Iniziativa egovernment.net per l Italia

Iniziativa egovernment.net per l Italia Posta Elettronica Certificata

Le informazioni contenute in questo documento rappresentano la posizione di Microsoft Italia sugli argomenti discussi alla data della pubblicazione. Poiché Microsoft si adegua costantemente ai cambiamenti delle condizioni di mercato, tali informazioni non possono essere considerate impegni assunti da Microsoft, che non può garantire che queste informazioni non subiranno modifiche posteriormente alla data di questa pubblicazione. Questa pubblicazione è puramente informativa. MICROSOFT NON OFFRE ALCUNA GARANZIA, ESPLICITA O IMPLICITA, SUL CONTENUTO. Il rispetto di tutte le leggi applicabili in materia di copyright è esclusivamente a carico dell utente. Fermi restando tutti i diritti coperti da copyright, nessuna parte di questo documento potrà comunque essere riprodotta o inserita in un sistema di riproduzione o trasmessa in qualsiasi forma e con qualsiasi mezzo (in formato elettronico, meccanico, su fotocopia, come registrazione o altro) per qualsiasi scopo, senza il permesso scritto di Microsoft Italia. Microsoft, Outlook, Visual Studio e Windows sono marchi registrato di Microsoft Corporation. Tutti gli altri marchi registrati citati sono di proprietà delle rispettive società. Ogni riferimento a nomi, società, prodotti, persone, personaggi e/o dati esistenti utilizzati nel presente documento è puramente casuale. 2003 Microsoft Corporation. Tutti i diritti riservati. Posta Elettronica Certificata - 2

Indice Indice... 3 Interoperabilità e Posta Elettronica Certificata... 4 La posta elettronica certificata... 5 I soggetti coinvolti... 9 Anomalie... 10 La sicurezza dei messaggi... 11 Caratteristiche... 13 Accesso e Interoperabilità... 13 Sicurezza del Messaggio... 13 Sicurezza del recapito... 13 Flusso dell applicativo... 15 Architettura... 20 Architettura applicativa... 21 Transport Event Sink... 21 2 Filtri di Front End (Pre-processo)... 21 Filtro di Front End (PdA - PdR)... 22 Web Storage System Event Sink... 22 Filtro di Back End (PdA PdR PdC)... 23 LOG SQL Server... 23 L infrastruttura... 24 Dimensionamenti... 25 Domain Controller... 25 Exchange di Front End... 25 Cluster Node... 25 Evoluzione... 26 Riferimenti e Approfondimenti... 27 Posta Elettronica Certificata - 3

Interoperabilità e Posta Elettronica Certificata L informatizzazione delle pubbliche amministrazioni e l attivazione del protocollo informatico introduce l esigenza di consentire uno scambio di documenti in formato elettronico fra le stesse e fra le amministrazioni ed i cittadini/imprese. Dal punto di vista normativo la materia è regolamentata da: 1. DPR 445/2000 2. DPCM 31 ottobre 2000 n. 272 3. Circolare AIPA del 7 maggio 2001 AIPA/CR/28 e da numerosi documenti tecnici reperibili presso il sito del Centro Tecnico della Presidenza del Consiglio dei Ministri all indirizzo: www.ct.rupa.it/rete-rupa/posta-elet/index.htm In particolare l Allegato Tecnico del Centro Tecnico definisce le specifiche funzionali di un sistema di Posta Elettronica Certificata. Solo il pieno rispetto di quanto riportato in tale documento, e la relativa procedura di qualificazione presso il Centro Tecnico garantiscono la piena conformità di un sistema di Posta Elettronica Certificata. Il DPR 445/2000 regola nella Sezione III, la Trasmissione di documenti. Il comma 3 dell Articolo 14 introduce il concetto di equivalenza fra la trasmissione del documento informatico per via telematica e la notificazione per mezzo della posta nei casi consentiti dalla legge, purché la trasmissione avvenga con modalità che assicurino l'avvenuta consegna. Articolo 14 (R) Trasmissione del documento informatico 1. Il documento informatico trasmesso per via telematica si intende inviato e pervenuto al destinatario, se trasmesso all'indirizzo elettronico da questi dichiarato. 2. La data e l'ora di formazione, di trasmissione o di ricezione di un documento informatico, redatto in conformità alle disposizioni del presente testo unico e alle regole tecniche di cui agli articoli 8, comma 2 e 9, comma 4, sono opponibili ai terzi. 3. La trasmissione del documento informatico per via telematica, con modalità che assicurino l'avvenuta consegna, equivale alla notificazione per mezzo della posta nei casi consentiti dalla legge. Il DPCM 31 ottobre 2000 n. 272, relativo alle Regole tecniche per il protocollo informatico individua gli aspetti tecnici per l implementazione. Posta Elettronica Certificata - 4

