in modo diverso da DKIM e DMARC e può coesistere con essi.
Privacy
Se i tuoi messaggi non contengono nulla di personale, privato o legalmente importante, probabilmente non dovrai pensare a S/MIME. I moderni sistemi di consegna delle email come SparkPost utilizzano già “TLS opportunistico” per proteggere il trasporto del messaggio dal server di invio al server del destinatario.
La parte “opportunistica” significa però che se il server di invio non può negoziare una connessione sicura, invieremo la mail in testo semplice. Questo non è adatto se vuoi forzare il messaggio a essere sicuro fino in fondo. Puoi dare un'occhiata a quali fornitori di caselle di posta sostengono il supporto di TLS e quali lo fanno davvero. Assumendo che il server del destinatario supporti TLS, il tuo messaggio è protetto in questo modo:
TLS protegge le conversazioni tra i server di posta (per questo si chiama Transport Layer Security). MIME (incluso S/MIME) si occupa del contenuto del messaggio e del suo trattamento, e può essere considerato parte dello “strato di presentazione”.
S/MIME protegge il contenuto del messaggio fino in fondo (“end to end”) dall'origine del messaggio al client di posta del destinatario, incapsulando il corpo del messaggio.
S/MIME crittografa il corpo del messaggio con la chiave pubblica del destinatario. Il corpo non può essere decifrato senza la chiave privata del destinatario, non da alcuna “persona in mezzo” come il tuo ISP, SparkPost, o il server di posta del destinatario.
La chiave privata non viene mai divulgata; è mantenuta in possesso esclusivo del destinatario. Il messaggio crittografato viaggia su Internet fino al server di posta ricevente. Quando arriva nella casella di posta del destinatario, viene (di solito automaticamente) decrittografato con la loro chiave privata e diventa leggibile.
Alcuni problemi comuni di S/MIME di cui essere consapevoli:
La crittografia S/MIME ha l'effetto collaterale di impedire lo scanning del messaggio in arrivo da parte del server per malware, poiché il payload del messaggio è in forma crittografata e quindi non identificabile.
Nota che le intestazioni del messaggio (Da:, A:, Oggetto: ecc.) non sono crittografate, quindi il contenuto della riga dell'oggetto deve essere creato tenendo conto di questo.
Firma – autenticazione
S/MIME fornisce anche al destinatario la possibilità di verificare che l'identità del mittente del messaggio sia davvero chi afferma di essere.
L'email del mittente ha un certificato allegato, che, proprio come il certificato su un sito web sicuro, può essere tracciato fino a un'autorità di emissione. Per una descrizione completa del processo di firma, vedere il PDF del processo di firma S/MIME.
Adotteremo l’approccio di firmare prima la mail, e poi crittografarla, quindi il processo appare in questo modo.
Non ripudio
Un altro utile vantaggio della firma per il destinatario è il non ripudio di origine. Considera una situazione in cui un messaggio email venga utilizzato per approvare un contratto. Il destinatario riceve il contratto in un messaggio dal mittente. Se il mittente cerca poi di dire, “No, non ti ho mai inviato quel messaggio”, allora il messaggio ricevuto mostra che il certificato del mittente è stato effettivamente utilizzato.
Integrità del messaggio
Il processo di firma crea un'impronta digitale del messaggio sorgente in chiaro (nota come digest del messaggio), cripta il digest utilizzando la chiave privata del mittente e lo include nel messaggio consegnato. Il client di posta del destinatario può rilevare se il corpo del messaggio è stato manomesso.
Forse potresti dire, “Pensavo che DKIM mi desse controlli di integrità del messaggio!” Beh sì, DKIM fornisce controlli di integrità del corpo del messaggio e dell'intestazione del messaggio – garanzie anti-manomissione. Tuttavia, il fallimento (o l'assenza) di DKIM di solito non comporterà che il messaggio in arrivo venga contrassegnato come completamente non valido… a meno che non sia in vigore una politica DMARC di p=reject (vedi il nostro post sul blog DMARC: Come Proteggere la Tua Reputazione Email). DKIM è uno dei tanti fattori utilizzati dall'ISP per un'assegnazione affidabile della reputazione a un dominio ed è, ovviamente, una parte essenziale del tuo stack di messaggistica.
Il tuo client di posta ti mostrerà in modo evidente se un messaggio S/MIME fallisce i controlli di firma:
Riepilogo: end-to-end (S/MIME) vs server-to-server (DKIM, DMARC, TLS)
S/MIME è una capacità a livello di presentazione che può funzionare tra due utenti finali di email (con certificati/chiavi validi) senza alcuna azione da parte dell'amministratore email. S/MIME fornisce crittografia e firma ed è personale per ogni utente.
