Pianificare la crittografia dei messaggi di posta elettronica in Outlook 2010
Si applica a: Office 2010
Ultima modifica dell'argomento: 2015-03-09
Microsoft Outlook 2010 supporta caratteristiche relative alla sicurezza per consentire agli utenti di inviare e ricevere messaggi di posta elettronica crittografati. Queste caratteristiche includono messaggi di posta elettronica crittografati, etichette di sicurezza e conferme firmate.
Nota
Per ottenere funzionalità di sicurezza complete in Microsoft Outlook, è necessario installare Outlook 2010 con diritti amministrativi locali.
Contenuto dell'articolo:
Informazioni sulle caratteristiche di messaggistica crittografata in Outlook 2010
Gestione degli ID digitali di crittografia
Etichette di sicurezza e conferme firmate
Configurazione delle impostazioni di crittografia di Outlook 2010
Configurazione di ulteriori impostazioni di crittografia
Informazioni sulle caratteristiche di messaggistica crittografata in Outlook 2010
Outlook 2010 supporta caratteristiche di messaggistica crittografata che consentono agli utenti di eseguire le operazioni seguenti:
Firmare digitalmente un messaggio di posta elettronica. La firma digitale garantisce il non ripudio e la verifica del contenuto (il messaggio contiene i dati effettivamente inviati, senza alcuna modifica).
Crittografare un messaggio di posta elettronica. La crittografia consente di garantire la privacy rendendo il messaggio illeggibile per tutti eccetto il destinatario desiderato.
È possibile configurare ulteriori caratteristiche per la messaggistica con impostazioni di sicurezza avanzate. Se nell'organizzazione sono supportate queste caratteristiche, la messaggistica con impostazioni di sicurezza avanzate consente agli utenti di eseguire le operazioni seguenti:
Inviare un messaggio di posta elettronica con una richiesta di conferma. In questo modo è possibile verificare che il destinatario stia convalidando la firma digitale dell'utente (il certificato applicato dall'utente a un messaggio).
Aggiungere un'etichetta di sicurezza a un messaggio di posta elettronica. L'organizzazione può creare criteri di sicurezza S/MIME V3 personalizzati per l'aggiunta di etichette ai messaggi. I criteri di sicurezza S/MIME V3 sono costituiti da codice che viene aggiunto a Outlook e che inserisce informazioni nell'intestazione del messaggio in merito alla riservatezza del messaggio. Per ulteriori informazioni, vedere Etichette di sicurezza e conferme firmate più avanti in questo articolo.
Modalità di implementazione della messaggistica crittografata in Outlook 2010
Il modello di crittografia di Outlook 2010 utilizza la crittografia a chiave pubblica per inviare e ricevere messaggi di posta elettronica firmati e crittografati. Outlook 2010 supporta la sicurezza S/MIME V3, che consente agli utenti di scambiare messaggi di posta elettronica con impostazioni di sicurezza avanzate con altri client di posta elettronica S/MIME su Internet o su una rete Intranet. I messaggi di posta elettronica crittografati con la chiave pubblica dell'utente possono essere decrittografati solo utilizzando la chiave privata associata. Ciò significa che quando un utente invia un messaggio di posta elettronica crittografato, il certificato del destinatario (chiave pubblica) lo crittografa. Quando un utente legge un messaggio di posta elettronica crittografato, la chiave privata dell'utente lo decrittografa.
In Outlook 2010 gli utenti devono disporre di un profilo di sicurezza per utilizzare le caratteristiche di crittografia. Un profilo di sicurezza è un gruppo di impostazioni che descrive i certificati e gli algoritmi utilizzati quando un utente invia messaggi che utilizzano caratteristiche di crittografia. I profili di sicurezza vengono configurati automaticamente qualora non siano già presenti quando:
L'utente dispone di certificati per la crittografia nel proprio computer.
L'utente inizia a utilizzare una caratteristica di crittografia.