In sintesi essi sono: l uso della posta elettronica in standard SMTP/MIME come strumento per la trasmissione l istituzione di una casella di posta elettronica istituzionale per ogni Area Organizzativa Omogenea (AOO) l uso di tale casella per lo scambio di documenti in formato elettronico l istituzione di un indice unico delle amministrazioni pubbliche e delle AOO accessibile tramite un sito Internet in grado di permettere la consultazione delle informazioni in esso contenute da parte delle amministrazioni e di tutti i soggetti pubblici o privati anche secondo una modalità compatibile con il protocollo LDAP definito nella specifica pubblica RFC 1777 e successive modificazioni o integrazioni lo scambio della segnatura di protocollo in formato XML, secondo la DTD definita nella circolare AIPA la protocollazione del messaggio ricevuto, da parte dell amministrazione destinataria, mediante le informazioni contenute nella segnatura informatica la possibilità per le amministrazioni di utilizzare altre modalità di trasmissione di documenti informatici purché descritte nel manuale di gestione Relativamente ai messaggi protocollati, la Circolare AIPA del 7 maggio 2001 AIPA/CR/28 ne individua al punto 2 la composizione: Un messaggio protocollato, creato ed inviato da una AOO mittente è una struttura composita, che aggrega diverse parti: a) un documento informatico primario; b) un numero qualsiasi di documenti informatici allegati; c) una segnatura informatica. La stessa circolare prevede al punto 6, che siano disponibili, oltre ai messaggi di posta elettronica in ingresso e uscita, i cosiddetti messaggi di ritorno. È possibile distinguere quattro tipi di messaggio di ritorno: a) messaggio di conferma di ricezione; b) messaggio di notifica di eccezione; c) messaggio di aggiornamento di conferma; d) messaggio di annullamento protocollazione. La posta elettronica certificata Questa premessa normativa è indispensabile per introdurre il concetto di Posta Elettronica Certificata. Posta Elettronica Certificata - 5

Con tale termine si intende individuare quella serie di componenti che consentono di dare valenza giuridica al servizio di posta SMTP/MIME, cioè al tradizionale servizio di posta elettronica. La posta elettronica diventa quindi lo strumento privilegiato per lo scambio di messaggi e documenti fra le pubbliche amministrazioni e fra queste ed i cittadini o le imprese. Per questo motivo deve essere garantita: l indipendenza dal client di posta utilizzato la trasparenza rispetto alla natura del messaggio (ad esempio un messaggio da una pubblica amministrazione verso un'altra sarà protocollato, mentre quello di un cittadino verso una pubblica amministrazione no) Il servizio di Posta Elettronica Certificata può essere paragonato al servizio delle raccomandate con ricevuta di ritorno del servizio postale tradizionale. Intende quindi garantire: la garanzia del recapito l opponibilità a terzi della provenienza e recapito del messaggio Per individuare i componenti necessari alla realizzazione di un sistema di posta certificata, nel seguito viene riportato un raffronto con la posta tradizionale. Il servizio postale nel gestire le raccomandate effettua schematicamente le seguenti operazioni: presa in carico della raccomandata da inoltrare rilascio al mittente della ricevuta attestante la presa in carico registrazione della presa in carico inoltro della raccomandata dall ufficio di presa in carico ricezione della raccomandata dall ufficio di ricezione consegna al destinatario registrazione della consegna al destinatario inoltro al mittente della ricevuta di ritorno La descrizione dei componenti implementati nella posta elettronica certificata per l esecuzione di tali attività viene effettuata riportando in corsivo le definizioni tratte dall Allegato tecnico alle linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificata. Messaggio originale È il messaggio originale inviato da un utente di posta certificata prima del suo arrivo al punto di accesso. Il messaggio originale è consegnato all utente di posta certificata di destinazione per mezzo di un messaggio di trasporto che lo contiene. Punto di accesso È il punto che fornisce i servizi di accesso per l invio di messaggi di posta certificata. Il punto di accesso fornisce i servizi di accesso dell utente, Posta Elettronica Certificata - 6

