Informazioni sul protocollo TLS (Transport Layer Security) in FOPE

  • Articolo

 

Si applica a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Data ultima modifica dell'argomento: 2012-05-02

Transport Layer Security (TLS) è un protocollo che esegue la crittografia dei messaggi e li recapita in sicurezza in quanto evita spyware e "spoofing" tra server di posta. TLS utilizza due modalità di base per assicurare la sicurezza della posta elettronica.

  1. Crittografia dei messaggi: TLS esegue la crittografia dei messaggi da server di posta a server di posta tramite l'infrastruttura a chiave pubblica (PKI) per rendere difficile agli hacker l'intercettazione e la visualizzazione dei messaggi.

  2. Autenticazione dei messaggi: utilizzando i certificati digitali, l'autenticazione TLS verifica che i server che inviano o ricevono i messaggi corrispondano effettivamente a quanto indicato dai rispettivi ID. In tal modo si evita lo spoofing.

Tutti i messaggi elaborati da Forefront Online Protection for Exchange (FOPE) vengono crittografate utilizzando TLS. Per contribuire a preservare la riservatezza e l'integrità dei messaggi, il servizio tenterà di inviare e ricevere messaggi dei server tramite TLS, ma passerà automaticamente a SMTP se i server di invio o di destinazione non sono configurati per l'utilizzo di TLS.

Crittografia TLS di FOPE

Se TLS è configurato per l'utilizzo dei certificati sul server, compresi quelli generati dal server Autorità di certificazione (CA), tutto il traffico in ingresso e in uscita tra i data center FOPE e la rete verrà crittografato da TLS. Il servizio FOPE supporta TLS in modo opportunistico: tenta innanzitutto il recapito tramite TLS, ma se non viene stabilita una connessione TLS con il server di destinazione, il recapito avviene tramite il normale protocollo SMTP.

I server di posta possono o meno contrassegnare un messaggio per indicare che è stato crittografato tramite TLS. Se il messaggio è stato contrassegnato, nell'intestazione sarà visibile una riga simile alla seguente:

"using TLSv1 with cipher EDH-RSA-DES-CBC3-SHA (168/168 bits)"

L'esempio in altro mostra gli algoritmi e le dimensioni bit utilizzati per crittografare il messaggio.

Messaggi in uscita e TLS forzato

Il servizio FOPE consente di creare regole criteri utilizzando la sezione Azione del riquadro Impostazioni regola criteri che abilita l'opzione Forza TLS. Questa impostazione di regola criteri forza l'utilizzo di TLS tra l'agente di trasferimento messaggi (MTA) in uscita e l'agente MTA del destinatario. Quando si configura questa regola criteri, le restrizioni di Forza TLS vengono applicate alla posta elettronica in uscita corrispondente e vengono rese effettive nell'intero dominio.

Nota

Se non è possibile stabilire una connessione TLS tra i servizi in uscita e l'ambiente di messaggistica del destinatario, il messaggio verrà rinviato per 24 ore. Se il recapito del messaggio non ha esito positivo, verrà inviata una notifica di mancato recapito al mittente. Per ricevere la notifica di mancato recapito, è necessario che il server disponga di un certificato valido e riconosciuto.

Quando si crea una regola criteri che abilita Forza TLS, si ha la possibilità di abilitare TLS opportunistico per destinatari non specificati (nell'area Destinatario in Corrispondenza – Nuova regola criteri). Con la selezione di questa casella, TLS autenticato verrà applicato al destinatario che corrisponde alla regola, ma per tutti gli altri destinatari la trasmissione avverrà tramite TLS opportunistico se tutti i tentativi di applicare TLS hanno esito negativo. Il servizio FOPE utilizzerà sempre il livello più elevato di crittografia disponibile per la trasmissione dei messaggi e, se questo non è disponibile, passerà al livello inferiore. Se la casella Abilita TLS opportunistico per destinatari non specificati non è selezionata, i messaggi in uscita non verranno biforcati. Ciò significa che TLS autenticato verrà applicato per il recapito a tutti i destinatari del messaggio nel caso in cui un destinatario corrisponda alla regola Filtro criteri e l'agente di trasferimento messaggi (MTA) del destinatario sarà configurato per accettare le connessioni basate su TLS (inclusi certificati pubblici validi). Se l'agente di trasferimento messaggi di uno dei destinatari non supporta le connessioni TLS, il messaggio per il destinatario verrà rifiutato. Per ulteriori informazioni sulla regola criteri e le relative impostazioni, vedere Informazioni sulle impostazioni regola criteri.