Queste impostazioni di sicurezza possono essere personalizzate in anticipo per gli utenti. È possibile utilizzare impostazioni del Registro di sistema o di Criteri di gruppo per personalizzare Outlook al fine di soddisfare i criteri di crittografia dell'organizzazione e configurare (e applicare con Criteri di gruppo) le impostazioni desiderate nei profili di sicurezza. Queste impostazioni sono descritte nella tabella contenuta nella sezione Configurazione delle impostazioni di crittografia di Outlook 2010 più avanti in questo articolo.
ID digitali: una combinazione di chiavi pubbliche/private e certificati
Le caratteristiche S/MIME si basano su ID digitali, conosciuti anche come certificati digitali, che associano l'identità di un utente a una coppia di chiavi pubblica e privata. La combinazione di un certificato e di una coppia di chiavi pubblica e privata viene definita ID digitale. La chiave privata può essere salvata in un archivio con impostazioni di sicurezza avanzate, ad esempio l'archivio certificati di Windows, nel computer dell'utente o su una smart card. Outlook 2010 supporta interamente lo standard X.509v3, che richiede che le chiavi pubbliche e private vengano create da un'Autorità di certificazione in un'organizzazione, ad esempio un computer Windows Server 2008 che esegue Servizi certificati Active Directory, oppure da un'Autorità di certificazione pubblica come VeriSign. Per informazioni sull'opzione più appropriata per la propria organizzazione, vedere Certificato digitale autofirmato o emesso da Autorità di certificazione in Pianificare le impostazioni della firma digitale per Office 2010.
Gli utenti possono ottenere ID digitali utilizzando Autorità di certificazione pubbliche basate sul Web quali VeriSign e Servizi certificati Microsoft. Per ulteriori informazioni su come sia possibile per gli utenti ottenere un ID digitale, vedere l'argomento della Guida di Outlook Utilizzo di un ID digitale (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x410). Gli amministratori possono fornire ID digitali a un gruppo di utenti.
Quando i certificati per gli ID digitali scadono, gli utenti devono in genere ottenere dall'Autorità di certificazione emittente certificati aggiornati. Se per la gestione dei certificati l'organizzazione si basa sull'Autorità di certificazione (CA) di Windows Server 2003 o su Servizi certificati Active Directory in Windows Server 2008, Outlook 2010 gestisce automaticamente l'aggiornamento dei certificati per gli utenti.
Gestione degli ID digitali di crittografia
Outlook 2010 consente agli utenti di gestire i propri ID digitali, ovvero la combinazione di un certificato e di una coppia di chiavi di crittografia pubblica e privata di un utente. Gli ID digitali consentono di proteggere i messaggi di posta elettronica degli utenti mediante lo scambio di messaggi crittografati. La gestione degli ID digitali prevede le operazioni seguenti:
Ottenere un ID digitale. Per ulteriori informazioni su come sia possibile per gli utenti ottenere un ID digitale, vedere l'argomento della Guida di Outlook Utilizzo di un ID digitale (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x410).
Archiviare un ID digitale, in modo da poterlo spostare in un altro computer o renderlo disponibile per altri utenti.
Fornire un ID digitale ad altri utenti.
Esportare un ID digitale in un file. Questa operazione si rivela utile quando l'utente crea una copia di backup o passa a un nuovo computer.
Importare un ID digitale da un file in Outlook. Un file di ID digitale può essere una copia di backup di un utente o può contenere un ID digitale di un altro utente.
Rinnovare un ID digitale scaduto.
Un utente che scambia messaggi crittografati in più computer deve copiare il proprio ID digitale in ogni computer.
Dove archiviare gli ID digitali
Gli ID digitali possono essere archiviati in tre posizioni:
Elenco indirizzi globale di Microsoft Exchange I certificati generati da Autorità di certificazione o da Servizi certificati Active Directory vengono pubblicati automaticamente nell'Elenco indirizzi globale. I certificati generati esternamente possono essere pubblicati manualmente nell'Elenco indirizzi globale. A tale scopo, nella scheda File in Outlook 2010 fare clic su Opzioni e quindi su Centro protezione. In Centro protezione di Microsoft Outlook fare clic su Impostazioni Centro protezione. Nella scheda Sicurezza posta elettronica fare clic sul pulsante Pubblica in Elenco indirizzi globale nella sezione ID digitali (certificati).
