La posta elettronica è uno strumento utilizzato quotidianamente nelle realtà Enterprise e Customer per scambiare informazioni riservate, come ad esempio contratti legali, dati finanziari, informazioni su pazienti di aziende ospedaliere o informazioni relative a clienti ed impiegati. Viene spontaneo pensare che le cassette postali arrivino a diventare archivi di grandi quantità di informazioni potenzialmente riservate e la fuga di queste informazioni può diventare una seria minaccia per l’organizzazione.
Con la crittografia delle e-mail di Office 365, l’organizzazione può inviare e ricevere messaggi di posta elettronica crittografati tra utenti all’interno e all’esterno dell’organizzazione. La crittografia dei messaggi di Office 365 è compatibile con Outlook.com, Yahoo!, Gmail e altri servizi di posta elettronica. La crittografia delle e-mail di Office 365 ci permette di essere sicuri che solo i destinatari previsti possano visualizzare il contenuto del messaggio.
In che modo Microsoft 365 usa la crittografia della posta elettronica?
La crittografia è il processo con cui le informazioni vengono codificate in modo che solo un destinatario autorizzato sia in grade di decodificarle e utilizzarle. Microsoft 365 usa la crittografia in due modi: nel servizio e come controllo cliente. In Microsoft 365, la crittografia viene usata per impostazione predefinita; non è necessario configurare nulla. Ad Esempio, Microsoft 365 utilizza Transport Layer Security (TLS) per crittografare le connessioni, o le sessioni, tra gli endpoint.
Logica crittografia della posta elettronica:
- Un messaggio viene crittografato o trasformato da testo normale a testo crittografato illeggibile, sul computer del mittente o da un endpoint centrale, mentre il messaggio è in transito.
- Mentre è in transito, per impedire che il messaggio venga letto in caso venga intercettato, quest’ultimo rimane crittografato
- In seguito alla ricezione da parte del destinatario, il messaggio viene trasformato nuovamente in testo leggibile in uno dei due modi descritti in seguito:
- Il computer del destinatario utilizza una chiave per decriptare il messaggio
- Un server centrale decripta il messaggio per conto del destinatario, dopo averne convalidato l’identità
Per informazioni più dettagliate su come Microsoft 365 protegge la comunicazione tra endpoint, ad esempio tra le organizzazioni di Microsoft 365 o tra Microsoft 365 e un partner terzo attendibile all’esterno vi rimando all’articolo che vi spiega come Exchange Online utilizza TLS per proteggere la posta elettronica in Office 365.
Confronto delle opzioni di crittografia dei messaggi di posta elettronica disponibili in Office 365:
| Tecnologie di crittografia della posta elettronica |  |
 |
 |
|---|---|---|---|
| Di cosa si tratta? | Crittografia messaggi di Office 365 (OME) è un servizio basato su Azure Rights Management (Azure RMS) che consente di inviare posta elettronica crittografata a destinatari interni o esterni all’organizzazione, indipendentemente dall’indirizzo di posta elettronica di destinazione (Gmail, Yahoo! Mail, Outlook.com e così via). Come amministratore, è possibile impostare le regole di trasporto che definiscono le condizioni per la crittografia. Quando un utente invia un messaggio che corrisponde a una regola, la crittografia viene applicata automaticamente. Per visualizzare messaggi crittografati, i destinatari possono ottenere un passcode monouso, accedere con un account Microsoft oppure accedere con un account aziendale o dell’istituto di istruzione associato a Office 365. I destinatari possono anche inviare risposte crittografate. Non devono essere titolari di un abbonamento a Microsoft 365 per poter visualizzare i messaggi crittografati o per inviare risposte crittografate. |
IRM è una soluzione di crittografia che applica anche limitazioni di utilizzo ai messaggi di posta elettronica. Consente di impedire che informazioni riservate vengano stampate, inoltrate o copiate da persone non autorizzate.I Le funzionalità IRM in Microsoft 365 usano Azure Rights Management (Azure RMS). |
S/MIME è una soluzione di crittografia basata su certificato che permette di crittografare e firmare digitalmente un messaggio. La crittografia del messaggio fa sì che solo il destinatario desiderato possa aprire e leggere il messaggio. Una firma digitale permette al destinatario di convalidare l’identità del mittente. Le firme digitali e la crittografia dei messaggi vengono entrambe rese possibili tramite l’uso di certificati digitali univoci che contengono le chiavi per la verifica delle firme digitali e per la crittografia o la decrittografia dei messaggi. Per usare S/MIME, è necessario avere chiavi pubbliche su file per ogni destinatario. I destinatari devono conservare le proprie chiavi private, che devono rimanere protette. Se le chiavi private di un destinatario vengono danneggiate, il destinatario deve ottenere una nuova chiave privata e distribuire nuovamente le chiavi pubbliche a tutti i potenziali mittenti. |