S/MIME è legato all'indirizzo di invio completo (parte locale e parte dominio), quindi, ad esempio, alice@bigcorp.com e bob@bigcorp.com avrebbero bisogno di certificati diversi. Al contrario, DKIM convalida che l'email provenga dal dominio di firma. DKIM è un argomento a sé; questo articolo è un buon punto di partenza.
La configurazione di DKIM e DMARC viene effettuata dal tuo amministratore email (lavorando sul server di posta e nei record DNS). Una volta configurati, sono attivi per i domini, piuttosto che per singoli utenti.
Come si relaziona questo a SparkPost?
I sistemi di posta per messaggi da persona a persona, come Microsoft Exchange Server, hanno a lungo supportato S/MIME.
Se stai usando SparkPost per inviare a destinatari specifici con client di posta che possono leggere S/MIME, allora potrebbe avere senso firmare i tuoi messaggi con S/MIME. La firma S/MIME aggiunge ulteriori garanzie che il messaggio proviene effettivamente da te (o dal tuo sistema) e non è stato manomesso, il che può essere prezioso in alcuni casi d'uso. Tutto ciò di cui hai bisogno è la tua chiave e un po' di software gratuito che dimostreremo nella parte 2 di questo articolo.
Utilizzare la crittografia S/MIME è una scelta separata da fare. Avrai bisogno della chiave pubblica per ciascuno dei tuoi destinatari. Ottenerla potrebbe essere facile come fargli inviare a te (o alla tua app) un'email firmata. Esploreremo uno strumento pratico per inviare email firmate e crittografate S/MIME tramite SparkPost in un post di follow-up.
I sistemi di posta per messaggi da persona a persona, come Microsoft Exchange Server, hanno a lungo supportato S/MIME.
Se stai usando SparkPost per inviare a destinatari specifici con client di posta che possono leggere S/MIME, allora potrebbe avere senso firmare i tuoi messaggi con S/MIME. La firma S/MIME aggiunge ulteriori garanzie che il messaggio proviene effettivamente da te (o dal tuo sistema) e non è stato manomesso, il che può essere prezioso in alcuni casi d'uso. Tutto ciò di cui hai bisogno è la tua chiave e un po' di software gratuito che dimostreremo nella parte 2 di questo articolo.
Utilizzare la crittografia S/MIME è una scelta separata da fare. Avrai bisogno della chiave pubblica per ciascuno dei tuoi destinatari. Ottenerla potrebbe essere facile come fargli inviare a te (o alla tua app) un'email firmata. Esploreremo uno strumento pratico per inviare email firmate e crittografate S/MIME tramite SparkPost in un post di follow-up.
I sistemi di posta per messaggi da persona a persona, come Microsoft Exchange Server, hanno a lungo supportato S/MIME.
Se stai usando SparkPost per inviare a destinatari specifici con client di posta che possono leggere S/MIME, allora potrebbe avere senso firmare i tuoi messaggi con S/MIME. La firma S/MIME aggiunge ulteriori garanzie che il messaggio proviene effettivamente da te (o dal tuo sistema) e non è stato manomesso, il che può essere prezioso in alcuni casi d'uso. Tutto ciò di cui hai bisogno è la tua chiave e un po' di software gratuito che dimostreremo nella parte 2 di questo articolo.
Utilizzare la crittografia S/MIME è una scelta separata da fare. Avrai bisogno della chiave pubblica per ciascuno dei tuoi destinatari. Ottenerla potrebbe essere facile come fargli inviare a te (o alla tua app) un'email firmata. Esploreremo uno strumento pratico per inviare email firmate e crittografate S/MIME tramite SparkPost in un post di follow-up.
Quali client supportano S/MIME?
Gmail per consumatori
Il normale client web di Gmail mostra le firme delle email in arrivo (vedi sotto), ma non è impostato per mantenere la tua chiave privata per leggere i messaggi crittografati. Anche se fosse possibile tramite plugin di terze parti, caricare la tua chiave privata non è una buona idea dal punto di vista della sicurezza.
Non sono riuscito a far decodificare le firme nei messaggi da Yahoo! Mail.
La versione consumer degli account Microsoft Outlook/Hotmail ti avvisa della presenza di una firma S/MIME, ma non ti dà accesso completo per visualizzare o controllare il certificato.
Email aziendale ospitata
Per le organizzazioni con email ospitata, Microsoft Office 365 e G Suite Enterprise supportano S/MIME.