Servizio directory Lightweight Directory Access Protocol (LDAP) I servizi directory esterni, le Autorità di certificazione o altri provider di certificati possono pubblicare i certificati dei propri utenti tramite un servizio directory LDAP. Outlook consente l'accesso a questi certificati tramite directory LDAP.
File di Microsoft Windows Gli ID digitali possono essere archiviati nei computer degli utenti. Gli utenti esportano il proprio ID digitale in un file da Outlook 2010. A tale scopo, nella scheda File fare clic su Opzioni e quindi su Centro protezione. In Centro protezione di Microsoft Outlook fare clic su Impostazioni Centro protezione. Nella scheda Sicurezza posta elettronica fare clic sul pulsante Importa/esporta nella sezione ID digitali (certificati). Gli utenti possono crittografare il file al momento della creazione specificando una password.
Accesso agli ID digitali per altri utenti
Se un utente desidera scambiare messaggi di posta elettronica crittografati con un altro utente, ognuno deve disporre della chiave pubblica dell'altro. Gli utenti forniscono l'accesso alla propria chiave pubblica tramite un certificato. Esistono diversi modi per fornire un ID digitale ad altri utenti, ad esempio:
Utilizzare un certificato per firmare digitalmente un messaggio di posta elettronica. Un utente fornisce la propria chiave pubblica a un altro utente creando un messaggio di posta elettronica e aggiungendo una firma digitale tramite un certificato. Quando gli utenti di Outlook ricevono il messaggio firmato, fanno clic con il pulsante destro del mouse sul nome dell'utente nella riga Da e quindi scelgono Aggiungi ai Contatti. Le informazioni relative all'indirizzo e il certificato verranno salvati nell'elenco di contatti dell'utente di Outlook.
Fornire un certificato tramite un servizio directory, ad esempio l'Elenco indirizzi globale di Microsoft Exchange. Un utente può inoltre recuperare automaticamente il certificato di un altro utente da una directory LDAP in un server LDAP standard quando invia un messaggio di posta elettronica crittografato. Per accedere a un certificato in questo modo, gli utenti devono essere registrati nella sicurezza S/MIME con gli ID digitali dei relativi account di posta elettronica.
Un utente può ottenere i certificati anche dall'Elenco indirizzi globale.
Importazione di ID digitali
Gli utenti possono importare un ID digitale da un file. Ciò si rivela utile ad esempio se un utente desidera inviare da un nuovo computer messaggi di posta elettronica crittografati. I certificati dell'utente devono essere installati in ogni computer da cui l'utente invia messaggi di posta elettronica crittografati. Gli utenti esportano l'ID digitale in un file da Outlook 2010. A tale scopo, nella scheda File fare clic su Opzioni e quindi su Centro protezione. In Centro protezione di Microsoft Outlook fare clic su Impostazioni Centro protezione. Nella scheda Sicurezza posta elettronica fare clic sul pulsante Importa/esporta nella sezione ID digitali (certificati).
Rinnovo di chiavi e certificati
A ogni certificato e chiave privata è associato un limite di tempo. Quando le chiavi fornite dall'Autorità di certificazione o da Servizi certificati Active Directory raggiungono la fine del periodo di tempo designato, in Outlook viene visualizzato un messaggio di avviso e viene offerta la possibilità di rinnovare le chiavi. In Outlook viene richiesto all'utente se desidera che venga inviato automaticamente il messaggio di rinnovo al server.
Se gli utenti non scelgono di rinnovare un certificato prima della scadenza oppure se utilizzano un'altra Autorità di certificazione anziché l'Autorità di certificazione già utilizzata o Servizi certificati Active Directory, dovranno contattare l'Autorità di certificazione per rinnovare il certificato.
Etichette di sicurezza e conferme firmate
Outlook 2010 include il supporto per le estensioni ESS (Enhanced Security Services) S/MIME V3 relative a etichette di sicurezza e conferme firmate. Queste estensioni consentono di garantire comunicazioni di posta elettronica con impostazioni di sicurezza avanzate all'interno dell'organizzazione e di personalizzare la sicurezza in base alle proprie esigenze.
