Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=email-encryption

Metodi di protezione dei messaggi

Sophos Email utilizza vari metodi per proteggere e cifrare i messaggi. Quando non è possibile utilizzare un metodo, passiamo a quello successivo, in ordine di sicurezza. L’ordine in cui vengono applicati i metodi di protezione può essere controllato.

In questa pagina viene descritto come funzionano i vari metodi e come interagiscono. Se non un metodo in particolare non dovesse essere disponibile, ne utilizzeremo uno diverso, a seconda dell’ambiente di origine e dell’ambiente con cui si comunica.

Nota

Per utilizzare questi metodi di protezione dei messaggi, occorre attivare TLS sul server e-mail o sul servizio di posta elettronica.

Svolgere questa operazione prima di configurare i metodi di protezione dei messaggi. In caso contrario, la connessione tra Sophos e il proprio server e-mail o servizio di posta verrà interrotta e non sarà possibile inviare o ricevere e-mail.

Consigliamo TLS 1.3. La stringa di cifratura è 'TLSv1.2+FIPS:kRSA+FIPS:!eNULL:!aNULL'. Per ulteriori informazioni, vedere Modalità FIPS e TLS.

In un criterio di Protezione dei messaggi, è possibile scegliere uno dei metodi descritti di seguito.

  • Proteggi con TLS: Questo metodo utilizza la cifratura delle e-mail tramite push utilizzando AES 256 durante il trasporto della posta elettronica. Gli utenti gestiscono le e-mail cifrate con il consueto client di posta elettronica.
  • Proteggi con S/MIME: I certificati e le chiavi vengono scambiati con le organizzazioni con cui si comunica. S/MIME firma i messaggi, ma non viene necessariamente applicata la cifratura.
  • Invia cifratura tramite push: Solo per i messaggi in uscita. Le e-mail cifrate sono convertite in file PDF e gli allegati vengono cifrati in modo nativo. Vengono quindi recapitati al client di posta elettronica degli utenti.
  • Portal Encryption: Solo per i messaggi in uscita. Con questo metodo, i messaggi e-mail cifrati vengono consegnati in Sophos Secure Message. I destinatari gestiscono le loro e-mail protette in Sophos Secure Message.

Autenticazione TLS

Transport Layer Security (TLS) previene le intercettazioni e le manomissioni dei messaggi in transito.

In un criterio di Protezione dei messaggi, è possibile scegliere quali versioni di TLS utilizzare. È anche possibile selezionare l’azione da eseguire se il mittente o il destinatario non ha la giusta versione di TLS o non supporta TLS.

  • TLS 1.3 preferibile: Se il mittente non supporta TLS 1.3, verrà utilizzato TLS 1.2.
  • TLS 1.3 obbligatorio: Se il mittente non supporta TLS 1.3, i messaggi verranno rifiutati. Come alternativa, i messaggi in uscita possono essere inviati con la cifratura tramite push.
  • TLS 1.2 obbligatorio: Se il mittente non supporta TLS 1.2, i messaggi verranno rifiutati. Come alternativa, i messaggi in uscita possono essere inviati con la cifratura tramite push.

Avviso

Se si seleziona TLS 1.3 obbligatorio o TLS 1.2 obbligatorio, verrà interrotta qualsiasi comunicazione e-mail su ogni versione di TLS diversa da quella selezionata.

Consigliamo di utilizzare TLS 1.3 preferibile, che effettuerà il tentativo di utilizzare TLS 1.3, passando a TLS 1.2, se necessario. Questa opzione è più flessibile e implica meno rischi di interruzione dello scambio di messaggi.

Se non dovesse essere possibile recapitare il messaggio su TLS, si può selezionare Fallback alla cifratura tramite push dell’intero messaggio, in modo che il messaggio venga inviato come e-mail cifrata tramite push.

Si può scegliere di autorizzare il recapito senza cifratura dei messaggi, se il mittente non supporta TLS. Non consigliamo questa opzione.

È anche possibile scegliere di verificare i certificati per le connessioni TLS in uscita. Se si seleziona TLS 1.3 obbligatorio o TLS 1.2 obbligatorio, è possibile cliccare su Verifica certificato. Il certificato TLS verrà verificato per garantire che sia stato emesso per il dominio del destinatario. Se il controllo non dovesse essere superato, il messaggio non verrà recapitato.

È possibile visualizzare i dettagli della versione TLS nella Cronologia dei messaggi. Nella Cronologia dei messaggi è possibile filtrare i messaggi selezionando Messaggio protetto nella Categoria e successivamente selezionando, in Sottocategoria, una versione TLS da utilizzare per il filtro.

