S/MIME per la crittografia e firma dei messaggi

  • Articolo

In qualità di amministratore in Exchange Server, è possibile abilitare S/MIME (Secure/Multipurpose Internet Mail Extensions) per l'organizzazione. S/MIME è un metodo (più precisamente un protocollo) ampiamente accettato per l'invio di messaggi crittografati o firmati digitalmente. S/MIME consente di crittografare i messaggi di posta elettronica e di apporvi la firma digitale. L'uso di S/MIME consente agli utenti che ricevono il messaggio di:

  • Verificare che il messaggio nella propria cartella Posta in arrivo sia lo stesso messaggio inviato dal mittente.

  • Verificare che il messaggio arrivi dal mittente specifico e non da un altro utente che finge di essere il mittente.

A tale scopo, S/MIME fornisce servizi di protezione crittografica quali autenticazione, integrità dei messaggi e non-rifiuto dell'origine (utilizzando le firme digitali). Con S/MIME, inoltre, la privacy e la sicurezza dei dati (tramite crittografia) per la messaggistica elettronica risultano migliorate.

S/MIME richiede un certificato e un'infrastruttura di pubblicazione spesso utilizzata nelle situazioni interaziendali o tra azienda e consumatori. L'utente controlla le chiavi crittografiche in S/MIME e può scegliere se utilizzarle per ogni messaggio inviato. I programmi di posta elettronica come Outlook cercano la posizione di un'autorità di certificazione radice attendibile per eseguire la firma digitale e la verifica della firma.

Per un quadro completo della storia e dell'architettura di S/MIME nel contesto della posta elettronica, vedere Concetti relativi a S/MIME.

Scenari supportati e considerazioni tecniche per S/MIME

È possibile configurare S/MIME per utilizzare uno qualsiasi dei seguenti endpoint:

  • Outlook 2010 o versioni successive

  • Outlook sul Web (in precedenza noto come Outlook Web App).

  • Exchange ActiveSync (EAS)

I passaggi da eseguire per configurare S/MIME con ogni endpoint differiscono lievemente. In generale, è necessario seguire questa procedura:

  1. Installare un'autorità di certificazione basata su Windows e configurare un'infrastruttura a chiave pubblica per l'emissione di certificati S/MIME. Sono supportati i certificati emessi da autorità di terze parti. Per informazioni dettagliate, vedere Panoramica della distribuzione dei certificati del server.

  2. Pubblicare il certificato utente in un account Servizi di dominio Active Directory (AD DS) locale negli attributi UserSMIMECertificate e/o UserCertificate. AD DS deve essere ubicato nei computer in una posizione fisica che sia possibile controllare e non in una struttura remota o in un servizio basato su cloud in Internet. Per altre informazioni su Servizi di dominio Active Directory, vedere Panoramica Active Directory Domain Services.

  3. Configurare una raccolta di certificati virtuali per convalidare S/MIME. Queste informazioni vengono utilizzate da Outlook sul Web per convalidare la firma di un messaggio di posta elettronica e per garantire che sia stato firmato da un certificato attendibile.

  4. Configurare l'endpoint Outlook o EAS per utilizzare S/MIME.

Configurare S/MIME con Outlook sul Web

La configurazione di S/MIME con Outlook sul Web implica questi passaggi principali:

  1. Impostazioni S/MIME per Outlook sul web in Exchange Server.

  2. Set up Virtual Certificate Collection to Validate S/MIME

Per informazioni su come inviare un messaggio crittografato S/MIME in Outlook sul web, vedere Crittografare i messaggi usando S/MIME in Outlook sul web.

Diverse tecnologie di crittografia funzionano contemporaneamente per fornire protezione per messaggi rimanenti e in transito. S/MIME può funzionare insieme alle seguenti tecnologie, ma non dipende da esse:

  • Transport Layer Security (TLS): crittografa il tunnel o la route tra i server di posta elettronica per impedire l'intercettazione e l'intercettazione e crittografa la connessione tra client di posta elettronica e server.

    Nota

    SSL (Secure Sockets Layer) verrà sostituito da TLS (Transport Layer Security) come protocollo utilizzato per crittografare i dati inviati tra sistemi di computer. Sono così simili che spesso i termini "SSL" e "TLS" (senza indicare le versioni) sono usati in modo interscambiabile. Pertanto, i riferimenti a "SSL" negli argomenti relativi a Exchange, Interfaccia di amministrazione di Exchange e Exchange Management Shell sono stati spesso utilizzati sia per il protocollo SSL sia per il protocollo TLS. In genere, con "SSL" si fa riferimento all'effettivo protocollo SSL solo quando viene fornita anche una versione (ad esempio, SSL 3.0). Per scoprire perché è opportuno disabilitare il protocollo SSL e passare a TLS, consultare Protezione dalle vulnerabilità di SSL 3.0.

  • BitLocker: crittografa i dati in un disco rigido in un data center in modo che, se qualcuno ottiene l'accesso non autorizzato, non possa leggerli. Per altre informazioni, vedere BitLocker: Come eseguire la distribuzione in Windows Server 2012 e versioni successive