Computer Security Day: perché gli amministratori di MailStore devono ricevere gli avvisi per i certificati SSL
Traduzione e adattamento a cura di Naonis dell’articolo apparso nel sito del produttore al seguente link
Nel 1988, il 30 novembre è stata designata Giornata internazionale della sicurezza informatica. Lanciato dalla US Association for Computer Security, il Computer Security Day mira a sensibilizzare sull’importanza del backup dei dati, dell’aggiornamento del software, del controllo delle password e dei privilegi e così via: l’elenco è infinito. Nei 30 anni trascorsi dalla nascita del Computer Security Day, la sicurezza IT è diventata molto più complessa; quindi, può essere una sfida importante per gli amministratori IT garantire la sicurezza dei sistemi IT di un’intera azienda e rimanere aggiornati con la tecnologia più recente. Per questo motivo, spetta anche ai produttori di software assumersi la responsabilità e rendere le proprie soluzioni il più sicure possibili. In qualità di produttori di soluzioni di archiviazione della posta elettronica, anche MailStore considera un dovere aiutare gli amministratori IT a migliorare la sicurezza dei computer, soprattutto perché il software di archiviazione della posta elettronica è responsabile della protezione dell’intera corrispondenza e-mail di un’azienda per molti anni. Questo è il motivo per cui il nostro principio guida è sempre stato “sicurezza sin dalla progettazione”. In un articolo sul blog di MailStore, pubblicato qualche tempo fa, Daniel Weuthen, Director of Engineering di MailStore, ha spiegato cosa c’è dietro la “Customer Security Awareness Initiative” di MailStore e le misure adottate per fornire alle installazioni il massimo livello di protezione sin dall’inizio.
MailStore ha utilizzato il Computer Security Day per esaminare da vicino un’opzione specifica e un avviso di sicurezza nel loro software, vale a dire l’opzione “Ignora avvisi SSL” o “Accetta tutti i certificati“.
La storia della funzione “Ignora avvisi SSL“
L’opzione di ignorare gli avvisi SSL per le connessioni in uscita è disponibile dalla versione 1 di MailStore Server, quindi dal 2007. Tuttavia, poiché questa opzione appariva solo durante l’impostazione e la configurazione delle connessioni in uscita da MailStore Server, era in gran parte nascosta all’amministratore durante l’uso quotidiano del software. Negli anni successivi, quando molte società di software iniziarono ad apprezzare l’importanza della sicurezza IT, i produttori di browser come Google e Mozilla decisero di eliminare gradualmente il supporto per HTTP non protetto e di segnalare ogni volta che una connessione in uscita era ritenuta non sicura. Anche in MailStore si siano posti il compito di rendere le loro soluzioni il più sicure possibili seguendo le raccomandazioni degli esperti di sicurezza e hanno sempre cercato di mantenere le loro soluzioni semplici da usare, ad esempio ponendo come impostazioni predefinite quelle più sicure. Ciò ha comportato anche a una serie di modifiche all’opzione in base alla quale gli avvisi SSL possono essere ignorati.
Sin dalla versione 10 di MailStore Server, l’IMAP-TLS crittografato è stato il protocollo predefinito utilizzato per i profili IMAP, mentre HTTPS è sempre stato il protocollo di accesso predefinito per i profili Exchange. A questo punto, l’opzione di ignorare gli avvisi SSL veniva visualizzata solo durante l’impostazione e la configurazione delle connessioni in uscita.
Quindi, nella versione 12, se venivano utilizzate connessioni in uscita potenzialmente non sicure a server di posta elettronica o servizi di directory gli amministratori ricevevano un avviso sulla dashboard di MailStore e nei risultati di archiviazione ed esportazione. Una connessione è stata considerata potenzialmente non sicura, ad esempio, se non era crittografata o se la casella “Ignora avvisi SSL” era stata selezionata durante la configurazione di una connessione in uscita. Per aumentare la consapevolezza del problema dei dati di accesso per i prodotti MailStore inviati a sistemi di terze parti senza adeguatate tecniche di protezione è stato introdotto per la prima volta in questa versione il livello di avviso “Informazioni” (rappresentato da una “i” all’interno di un cerchio blu).
Queste informazioni venivano visualizzate sulla dashboard di MailStore della versione 12 quando era ancora in uso la dicitura “Ignora avvisi SSL”.