Client di posta Outlook
Il Microsoft Outlook basato su client (ad es. 2010 per Windows) funziona:
Cliccando sulle icone ottieni ulteriori informazioni:
Su Outlook 2010 / Windows, il negozio di certificati è accessibile tramite File / Opzioni / Centro protezione / Impostazioni del Centro protezione / Sicurezza della posta elettronica / Importa / Esporta.
Thunderbird – multipiattaforma e gratuito
Se stai cercando un client gratuito, Mozilla Thunderbird è quello che fa per te. È disponibile su PC, Mac e Linux, e supporta S/MIME su tutte queste piattaforme. Ecco come appare un messaggio su Mac. L'icona della "busta sigillata" indica che il messaggio è firmato, e il lucchetto indica che è stato crittografato.
Cliccando sulla busta/lucchetto vengono visualizzate informazioni sul messaggio:
Thunderbird ha il proprio archivio chiavi, accessibile in modi simili su ciascuna piattaforma:
Mac tramite Preferenze / Avanzate / Certificati / Gestisci certificati
PC: menu (“hamburger” in alto a destra), Avanzate / Certificati / Gestisci certificati
Linux: menu (“hamburger” in alto a destra), Preferenze / Avanzate / Gestisci certificati
Mail di Mac
Mail di Mac supporta anche S/MIME. Si basa sul tuo portachiavi Mac per mantenere le tue chiavi.
Mail per iOS
Per prima cosa, importa il certificato del tuo account email in questo modo, poi puoi visualizzare email firmate e crittografate S/MIME. Non sembrano davvero diverse sullo schermo di visualizzazione.
Android
Alcuni dispositivi e app supportano S/MIME; c'è molta varietà disponibili. Samsung ha una guida.
Gmail per consumatori
Il normale client web di Gmail mostra le firme delle email in arrivo (vedi sotto), ma non è impostato per mantenere la tua chiave privata per leggere i messaggi crittografati. Anche se fosse possibile tramite plugin di terze parti, caricare la tua chiave privata non è una buona idea dal punto di vista della sicurezza.
Non sono riuscito a far decodificare le firme nei messaggi da Yahoo! Mail.
La versione consumer degli account Microsoft Outlook/Hotmail ti avvisa della presenza di una firma S/MIME, ma non ti dà accesso completo per visualizzare o controllare il certificato.
Email aziendale ospitata
Per le organizzazioni con email ospitata, Microsoft Office 365 e G Suite Enterprise supportano S/MIME.
Client di posta Outlook
Il Microsoft Outlook basato su client (ad es. 2010 per Windows) funziona:
Cliccando sulle icone ottieni ulteriori informazioni:
Su Outlook 2010 / Windows, il negozio di certificati è accessibile tramite File / Opzioni / Centro protezione / Impostazioni del Centro protezione / Sicurezza della posta elettronica / Importa / Esporta.
Thunderbird – multipiattaforma e gratuito
Se stai cercando un client gratuito, Mozilla Thunderbird è quello che fa per te. È disponibile su PC, Mac e Linux, e supporta S/MIME su tutte queste piattaforme. Ecco come appare un messaggio su Mac. L'icona della "busta sigillata" indica che il messaggio è firmato, e il lucchetto indica che è stato crittografato.
Cliccando sulla busta/lucchetto vengono visualizzate informazioni sul messaggio:
Thunderbird ha il proprio archivio chiavi, accessibile in modi simili su ciascuna piattaforma:
Mac tramite Preferenze / Avanzate / Certificati / Gestisci certificati
PC: menu (“hamburger” in alto a destra), Avanzate / Certificati / Gestisci certificati
Linux: menu (“hamburger” in alto a destra), Preferenze / Avanzate / Gestisci certificati
Mail di Mac
Mail di Mac supporta anche S/MIME. Si basa sul tuo portachiavi Mac per mantenere le tue chiavi.
Mail per iOS
Per prima cosa, importa il certificato del tuo account email in questo modo, poi puoi visualizzare email firmate e crittografate S/MIME. Non sembrano davvero diverse sullo schermo di visualizzazione.
Android
Alcuni dispositivi e app supportano S/MIME; c'è molta varietà disponibili. Samsung ha una guida.
Gmail per consumatori
Il normale client web di Gmail mostra le firme delle email in arrivo (vedi sotto), ma non è impostato per mantenere la tua chiave privata per leggere i messaggi crittografati. Anche se fosse possibile tramite plugin di terze parti, caricare la tua chiave privata non è una buona idea dal punto di vista della sicurezza.
Non sono riuscito a far decodificare le firme nei messaggi da Yahoo! Mail.
La versione consumer degli account Microsoft Outlook/Hotmail ti avvisa della presenza di una firma S/MIME, ma non ti dà accesso completo per visualizzare o controllare il certificato.