TLS nella Cronologia dei messaggi.

Per maggiori informazioni sul messaggio, cliccare sull’oggetto per visualizzarne i dettagli. In Dettagli messaggio, passare il cursore del mouse sui tre puntini in Stato e si potrà constatare che la connessione è protetta su TLS. È anche possibile vedere la versione TLS in fase di autenticazione.

Nota

Se Sophos Email non dovesse essere stato in grado di verificare la firma della CA emittente, il Testo SMTP indicherà che il recapito con TLS non era attendibile.

Testo visualizzato quando si passa il cursore del mouse, che mostra TLS in Dettagli messaggio.

Configurazione della protezione S/MIME

È possibile proteggere i messaggi utilizzando S/MIME (Secure/Multipurpose Internet Mail Extensions). Protegge i messaggi in entrata, in uscita o entrambi.

Prima di poterla utilizzare nei criteri, occorre attivare e configurare la protezione S/MIME in Prodotti >Impostazioni generali > Impostazioni di S/MIME > Impostazioni Secure MIME. Vedere Impostazioni S/MIME.

È possibile verificare i messaggi in entrata, mettendoli a confronto con i certificati allegati alle e-mail.

Sophos Email Security non può verificare i messaggi in entrata firmati da un certificato autofirmato di una terza parte, fino a quando questa terza parte non invia il proprio certificato. Questi certificati devono essere caricati in Prodotti > Impostazioni generali > Impostazioni Secure MIME > Certificati S/MIME esterni. Vedere Certificati S/MIME esterni.

Se Sophos Email Security non ha tutti i certificati S/MIME necessari per cifrare e firmare un messaggio in uscita, cercheremo di cifrare il messaggio utilizzando come alternativa la Cifratura tramite push. Vedere Elaborazione dei messaggi in uscita.

È possibile decifrare i messaggi in entrata e cifrare i messaggi in uscita.

Si può scegliere tra le seguenti azioni da eseguire se un messaggio non supera un controllo S/MIME.

  • Quarantena, eliminazione o recapito delle e-mail in entrata con un messaggio aggiunto alla riga dell’oggetto per avvisare il destinatario.
  • Eliminazione, quarantena, recapito o rinvio al mittente delle e-mail in uscita.
  • Per i messaggi in uscita, è possibile selezionare Cifra tramite push l’intero messaggio al rilascio. Vedere Elaborazione dei messaggi in uscita.

Elaborazione dei messaggi in entrata

Per i messaggi in entrata, se si configura solo una delle opzioni S/MIME (Verifica messaggi in entrata o Decifra messaggi in entrata), viene elaborato solo il livello esterno del messaggio. Se l'opzione selezionata non trova corrispondenza con il tipo di messaggio in entrata, il messaggio non verrà recapitato.

Per i messaggi in entrata, è possibile impostare l’azione in caso di errore su Consegna, se si desidera che i messaggi vengano verificati o decifrati dopo che sono stati elaborati da Sophos Email Security. Ad esempio, un utente potrebbe avere certificati e chiavi private memorizzati nel proprio software di posta elettronica.

Ad esempio, se è stata selezionata l'opzione Verifica messaggi in entrata e il messaggio non è firmato, il messaggio non verrà recapitato. Oppure, se è stata selezionata Decifra messaggi in entrata e il messaggio non è cifrato, il messaggio non verrà recapitato.

Il modo in cui vengono elaborati i messaggi in entrata dipende dalle impostazioni S/MIME che sono abilitate.

Se si attiva Verifica messaggi in entrata e si disattiva Decifra messaggi in entrata, i messaggi vengono elaborati come segue.

Condizioni del messaggio in entrata Azioni
Cifrato, poi firmato.

Messaggio verificato e recapitato.

Se la verifica non ha esito positivo, eseguiamo l’azione che è stata specificata. Il messaggio non viene decifrato.
Firmato, poi cifrato. Nessuna azione S/MIME. Eseguiamo l’azione selezionata.
Firmato, non cifrato.

Messaggio verificato e recapitato.

Se la verifica non ha esito positivo, eseguiamo l’azione che è stata specificata.
Cifrato, non firmato. Nessuna azione S/MIME. Eseguiamo l’azione selezionata.
Non firmato e non cifrato. Nessuna azione S/MIME, messaggio recapitato.

Se si disattiva Verifica messaggi in entrata e si attiva Decifra messaggi in entrata, i messaggi vengono elaborati come segue.