Se l'organizzazione sviluppa e fornisce criteri di sicurezza S/MIME V3 per l'aggiunta di etichette di sicurezza personalizzate, il codice nei criteri di sicurezza può imporre l'associazione di un'etichetta di sicurezza a un messaggio di posta elettronica. Di seguito sono riportati due esempi di etichette di sicurezza:
È possibile implementare un'etichetta Solo per uso interno come etichetta di sicurezza da applicare alla posta che non deve essere inviata o inoltrata all'esterno dell'azienda.
Un'etichetta può specificare che determinati destinatari non possono inoltrare o stampare il messaggio, se anche il destinatario dispone del criterio di sicurezza installato.
Gli utenti possono inoltre inviare richieste di conferma con impostazioni di sicurezza avanzate con i messaggi, per verificare che i destinatari riconoscano la firma digitale dell'utente. Quando il messaggio viene ricevuto e salvato (anche se non ancora letto) e la firma viene verificata, viene restituita nella Posta in arrivo dell'utente una conferma che implica che il messaggio è stato letto. Se la firma dell'utente non viene verificata, non viene inviata alcuna conferma. Quando la conferma viene restituita, poiché è anch'essa firmata, si ha la certezza che l'utente ha ricevuto e verificato il messaggio.
Configurazione delle impostazioni di crittografia di Outlook 2010
È possibile definire molti aspetti delle caratteristiche di crittografia di Outlook 2010 per configurare messaggi più sicuri e la crittografia dei messaggi per la propria organizzazione tramite il modello Criteri di gruppo di Outlook 2010 (Outlook14.adm). È ad esempio possibile configurare un'impostazione di Criteri di gruppo che richiede l'utilizzo di un'etichetta di sicurezza per tutta la posta in uscita oppure un'impostazione che disabilita la pubblicazione nell'Elenco indirizzi globale. È inoltre possibile utilizzare lo Strumento di personalizzazione di Office per configurare impostazioni predefinite, in modo da consentire agli utenti di modificarle. Esistono infine alcune opzioni di configurazione della crittografia che possono essere configurate solo tramite chiavi del Registro di sistema.
Per ulteriori informazioni su come scaricare il modello amministrativo di Outlook 2010 e su altri modelli amministrativi di Office 2010, vedere File dei modelli amministrativi di Office 2010 (ADM, ADMX, ADML) e Strumento di personalizzazione di Office. Per ulteriori informazioni su Criteri di gruppo, vedere Panoramica di Criteri di gruppo per Office 2010 e Use Group Policy to enforce Office 2010 settings.
Per ulteriori informazioni sullo Strumento di personalizzazione di Office, vedere Office Customization Tool in Office 2010.
È possibile bloccare le impostazioni elencate nella tabella riportata di seguito per la personalizzazione della crittografia. Nella pagina Modifica impostazioni utente nello Strumento di personalizzazione di Office queste impostazioni sono contenute in Microsoft Outlook 2010\Sicurezza\Crittografia. In Criteri di gruppo queste impostazioni sono disponibili in Configurazione utente\Modelli amministrativi\Microsoft Outlook 2010\Sicurezza\Crittografia.
