Avviso M.I. 10.02.2022, n. 461
Adeguamento degli standard di sicurezza applicati alle caselle di posta del dominio @istruzione.it - Importanti implementazioni di sicurezza - impatti sulle applicazioni che si interfacciano con le caselle di posta delle scuole.
Vi comunichiamo che a decorrere dal giorno 1/10/2022 saranno finalizzate due attività che avranno importanti impatti sulle applicazioni che si interfacciano con le caselle di posta del dominio istruzione.it (comprese quelle assegnate alle scuole, ai DS e ai DSGA) o che inviano e-mail per conto di esse:
1) Microsoft ha comunicato ai propri clienti, che rimuoverà la possibilità di loggarsi utilizzando una "basic authentication" a favore di protocolli di autenticazione più aggiornati e affidabili: "modern authentication";
2) Al fine di minimizzare le possibilità di attacco informatico ai propri sistemi di posta, Il Ministero imposterà un filtro anti-spoofing, sul sistema di validazione dei messaggi di posta elettronica del proprio dominio (DMARC).
Di seguito si illustrano le informazioni necessarie per attivare le modalità tecniche di mitigazione degli impatti delle due attività.
A - Rimozione "basic authentication"
Microsoft ha comunicato che, nell'ambito delle iniziative di innovazione e di adeguamento ai protocolli standard in tema di sicurezza, a decorrere dal 1/10/2022 verranno sostituiti i meccanismi di "basic authentication" dei protocolli IMAP, POP e SMTP AUTH, a favore di meccanismi di autenticazione più evoluti, quali OAuth 2.0.
Di seguito alcuni dei link che Microsoft mette a disposizione per avere tutte le informazioni in merito al cambiamento e le istruzioni in caso di necessità di adeguamenti:
- https://techcommunity.microsoft.com/t5/exchange-team-blog/announcing-oauth-2-0-support-for-imap-and-smtp-auth-protocols-in/ba-p/1330432
- https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-september-2021-update/ba-p/2772210
- https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-auth-code-flow
- https://docs.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth
- https://docs.microsoft.com/it-it/lifecycle/end-of-support/end-of-support-2020
I produttori di software per le scuole dovranno richiedere, per il tramite della casella email relativa al SIIS (Sistema Informativo Integrato delle Scuole), l'assegnazione di un "ClientID" e di un "ClientSecret" che dovranno essere configurati nei rispettivi applicativi. L'applicativo dovrà inviare una richiesta di autenticazione all'endpoint esposto da Microsoft: https://login.microsoftonline.com/organizations/oauth2/v2.0/token con il "ClientID" ed il "ClientSecret" di cui sopra, gli scope standard (IMAP, POP e SMTP), il "grant_type" password e la username e password della casella di interesse.
La chiamata restituirà l'"access_token" da utilizzare per accedere alla casella come da documentazione sopra referenziata.
B - Configurazione del record DMARC a "quarantine"
Attualmente il Ministero dell'Istruzione ha opportunamente configurato i record SPF e DKIM afferenti al dominio di posta @istruzione.it. Pertanto solo le e-mail che vengono spedite per il tramite dei sistemi che il Ministero ritiene validi e affidabili (infrastruttura Microsoft e infrastruttura del CED) permettono il corretto flusso, in quanto riportano i controlli SPF e DKIM in pass.
Per lo stesso dominio il record DMARC è ad oggi configurato con parametro p=none quindi di fatto non attivo. A decorrere dal 1/10/2022 il parametro verrà impostato a p=quarantine e successivamente a p=reject. Le nuove impostazioni del parametro p del DMARC, faranno sì che i server destinatari delle e-mail inviate per conto di account sul dominio @istruzione.it non verranno recapitate in caso di DMARC "in fail".
Per ovviare a questo inconveniente le applicazioni dovranno pertanto interfacciarsi opportunamente con le caselle di posta, come indicato nel paragrafo precedente.