emissione della ricevuta di accettazione, imbustamento del messaggio originale nel messaggio di trasporto. Ricevuta di accettazione È la ricevuta, contenente i dati di certificazione, rilasciata al mittente dal punto di accesso a fronte dell invio di un messaggio di posta certificata. La ricevuta di accettazione è firmata con la chiave del gestore di posta certificata del mittente. L analogia può essere effettuata con l Ufficio postale al quale ci si reca per l inoltro di una raccomandata (il messaggio originale). L Ufficio postale rilascia una ricevuta di accettazione e successivamente provvede all inoltro della raccomandata. La consegna della raccomandata all Ufficio postale è a cura del mittente. Nel caso del servizio di posta elettronica certificata, il punto di accesso di un amministrazione è in genere interno all amministrazione stessa, mentre un cittadino che intende inoltrare un messaggio di posta certificata dovrà rivolgersi ad un terzo, fornitore di questo tipo di servizio. Punto di ricezione È l entità che riceve il messaggio all interno di un dominio di posta certificata. Corrisponde alla macchina destinata alla ricezione dei messaggi per il dominio. Effettua i controlli sulla provenienza/correttezza del messaggio ed emette la ricevuta di presa in carico, imbusta i messaggi errati in un messaggio di anomalia di trasporto. Ricevuta di presa in carico È emessa dal punto di ricezione verso il gestore di posta certificata mittente per attestare l avvenuta presa in carico del messaggio da parte del dominio di posta certificata di destinazione. Nella ricevuta di presa in carico sono inseriti i dati di certificazione per consentirne l associazione con il messaggio a cui si riferisce. L analogia può essere effettuata con l Ufficio postale di destinazione, che riceve la raccomandata. L Ufficio di destinazione non inoltra nulla al mittente della raccomandata. Anche nel caso della posta certificata non vi è comunicazione al mittente, ma solo verso il gestore di posta certificata mittente. Posta Elettronica Certificata - 7

Punto di consegna Effettua la consegna del messaggio nella casella di posta elettronica dell utente di posta certificata destinatario. Verifica la provenienza/correttezza del messaggio, emette la ricevuta di avvenuta consegna. Ricevuta di avvenuta consegna Il punto di consegna emette al mittente la ricevuta di avvenuta consegna nel momento in cui il messaggio è inserito nella casella di posta certificata del destinatario. È rilasciata una ricevuta di avvenuta consegna per ogni destinatario al quale il messaggio è consegnato. La ricevuta di avvenuta consegna porta in allegato i dati di certificazione e, per i destinatari primari del messaggio, il messaggio. Casella di posta certificata È una casella di posta elettronica alla quale è associata una funzione che rilascia delle ricevute di avvenuta consegna al ricevimento di messaggi di posta certificata. Una casella di posta certificata può essere definita esclusivamente all interno di un dominio di posta certificata. L analogia può essere effettuata con il postino che consegna a destinazione la raccomandata nelle mani del destinatario e fa firmare la ricevuta di ritorno ed il registro di avvenuta consegna. Non sempre l inoltro di una raccomandata va a buon fine; ad esempio il destinatario si è trasferito oppure l indirizzo è errato. In questo caso, per la posta certificata si ha l emissione di una : Ricevuta di errore di consegna Nel caso in cui il punto di consegna sia impossibilitato a consegnare il messaggio nella casella di posta certificata del destinatario, il sistema emette una ricevuta di errore di consegna per indicare l anomalia al mittente del messaggio originale. Il gestore delle poste provvede a registrare tutte le attività svolte (dalla presa in carico della raccomandata fino alla consegna); è infatti possibile anche in tempi successivi verificare se una raccomandata è stata consegnata facendo specifica richiesta alle poste. Analogamente il servizio di posta elettronica certificata deve provvedere a mantenere traccia delle operazioni svolte. Log Durante le fasi di trattamento del messaggio presso i punti di accesso, ricezione e consegna, il sistema deve mantenere traccia delle operazioni svolte. Tutte le attività sono memorizzate su un registro riportante i dati significativi Posta Elettronica Certificata - 8