Email aziendale ospitata
Per le organizzazioni con email ospitata, Microsoft Office 365 e G Suite Enterprise supportano S/MIME.
Client di posta Outlook
Il Microsoft Outlook basato su client (ad es. 2010 per Windows) funziona:
Cliccando sulle icone ottieni ulteriori informazioni:
Su Outlook 2010 / Windows, il negozio di certificati è accessibile tramite File / Opzioni / Centro protezione / Impostazioni del Centro protezione / Sicurezza della posta elettronica / Importa / Esporta.
Thunderbird – multipiattaforma e gratuito
Se stai cercando un client gratuito, Mozilla Thunderbird è quello che fa per te. È disponibile su PC, Mac e Linux, e supporta S/MIME su tutte queste piattaforme. Ecco come appare un messaggio su Mac. L'icona della "busta sigillata" indica che il messaggio è firmato, e il lucchetto indica che è stato crittografato.
Cliccando sulla busta/lucchetto vengono visualizzate informazioni sul messaggio:
Thunderbird ha il proprio archivio chiavi, accessibile in modi simili su ciascuna piattaforma:
Mac tramite Preferenze / Avanzate / Certificati / Gestisci certificati
PC: menu (“hamburger” in alto a destra), Avanzate / Certificati / Gestisci certificati
Linux: menu (“hamburger” in alto a destra), Preferenze / Avanzate / Gestisci certificati
Mail di Mac
Mail di Mac supporta anche S/MIME. Si basa sul tuo portachiavi Mac per mantenere le tue chiavi.
Mail per iOS
Per prima cosa, importa il certificato del tuo account email in questo modo, poi puoi visualizzare email firmate e crittografate S/MIME. Non sembrano davvero diverse sullo schermo di visualizzazione.
Android
Alcuni dispositivi e app supportano S/MIME; c'è molta varietà disponibili. Samsung ha una guida.
Finalmente...
Questo è il nostro rapido riepilogo delle applicazioni pratiche di S/MIME. Se vuoi ottenere i tuoi certificati di posta, c'è un elenco di fornitori qui. Ho scoperto che Comodo funziona bene (gratuito per uso non commerciale – aprire questo in Firefox, non in Chrome).
Nella parte 2, esploreremo come applicare la firma e la crittografia S/MIME ai messaggi che invii tramite SparkPost.
Ulteriori letture
Microsoft ha un buon articolo introduttivo su S/MIME nella loro documentazione.
Per ulteriori informazioni sulla vulnerabilità EFAIL e su come è stata affrontata, consulta il sito ufficiale di EFAIL. Altre spiegazioni facili da seguire sono disponibili nella pagina wiki di EFAIL e nel post del blog di CipherMail EFAIL: Qual è vulnerabile, PGP, S/MIME o il tuo client di posta?.
Questo è il nostro rapido riepilogo delle applicazioni pratiche di S/MIME. Se vuoi ottenere i tuoi certificati di posta, c'è un elenco di fornitori qui. Ho scoperto che Comodo funziona bene (gratuito per uso non commerciale – aprire questo in Firefox, non in Chrome).
Nella parte 2, esploreremo come applicare la firma e la crittografia S/MIME ai messaggi che invii tramite SparkPost.
Ulteriori letture
Microsoft ha un buon articolo introduttivo su S/MIME nella loro documentazione.
Per ulteriori informazioni sulla vulnerabilità EFAIL e su come è stata affrontata, consulta il sito ufficiale di EFAIL. Altre spiegazioni facili da seguire sono disponibili nella pagina wiki di EFAIL e nel post del blog di CipherMail EFAIL: Qual è vulnerabile, PGP, S/MIME o il tuo client di posta?.
Questo è il nostro rapido riepilogo delle applicazioni pratiche di S/MIME. Se vuoi ottenere i tuoi certificati di posta, c'è un elenco di fornitori qui. Ho scoperto che Comodo funziona bene (gratuito per uso non commerciale – aprire questo in Firefox, non in Chrome).
Nella parte 2, esploreremo come applicare la firma e la crittografia S/MIME ai messaggi che invii tramite SparkPost.
Ulteriori letture
Microsoft ha un buon articolo introduttivo su S/MIME nella loro documentazione.
Per ulteriori informazioni sulla vulnerabilità EFAIL e su come è stata affrontata, consulta il sito ufficiale di EFAIL. Altre spiegazioni facili da seguire sono disponibili nella pagina wiki di EFAIL e nel post del blog di CipherMail EFAIL: Qual è vulnerabile, PGP, S/MIME o il tuo client di posta?.