| Opzione di crittografia | Descrizione | ||||||||
|---|---|---|---|---|---|---|---|---|---|
Usa sempre formattazione TNEF nei messaggi S/MIME |
Consente di utilizzare sempre il formato TNEF (Transport Neutral Encapsulation Format) per i messaggi S/MIME anziché il formato specificato dall'utente. |
||||||||
Non confrontare l'indirizzo di posta elettronica con gli indirizzi dei certificati utilizzati |
Consente di non verificare l'indirizzo di posta elettronica dell'utente utilizzando l'indirizzo di certificati utilizzati per la crittografia o la firma. |
||||||||
Non visualizzare il pulsante 'Pubblica in Elenco indirizzi globale' |
Consente di disabilitare il pulsante Pubblica in Elenco indirizzi globale nella pagina Sicurezza posta elettronica nel Centro protezione. |
||||||||
Non visualizzare l'opzione Continua nelle finestre di dialogo di avviso relative alla crittografia |
Consente di disabilitare il pulsante Continua nelle finestre di dialogo relative agli avvisi per le impostazioni di crittografia. Gli utenti non potranno selezionare Continua per inviare il messaggio. |
||||||||
Attivazione icone di crittografia |
Consente di visualizzare le icone di crittografia di Outlook nell'interfaccia utente di Outlook. |
||||||||
Crittografa tutti i messaggi di posta elettronica |
Consente di crittografare i messaggi di posta elettronica in uscita. |
||||||||
Verifica presenza etichetta in tutti i messaggi S/MIME firmati |
Consente di richiedere che tutti i messaggi S/MIME firmati dispongano di un'etichetta di sicurezza. Gli utenti possono associare etichette a messaggi di posta elettronica in Outlook 2010. A tale scopo, in Sicurezza nel gruppo Altre opzioni della scheda Opzioni fare clic sul pulsante Impostazioni sicurezza. Nella finestra di dialogo Proprietà di sicurezza selezionare Aggiungi firma digitale al messaggio. In Etichetta di sicurezza per Criteri selezionare un'etichetta. |
||||||||
Criteri certificato Fortezza |
Consente di immettere un elenco di criteri consentiti nell'estensione dei criteri di un certificato che indicano che il certificato è di tipo Fortezza. I criteri elencati devono essere separati da punti e virgola. |
||||||||
Formati messaggi |
Consente di scegliere i formati di messaggi da supportare: S/MIME (impostazione predefinita), Exchange, Fortezza o una combinazione di questi formati. |
||||||||
Messaggio da visualizzare quando non viene trovato l'ID digitale per decodificare un messaggio |
Consente di immettere un messaggio da visualizzare agli utenti (massimo 255 caratteri). |
||||||||
Impostazioni crittografia minime |
Consente di impostare la lunghezza di chiave minima per un messaggio di posta elettronica crittografato. In Outlook verrà visualizzato un messaggio di avviso se l'utente tenta di inviare un messaggio utilizzando una chiave di crittografia il cui valore è inferiore al valore minimo impostato per la chiave di crittografia. L'utente può comunque scegliere di ignorare l'avviso ed effettuare l'invio utilizzando la chiave di crittografia scelta in origine. |
||||||||
Crittografa/firma risposte o inoltri di messaggi firmati/crittografati |
Consente di attivare la firma o la crittografia quando si risponde o si inoltra un messaggio firmato o crittografato, anche se l'utente non ha configurato S/MIME. |
||||||||
Richiedi conferma S/MIME per tutti i messaggi S/MIME firmati |
Consente di richiedere una conferma con impostazioni di sicurezza avanzate per messaggi di posta elettronica firmati in uscita. |
||||||||
Richiedi algoritmi Suite-B per operazioni S/MIME |
Consente di utilizzare solo algoritmi Suite-B per le operazioni S/MIME. |
||||||||
Autorità di certificazione necessaria |
Consente di impostare il nome dell'Autorità di certificazione necessaria. Se viene impostato un valore, Outlook non consentirà agli utenti di firmare la posta elettronica utilizzando un certificato di un'altra Autorità di certificazione. |
||||||||
Esecuzione in modalità FIPS compatibile |
Consente di richiedere per Outlook l'esecuzione in modalità FIPS 140-1. |
||||||||
Interoperabilità S/MIME con client esterni: |
Consente di specificare il comportamento per la gestione dei messaggi S/MIME: Gestisci internamente, Gestisci esternamente o Gestisci se possibile. |
||||||||
Comportamento richieste di conferma S/MIME |
Consente di specificare un'opzione per la modalità di gestione delle richieste di conferma S/MIME:
|
||||||||
Invia tutti i messaggi firmati come messaggi con firma in chiaro |
Consente di inviare i messaggi di posta elettronica firmati non crittografati. |
||||||||
Firma tutti i messaggi di posta elettronica |
Consente di richiedere la firma digitale in tutti i messaggi di posta elettronica in uscita. |
||||||||
Avviso di firma |
Consente di specificare un'opzione relativa a quando visualizzare avvisi di firma agli utenti:
|
||||||||
URL per i certificati S/MIME |
Consente di specificare un URL presso cui gli utenti possono ottenere una conferma S/MIME. L'URL può contenere tre variabili (%1, %2 e %3), che verranno sostituite rispettivamente con il nome, l'indirizzo di posta elettronica e la lingua dell'utente. Quando si specifica un valore per URL per i certificati S/MIME, utilizzare i parametri seguenti per inviare informazioni sull'utente alla pagina Web di registrazione.