I soggetti coinvolti Quanto fino ad ora descritto consente di individuare tre principali soggetti coinvolti nel processo di gestione della posta elettronica certificata: 1. un mittente, cioè colui che inoltra il messaggio (o la raccomandata nel caso di posta tradizionale) 2. un destinatario, cioè colui che riceve il messaggio (o la raccomandata nel caso di posta tradizionale) Il mittente ed il destinatario possono essere utenti di posta elettronica certificata. Il mittente ed il destinatario potrebbero non essere utenti di posta elettronica certificata (ad esempio un cittadino che desideri inoltrare un messaggio ad una pubblica amministrazione non utilizzando un servizio di posta elettronica certificata offerto da terzi); in questo caso il servizio viene erogato parzialmente. Utente di posta certificata È un utente a cui è assegnata una casella di posta certificata. Utilizza il punto di accesso del proprio gestore di posta certificata per inviare messaggi di posta 3. un gestore del servizio (le poste nel caso di posta raccomandata). Il gestore del servizio di posta elettronica certificata può essere un soggetto pubblico, ma anche un soggetto privato. Dominio di posta certificata Corrisponde ad un dominio DNS dedicato alle caselle di posta elettronica degli utenti di posta certificata. All interno di un dominio di posta certificata tutte le caselle di posta elettronica devono appartenere ad utenti di posta certificata. L elaborazione dei messaggi di posta certificata (ricevute utente, messaggi di trasporto, ecc.) deve avvenire anche nel caso mittente e destinatario appartengano allo stesso dominio di posta certificata. Gestore di posta certificata È un entità che gestisce uno o più domini di posta certificata con i relativi punti di accesso, ricezione e consegna. È titolare della chiave usata per la firma delle ricevute e dei messaggi di trasporto. Si interfaccia con altri gestori di posta certificata per l interoperabilità con altri utenti di posta. Fra i compiti del gestore del servizio, oltre alla consegna del messaggio, vi è anche quello di garantire che lo stesso arrivi integro al destinatario. Per far questo al messaggio originale vengono associati dei dati di certificazione. Dati di certificazione Sono un insieme di dati che descrivono il messaggio originale e sono certificati dal gestore di posta certificata del mittente. I dati di certificazione sono inseriti nelle varie ricevute e sono trasferiti all utente di posta certificata di destinazione insieme al messaggio originale per Posta Elettronica Certificata - 9

mezzo di un messaggio di trasporto. Tra i dati di certificazione sono: data ed ora di invio, mittente, destinatario, oggetto, identificativo messaggio. I dati di certificazione, uniti al messaggio originale inoltrato dal mittente, compongono il messaggio di trasporto. Messaggio di trasporto È il messaggio creato dal punto di accesso, all interno del quale è inserito il messaggio originale inviato dall utente di posta certificata ed i relativi dati di certificazione. Il messaggio di trasporto è firmato con la chiave del gestore di posta certificata mittente. Il messaggio di trasporto è consegnato immodificato nella casella di posta certificata di destinazione per permettere la verifica dei dati di certificazione da parte del ricevente. Il gestore del servizio di posta elettronica certificata deve garantire l interoperabilità con servizi di posta elettronica certificata di altri gestori. Questo viene garantito anche dalla disponibilità di un pubblico elenco dei gestori dei servizi di posta elettronica certificata. Indice dei gestori di posta certificata Consiste in un server LDAP posizionato in un area raggiungibile dai vari gestori di posta certificata. Contiene l elenco dei domini e dei gestori di posta certificata con i relativi certificati relativi alle chiavi usate per la firma delle ricevute e dei messaggi di trasporto. Anomalie Come anticipato in precedenza gli utenti, mittente e destinatario non devono necessariamente essere entrambi utenti di posta elettronica certificata. La gestione di questa anomalia del servizio viene effettuata mediante la generazione di appositi messaggi nel caso in cui sia il mittente a non utilizzare il servizio di posta elettronica certificata (oppure quando il messaggio ha delle incongruenze formali tali da non far passare correttamente i controlli). Messaggio di anomalia di trasporto Quando un messaggio errato/non di posta certificata deve essere consegnato ad un utente di posta certificata, il messaggio è inserito in un messaggio di anomalia di trasporto per evidenziare l anomalia al destinatario. Il messaggio di anomalia di trasporto è firmato con la chiave del gestore di posta certificata del destinatario. Nel caso in cui sia il destinatario a non utilizzare un servizio di posta elettronica certificata, tutto il processo si svolge normalmente salvo la mancata emissione delle ricevute da parte del destinatario. Posta Elettronica Certificata - 10

