Panoramica di MTA-STS
Benvenuti nella documentazione di MTA-STS. Utilizza la barra laterale o i link sottostanti per navigare:
Cos'è MTA-STS?
MTA-STS è un protocollo di sicurezza che consente ai server di posta elettronica di applicare la crittografia Transport Layer Security (TLS) e la convalida dei certificati quando inviano email ad altri server che supportano il protocollo. MTA-STS sta per Mail Transfer Agent Strict Transport Security over TLS ed è definito nella RFC 8461.
Come Funziona MTA-STS?
MTA-STS funziona permettendo ai server di posta elettronica di pubblicare una policy che specifica come gli altri server dovrebbero connettersi a loro. La policy include le seguenti informazioni:
- La durata della validità della policy
- Se la crittografia TLS è obbligatoria o facoltativa
- Se il certificato del server deve corrispondere al nome di dominio o essere firmato da un'autorità fidata
- Come segnalare eventuali errori di connessione o violazioni della policy
La policy è pubblicata in due modi: come record DNS TXT e come file ospitato su un server web. Il record DNS TXT contiene un puntatore al server web dove si trova il file della policy. Il file della policy è denominato .well-known/mta-sts.txt ed è formattato come un file di testo semplice con coppie chiave-valore.
Quando un server di posta elettronica vuole inviare un'email a un altro server che supporta MTA-STS, prima interroga il record DNS TXT del dominio del destinatario per verificare se è disponibile una policy. Se c'è, recupera quindi il file della policy dal server web e segue le istruzioni nella policy. Se la policy richiede la crittografia TLS e la convalida del certificato, il server di posta elettronica consegnerà l'email solo se può stabilire una connessione sicura e autenticata con il server destinatario. Se la policy è facoltativa, il server di posta elettronica tenterà di utilizzare la crittografia TLS e la convalida del certificato, ma tornerà a una connessione in testo semplice se fallisce. Se la policy non è disponibile o è scaduta, il server di posta elettronica utilizzerà le sue impostazioni predefinite per la consegna delle email.
Impostazioni MTA-STS max-age
La direttiva max_age nella policy MTA-STS specifica la durata massima della policy in secondi. Ecco alcuni punti chiave:
- Valori Accettati: Qualsiasi numero intero positivo fino a 31.557.600 secondi (che equivale a un anno).
- Esempio: Puoi impostare
max_agea 604.800 secondi (che è una settimana).
Lo scopo di max_age è determinare per quanto tempo i server dovrebbero memorizzare nella cache la tua policy MTA-STS prima di controllarne una nuova. Google, ad esempio, elabora policy con un max_age superiore a 86.400 secondi (un giorno). Il valore massimo per max_age è 31.557.600 secondi.
Scegliere un valore max_age appropriato è cruciale. Ecco alcune considerazioni:
- max_age più breve:
- Consente una rimozione o modifiche più facili di MTA-STS se sorgono problemi di interoperabilità.
- Utile per grandi integratori che potrebbero non supportare ancora MTA-STS ma pianificano di farlo in futuro.
- max_age più lungo:
- Riduce la frequenza dei controlli della policy.
- Fornisce migliori prestazioni minimizzando la necessità di aggiornamenti frequenti della policy.
- Tuttavia, significa anche che eventuali modifiche necessarie alla policy richiedono più tempo per propagarsi.
Come MTA-STS Funziona con DMARC
MTA-STS e DMARC si completano a vicenda nel migliorare la sicurezza e la privacy della comunicazione email. MTA-STS protegge la connessione tra server di posta elettronica da intercettazioni e modifiche, mentre DMARC protegge il contenuto e l'intestazione dell'email da spoofing e phishing. Utilizzando entrambi i protocolli, i server di posta elettronica e gli utenti possono raggiungere un livello più elevato di fiducia e sicurezza nella loro comunicazione email.
Perché MTA-STS è Importante?
MTA-STS è importante perché migliora la sicurezza e la privacy della comunicazione email. Applicando la crittografia TLS e la convalida dei certificati, MTA-STS impedisce agli attaccanti di intercettare, modificare o falsificare le email in transito.
Questo riduce il rischio di phishing, malware, spam e furto di identità. MTA-STS aiuta anche i server di posta elettronica a conformarsi agli standard di sicurezza e alle normative del loro settore o regione.
Limitazioni di MTA-STS
MTA-STS ha alcune limitazioni di cui i server di posta elettronica e gli utenti dovrebbero essere consapevoli. Alcune di esse sono:
- Ambito: MTA-STS si applica solo alla connessione tra server di posta elettronica, non tra client di posta elettronica e server. Pertanto, i client di posta elettronica e gli utenti devono ancora utilizzare altre misure di sicurezza, come la crittografia end-to-end, per proteggere le loro email da accessi non autorizzati o manomissioni.
- Dipendenza da DNS e Server Web: MTA-STS si basa sulla disponibilità e l'integrità dei server DNS e web che ospitano la policy. Se questi server sono compromessi, offline o configurati in modo errato, la policy potrebbe non essere accessibile o accurata e la consegna delle email potrebbe essere influenzata.
- Applicazione della Policy: MTA-STS non impedisce ai server di posta elettronica di accettare o inviare email che non rispettano la policy. Ad esempio, un server di posta elettronica potrebbe accettare un'email da un mittente che non utilizza la crittografia TLS o la convalida del certificato, o potrebbe inviare un'email a un destinatario che non supporta MTA-STS. Pertanto, i server di posta elettronica e gli utenti devono ancora utilizzare altri meccanismi di sicurezza, come SPF, DKIM e DMARC, per verificare l'identità e l'autenticità dei mittenti e dei destinatari delle email.
Argomenti Correlati
- Impostazioni del Dominio TLS-RPT - Configura le Impostazioni TLS-RPT/MTA-STS