Per inviare ad esempio informazioni sull'utente alla pagina Web di registrazione Microsoft, impostare URL per i certificati S/MIME sul valore seguente, includendo i parametri:
Se ad esempio il nome dell'utente è Jeff Smith, l'indirizzo di posta elettronica è someone@example.com e l'ID lingua dell'interfaccia utente è 1033, i segnaposto verranno risolti come indicato di seguito:
|
In Criteri di gruppo le impostazioni elencate nella tabella riportata di seguito si trovano in Configurazione utente\Strumenti amministrativi\Microsoft Outlook 2010\Sicurezza\Crittografia\Finestra di dialogo Stato firma. Le impostazioni dello Strumento di personalizzazione di Office si trovano nei percorsi corrispondenti nella pagina Modifica impostazioni utente dello strumento stesso.
| Opzione di crittografia | Descrizione |
|---|---|
Cartella temporanea sicura per gli allegati |
Consente di specificare un percorso per la cartella sicura dei file temporanei. Questa impostazione ha la priorità sul percorso predefinito e non è consigliata. Se è necessario utilizzare una cartella specifica per gli allegati di Outlook, è consigliabile attenersi alle indicazioni seguenti:
|
Elenchi di revoche di certificati mancanti |
Consente di specificare la risposta di Outlook in assenza di un elenco di revoche di certificati: avviso (predefinito) o errore. Nei certificati digitali è contenuto un attributo in cui viene indicato dove è posizionato l'elenco di revoche di certificati corrispondente. Negli elenchi di revoche di certificati sono contenuti elenchi di certificati digitali che sono stati revocati dalle Autorità di certificazione di controllo, generalmente perché sono stati emessi in modo non corretto o perché le chiavi private associate sono state compromesse. In caso di mancanza o non disponibilità di un elenco di revoche di certificati, Outlook non può determinare se un certificato è stato revocato, con il rischio che per l'accesso ai dati venga utilizzato un certificato compromesso o emesso in modo non corretto. |
Certificati di autenticazione radice mancanti |
Consente di specificare la risposta di Outlook in assenza di un certificato di autenticazione radice: né errore né avviso (predefinito), avviso o errore. |
Promuovi gli errori di livello 2 a errori e non ad avvisi |
Consente di specificare la risposta di Outlook per gli errori di livello 2: errore o avviso (predefinito). Tra le potenziali condizioni di errore di livello 2 sono incluse le seguenti:
|
Recupero elenchi di revoche di certificati |
Consente di specificare il comportamento di Outlook quando vengono recuperati elenchi di revoche di certificati:
|
Configurazione di ulteriori impostazioni di crittografia
Nella sezione che segue vengono fornite ulteriori informazioni sulle opzioni di configurazione per la crittografia.
Impostazioni dei criteri di sicurezza per la crittografia generale
Nella tabella riportata di seguito sono elencate ulteriori impostazioni del Registro di sistema di Windows che possono essere utilizzate per una configurazione personalizzata. Queste impostazioni del Registro di sistema sono contenute in HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default. Non esistono impostazioni di Criteri di gruppo corrispondenti.
| Voce del Registro di sistema | Tipo | Valore | Descrizione |
|---|---|---|---|
ShowWithMultiLabels |
DWORD |
0, 1 |
Impostare su 0 per tentare di visualizzare un messaggio quando nel livello di firma sono impostate etichette diverse in firme diverse. Impostare su 1 per non visualizzare il messaggio. Il valore predefinito è 0. |
CertErrorWithLabel |
DWORD |
0, 1, 2 |
Impostare su 0 per elaborare un messaggio con un errore di certificato quando il messaggio include un'etichetta. Impostare su 1 per negare l'accesso a un messaggio con un errore di certificato. Impostare su 2 per ignorare l'etichetta del messaggio e concedere l'accesso al messaggio (l'utente continua a visualizzare un errore di certificato). Il valore predefinito è 0. |