Cosa significa questo avvertimento e cosa no?
Con i nuovi avvisi e la maggiore visibilità dell’opzione, è diventato chiaro che c’erano alcune incertezze su quali avvisi SSL dovevano essere ignorati. Potrebbe sorgere l’impressione che l’abilitazione dell’opzione sopprime gli avvisi emessi dalla soluzione MailStore. Pertanto, alcuni amministratori sono rimasti sbalorditi nel vedere gli avvisi SSL ancora visualizzati sulla dashboard di MailStore.
Selezionare la casella per questa opzione in realtà denota che gli avvisi SSL generati dal sistema operativo verranno ignorati e quindi specifica che: “In qualità di amministratore, voglio che il mio prodotto MailStore a questo punto accetti tutti i certificati sul mio sistema di posta elettronica” – se attendibile o no. Quindi, se non è abilitato “Ignora avvisi SSL” (“Accetta tutti i certificati” nella versione più recente), MailStore si rifiuterà di eseguire un profilo di archiviazione se rileva un certificato non affidabile. Ma se l’amministratore decidesse di abilitare l’opzione per le connessioni non sicure, MailStore ignorerà l’avviso SSL del sistema operativo, eseguirà i profili, ma emetterà anche degli messaggi di avviso corrispondenti. Non è possibile sopprimere questi avvisi. È anche importante sapere che gli amministratori di MailStore riceveranno sempre avvisi anche se l’opzione è abilitata, ovvero anche se stanno utilizzando un certificato attendibile. Quando si utilizzano certificati attendibili, quindi, ha senso non abilitare l’opzione “Accetta tutti i certificati” in primo luogo. Questa opzione dovrebbe essere abilitata solo nei casi in cui deve essere superato uno scenario temporaneo per il quale non esistono certificati o per cui i certificati non sono necessari.
Il feedback dei clienti che ha ricevuto MailStore ha evidenziato che sono riusciti a richiamare l’attenzione su questa opzione non sicura.
Le connessioni in uscita non protette sono ancora possibili, ma le connessioni in ingresso non protette non lo sono. Perché?
Dato che in MailStore hanno il pieno controllo del loro software e, quindi, su tutte le connessioni in entrata, sono in grado di vietare tutte le connessioni in entrata non sicure senza eccezioni e quindi fornire la massima sicurezza. Nel caso di connessioni in uscita a sistemi di terze parti, invece, non sono in grado di riconoscere tutte le infrastrutture e anticipare tutti i potenziali scenari. Ad esempio, è concepibile che un certificato sicuro semplicemente non esista per un sistema legacy che deve essere archiviato durante la migrazione, o che un amministratore che ha impostato un sistema di test non attribuisca alcuna importanza alla crittografia in quello che è puramente un ambiente di test. Sebbene la sicurezza sia una priorità, MailStore desidera comunque facilitare l’archiviazione della posta elettronica in situazioni come queste, anche quando le connessioni non sono sicure. Pertanto, sebbene l’archiviazione della posta elettronica possa ancora essere eseguita, in questo caso gli amministratori riceveranno un avviso in cui li informa che le impostazioni di connessione correnti non sono sicure e devono essere modificate il più presto possibile.
Quindi, per concludere:
Dovremmo considerare il Computer Security Day come un’opportunità per dare uno sguardo critico alla sicurezza dei vostri sistemi IT. Incluso il controllo delle impostazioni di crittografia per tutte le connessioni in entrata e in uscita dei vostri sistemi. Ove possibile, devono essere utilizzati solo certificati attendibili. MailStore Server ha reso più semplice l’utilizzo di certificati validi da quando ha introdotto il supporto per i certificati Let’s Encrypt™ dalla versione 12. Al fine di proteggere il vostro archivio e le informazioni critiche contenute nelle vostre email aziendali (es. richieste di preventivi, ordini, reclami, documenti, ecc.). Consigliamo, infine, di utilizzare sempre l’ultima versione di MailStore Server, poiché solo così potrete beneficiare delle ultime funzionalità, delle patch di sicurezza e delle correzioni dei bug. Pertanto, il nostro consiglio è di mantenere il servizio di aggiornamento e supporto di MailStore permanentemente attivo, dato che questo è un requisito per l’installazione dell’ultima versione del software MailStore.