Condizioni del messaggio in entrata Azioni
Cifrato, poi firmato. Nessuna azione S/MIME. Eseguiamo l’azione selezionata.
Firmato, poi cifrato.

Messaggio decifrato e recapitato.

Se la decifratura non ha esito positivo, eseguiamo l’azione di esito negativo selezionata.
Firmato, non cifrato. Nessuna azione S/MIME. Eseguiamo l’azione selezionata.
Cifrato, non firmato.

Messaggio decifrato e recapitato.

Se la decifratura non ha esito positivo, eseguiamo l’azione di esito negativo selezionata.
Non firmato e non cifrato. Nessuna azione S/MIME, messaggio recapitato.

Elaborazione dei messaggi in uscita

Se non è possibile utilizzare S/MIME, Sophos Email Security può recapitare i messaggi che sono stati cifrati con l’opzione Invia cifratura tramite push. Ad esempio, in alcuni casi Sophos Email Security potrebbe non avere tutti i certificati di cui ha bisogno per il funzionamento di S/MIME.

Per attivare questa funzionalità, procedere come segue:

  1. In Azione con esito negativo per i messaggi In uscita, selezionare Quarantena o Consegna.
  2. Selezionare Cifra tramite push l’intero messaggio al rilascio.

Se si seleziona Consegna e la cifratura S/MIME dà esito negativo, Sophos Email Security utilizzerà la Cifratura tramite push per cifrare il messaggio e lo invierà immediatamente.

Se si seleziona Quarantena e la cifratura S/MIME dà esito negativo, Sophos Email Security utilizzerà la Cifratura tramite push per cifrare il messaggio e lo invierà quando viene rilasciato dalla quarantena. Per maggiori informazioni sulla Cifratura tramite push, vedere Cifratura tramite push.

Cifratura tramite push

Invia cifratura tramite push converte le e-mail in file PDF. Gli utenti devono essere in grado di leggere i file PDF.

  • Nei file Microsoft Office, ZIP e PDF, la cifratura è integrata. Da questi file, potremmo generare più allegati.
  • Tutti gli altri file, ad esempio quelli di testo normale e HTML, vengono cifrati come file PDF. Il contenuto delle e-mail sarà cifrato come file PDF.
  • Occorrerà installare Adobe Reader per visualizzare le e-mail e gli allegati che sono stati cifrati.
  • È possibile visualizzare i messaggi e rispondere dai dispositivi mobili.

La prima volta che un utente riceve un’e-mail protetta, Sophos Secure Message invierà un’e-mail di notifica. L'e-mail di notifica contiene un link a Sophos Secure Message e richiede l'impostazione di una password per Sophos Secure Message. Il link nell'e-mail di notifica scade dopo 30 giorni.

Nota

Gli utenti possono utilizzare la password solo per le e-mail che provengono dalla stessa regione dell’e-mail originaria. Se gli utenti dovessero ricevere un'e-mail cifrata da un'altra regione, occorrerà impostare una password diversa.

Dopo aver impostato la password, l’utente riceverà l’e-mail protetta con Sophos, inclusi eventuali allegati cifrati. Per aprire l’e-mail protetta, l’utente dovrà immettere la password che ha impostato.

Gli utenti possono rispondere ai messaggi e-mail protetti utilizzando il loro client e-mail. Devono semplicemente cliccare su Risposta nel file PDF cifrato.

La procedura per gli utenti è identica, sia che sia stata selezionata l'opzione Cifra l'intero messaggio o Cifra solo gli allegati.

Portal Encryption

Per utilizzare Portal Encryption, occorre una licenza add-on Central Email Portal Encryption. Inoltre, occorre creare un nuovo criterio di Protezione dei messaggi.

La licenza add-on permette di personalizzare il branding delle e-mail per la cifratura e il portale Secure Message.

Se si attiva Portal Encryption, gli utenti gestiranno le e-mail protette da Sophos Secure Message.

La prima volta che un utente riceve un messaggio e-mail cifrato, Sophos Secure Message invia un'e-mail di notifica. L'e-mail di notifica contiene un link a Sophos Secure Message e richiede l'impostazione di un account Sophos Secure Message. Il link nell'e-mail di notifica scade dopo 30 giorni.

Nota

Gli utenti possono utilizzare l’account solo per le e-mail che provengono dalla stessa regione dell’e-mail protetta. Se gli utenti dovessero ricevere un’e-mail protetta da un’altra regione, dovranno impostare un altro account.

Dopo aver impostato l’account, l’utente dovrà accedere a Sophos Secure Message per leggere e rispondere alle e-mail protette.