| Quali operazioni consente di eseguire la soluzione? | OME:OME: Consente di crittografare i messaggi inviati a destinatari interni o esterni. Consente agli utenti di inviare messaggi crittografati a qualsiasi indirizzo di posta elettronica, tra cui Outlook.com, Yahoo! Mail e Gmail. Consente all’amministratore di personalizzare il portale di visualizzazione della posta elettronica per riflettere il marchio dell’organizzazione. Microsoft gestisce e archivia in modo sicuro le chiavi per conto dell’utente. Se il messaggio crittografato (inviato come allegato HTML) può essere aperto in un browser, non è necessario alcun software specifico dal lato client. |
IRM:IRM: Usa la crittografia e le restrizioni di utilizzo per fornire protezione online e offline per i messaggi e gli allegati di posta elettronica. Fornisce all’amministratore la possibilità di configurare le regole di trasporto o le regole di protezione di Outlook per applicare automaticamente la protezione IRM per selezionare i messaggi. Consente agli utenti di applicare manualmente i modelli di Outlook o Outlook sul web (in precedenza noto come Outlook Web App). |
Autenticazione del mittente di indirizzi S/MIME con le firme digitali e riservatezza dei messaggi con la crittografia. |
| Quali sono le operazioni che la soluzione non consente? | OME non consente l’applicazione di limitazioni di utilizzo ai messaggi. Ad esempio, non è possibile utilizzare la soluzione per impedire a un destinatario di inoltrare o stampare un messaggio crittografato. | Alcune applicazioni potrebbero non supportare i messaggi di posta elettronica IRM su tutti i dispositivi. Per altre informazioni su questi e altri prodotti per il supporto della posta elettronica IRM, vedere Funzionalità del dispositivo client. | S/MIME non consente l’analisi dei messaggi crittografati per verificare la presenza di malware, posta indesiderata o dei criteri. |
| Consigli e scenari di esempio | È consigliabile utilizzare OME quando si desidera inviare informazioni aziendali riservate a persone esterne all’organizzazione, ovvero utenti o altre aziende. Ad esempio: Un dipendente di banca invia comunicazioni sulla carta di credito ai clienti. Un medico che invia cartelle cliniche a un paziente. Un avvocato invia informazioni legali riservate a un altro avvocato. |
Si consiglia di utilizzare IRM per applicare limitazioni di utilizzo e la crittografia. Esempio: Un responsabile che invia informazioni riservate al team su un nuovo prodotto applicando l’opzione “Non inoltrare”. Un dirigente che deve condividere una proposta di offerta con un’altra società, che include un allegato inviato da un partner che utilizza Office 365 e richiede che la posta elettronica e l’allegato siano entrambi protetti. |
Si consiglia di utilizzare S/MIME quando la propria organizzazione o quella del destinatario richiede una reale crittografia peer-to-peer. S/MIME viene utilizzato più comunemente nei seguenti scenari:
|
Quali sono le opzioni di crittografia disponibili per il vostro abbonamento di Microsoft 365?
Per informazioni sulle opzioni di crittografia disponibili con gli abbonamenti di Microsoft 365, vi rimando alla descrizione di questa tipologia di servizio su Exchange Online. In questo articolo sarà possibile trovare informazioni sulle seguenti funzionalità di crittografia:
- Azure RMS, OME (Office 365 Message Encryption) e le funzionalità di IRM
- S/MIME
- TLS
- Crittografia dei dati statici (tramite BitLocker)
L’espressione “dati statici” fa riferimento ai dati non attivamente in transito. In Microsoft 365, i dati di posta elettronica “statici” vengono crittografati tramite BitLocker.
CONCLUSIONI
La posta elettronica è uno strumento che utilizziamo in maniera frenetica per scambiarci informazioni altamente sensibili, viene quindi spontaneo pensare che sia obbligatorio pensare di dover proteggere al meglio queste informazioni in transito da un endpoint all’altro. Microsoft 365 tramite AIM e OME ci viene in aiuto al fine di proteggere al meglio queste informazioni. Nelle prossime puntante vedremo nel dettaglio la procedura per proteggere EXO tramite Office 365 Message Encryption.
Stay Tuned on Technical365!!