Certificati TLS

Il servizio FOPE richiede il certificato X.509 TLS/SSL standard. È necessario che insieme al certificato in uso sia disponibile il certificato GTE Cybertrust Root più recente. I certificati devono essere acquistati direttamente dall'autorità di certificazione (CA) o da un rivenditore autorizzato di certificati. FOPE supporta numerose tra le più importanti autorità di certificazione. Come criterio, FOPE supporta solo le CA radice attualmente valide che fanno parte del programma Microsoft Root Certificate. Se si sta valutando la possibilità di utilizzare un certificato digitale con FOPE, ottenere un certificato corrente da un membro del programma Microsoft Root Certificate. Se la CA preferita non è inclusa nell'elenco, vedere Programma Microsoft Root Certificate per informazioni su come questa può iscriversi al programma.

Errore handshake di TLS

Occasionalmente, i clienti di FOPE rilevano un errore handshake di TLS. Un handshake di TLS può non riuscire per diversi motivi. Gli scenari più comuni sono riportati di seguito:

  1. Il certificato TLS/SSL utilizzato nell'handshake è scaduto o è stato revocato.

  2. L'agente MTA non è stato abilitato per TLS. Assicurarsi che l'agente MTA sia abilitato per TLS.

  3. Il firewall che gestisce la connessione potrebbe non essere stato configurato per autorizzare la comunicazione TLS tramite la porta 25.

Inoltre, la segnalazione errori estesa utilizzata in TLS è un eccellente mezzo per risolvere qualsiasi problema di handshake o connettività.

Domande frequenti su TLS

Di seguito sono riportate le domande più comuni che i clienti del servizio FOPE pongono su TLS.

D. Come si richiama una sessione TLS quando si invia un messaggio?

R. È necessario che nel server di posta sia stato installato lo stack di protocolli TLS/SSL (installato per impostazione predefinita con la maggioranza dei sistemi operativi) e il server sia stato configurato per iniziare le connessioni SMTP utilizzando TLS. Inoltre è necessario che sia installato un certificato corrente.

D. È necessario configurare il firewall se si utilizza TLS?

R. La maggior parte dei firewall è preconfigurata per autorizzare il traffico TLS/SSL sulla porta 25. Contattare il rivenditore se non si è sicuri se il firewall supporti il traffico o se debba essere configurato.

D. Come si capisce se un server di posta è abilitato per TLS?

R. Sono disponibili due metodi per capire se un server di posta è abilitato per TLS.

  1. Inviare e ricevere un messaggio dal server e quindi esaminare l'intestazione del messaggio. Se si fa riferimento in qualche modo a TLS, molto probabilmente il server è abilitato per TLS.

  2. Eseguire un test del server utilizzando una connessione Telnet.

Di seguito è riportato un esempio di sessione Telnet in un data center FOPE che mostra l'opzione STARTTLS. È possibile eseguire questo test su qualsiasi server di posta. Il seguente esempio è ricavato dai server FOPE:

CMD: telnet mail.global.frontbridge.com 25

220 mail77-red.bigfish.com ESMTP Postfix EGGS and Butter

CMD: ehlo test

250-mail77-red.bigfish.com

250-PIPELINING

250-SIZE 150000000

250-ETRN

250-STARTTLS

250 8BITMIME

CMD: starttls

220 Ready to start TLS

"220 Ready to start TLS" indica che il server è pronto per avviare una connessione TLS.