TLS-RPT: la visibilità sui problemi TLS email
TLS-RPT (SMTP TLS Reporting, RFC 8460) è un meccanismo che permette ai server email mittenti di inviare report al dominio destinatario quando incontrano problemi con le connessioni TLS. Questi problemi possono essere: certificati scaduti o non validi, mancato supporto STARTTLS, fallimento della negoziazione TLS, o violazioni della policy MTA-STS o DANE. Senza TLS-RPT, questi problemi passano completamente inosservati perché i server mittenti tipicamente ripiegano silenziosamente su connessioni non crittografate.
Il valore di TLS-RPT è nella visibilità: ti dice quante email arrivano al tuo server su connessioni non crittografate e perché. Questo è cruciale per la conformità normativa (GDPR richiede misure di sicurezza adeguate per i dati personali) e per la sicurezza delle comunicazioni aziendali. Un certificato scaduto sul tuo mail server potrebbe causare centinaia di connessioni non crittografate al giorno senza che tu ne sia a conoscenza.
Configurazione TLS-RPT
La configurazione è semplice: un singolo record TXT su _smtp._tls.tuodominio.com con la versione (v=TLSRPTv1) e l'indirizzo per i report (rua=). I report possono essere ricevuti via email (mailto:) o su un endpoint HTTPS (https://). Per la maggior parte delle organizzazioni, l'opzione email è più semplice da configurare. L'endpoint HTTPS è preferibile per volumi alti o per l'integrazione con sistemi di monitoraggio automatizzati.
Interpretare i report TLS-RPT
I report TLS-RPT sono in formato JSON e vengono inviati tipicamente ogni 24 ore. Ogni report contiene: il dominio mittente, il periodo coperto, il tipo di policy applicata (MTA-STS, DANE o nessuna), e per ogni policy un conteggio delle sessioni riuscite e fallite con il tipo di errore. I tipi di errore più comuni sono: certificate-expired, certificate-not-trusted, starttls-not-supported, e sts-policy-invalid.
Usa il nostro TLS-RPT Lookup per verificare che il record sia configurato correttamente. Se il report mostra errori di tipo certificate-expired, controlla il certificato del tuo mail server con SSL Check. Per errori starttls-not-supported, verifica la configurazione SMTP del server con SMTP Diagnostics per assicurarti che STARTTLS sia abilitato e funzionante.
TLS-RPT nel contesto della sicurezza email
TLS-RPT è il complemento naturale di MTA-STS: mentre MTA-STS definisce la policy di sicurezza TLS, TLS-RPT fornisce il monitoraggio. Implementare MTA-STS senza TLS-RPT è come installare un sistema di sicurezza senza notifiche: funziona, ma non sai quando blocca qualcosa o quando ci sono problemi. La combinazione dei due protocolli fornisce sia la protezione che la visibilità necessarie per garantire che le email in transito siano sempre crittografate.
Per un dominio con una configurazione email completa e sicura, la checklist include: record MX funzionanti, SPF valido, DKIM attivo, DMARC con policy enforcement, MTA-STS in modalità enforce, e TLS-RPT per il monitoraggio continuo. Ogni protocollo aggiunge uno strato di sicurezza e di visibilità, e la mancanza di anche uno solo lascia una lacuna nella protezione. TLS-RPT, pur essendo l'ultimo arrivato, è il protocollo che chiude il cerchio fornendo la telemetria necessaria per mantenere tutto il resto in salute.
L'implementazione di TLS-RPT è tra le più semplici dell'intero stack di sicurezza email: un singolo record DNS e un indirizzo email dedicato. Non ci sono motivi per non configurarlo. I report che riceverai potrebbero rivelare problemi di sicurezza nella catena di consegna email di cui non eri a conoscenza, permettendoti di agire proattivamente prima che diventino critici.