La sicurezza dei messaggi I messaggi che vengono inoltrati mediante l uso della posta elettronica certificata possono essere firmati digitalmente dal mittente ed eventualmente protetti mediante crittografia. Queste operazioni sono aggiuntive ed antecedenti alla consegna del messaggio al servizio di posta elettronica certificata; esse sono quindi a cura del mittente. La firma da parte del mittente ne garantisce l autenticità; la crittografia garantisce che il messaggio non possa essere letto se non dai destinatari dello stesso. La garanzia della integrità del messaggio è invece una componente propria del servizio di posta elettronica certificata. Posta Elettronica Certificata - 11

La soluzione Microsoft di Posta Elettronica Certificata La soluzione di Posta Elettronica Certificata sviluppata da Microsoft, è rivolta a quanti desiderino implementare un servizio di Posta Elettronica Certificata per divenire dei Gestori di Posta Elettronica Certificata. La soluzione è rispondente ai requisiti richiesti dall Allegato Tecnico riportato sul sito del Centro Tecnico della Presidenza del Consiglio dei Ministri all indirizzo (www.ct.rupa.it/rete-rupa/posta-elet/index.htm). Questa soluzione è stata la prima disponibile sul mercato ad avere superato tutte le prove formali per la verifica dell interoperabilità per i servizi di Posta Elettronica Certificata. Informazioni di dettaglio si possono reperire all indirizzo sopra indicato. La soluzione ha come obiettivo quello di realizzare il Sistema Ufficiale per l invio di messaggi di posta elettronica con validità legale (con o senza allegati), spediti da un Amministrazione verso un altra Amministrazione (Gov-to-Gov) La soluzione è anche in grado di poter supportare le comunicazioni ufficiali da e verso i cittadini (Gov-to-Citizen e Citizen-to-Gov). La soluzione di Posta Elettronica Certificata realizzata da Microsoft è stata progettata per : assicurare elevate caratteristiche di sicurezza totale rispondenza alle normative sulla trasmissione dei documenti informatici totale interoperabilità con le soluzioni analoghe, realizzate anche su altre piattaforme. Utilizzando la tecnologia della firma digitale ed i servizi di certificazione digitale, la soluzione di Posta Elettronica Certificata è in grado di garantire, infine, l identità del mittente e la confidenzialità della comunicazione. Questa soluzione è stata realizzata utilizzando come riferimento l allegato tecnico e tutta la documentazione sopra indicata, che descrive in modo dettagliato le funzionalità richieste, e che a sua volta recepisce le indicazioni del DPR 445/2000 e del Testo Unico sulla documentazione amministrativa, che dovranno essere utilizzate da tutti gli eventuali fornitori di una soluzione di Posta Elettronica Certificata che intendano realizzare una simile infrastruttura, ed in coerenza con quanto indicato nell avviso per la selezione di progetti per l egovernment. Posta Elettronica Certificata - 12

Caratteristiche Accesso e Interoperabilità La soluzione di Posta Elettronica Certificata può essere utilizzata dall utente attraverso l utilizzo di molteplici sistemi di accesso: tramite un qualunque client di posta elettronica in grado di usare IMAP4/POP3 e SMTP, funzionante su qualunque sistema operativo. usando un sistema di web-mail accessibile attraverso un qualsiasi Internet Browser su qualunque piattaforma In particolare il sistema è stato testato su: o Microsoft Outlook Express 5.0 e 6.00; o Microsoft Outlook 2000 e 2002; o Microsoft Internet Explorer 5.x e 6.x o Netscape 7.01; o Mozilla 1.0.2; o Mahogany 0.64A; o Lotus Notes client 6.0; o Opera 5.02; o Eudora 5.2 Email; Sicurezza del Messaggio Il colloquio della stazione client con il sistema di Posta Elettronica Certificata deve avvenire tramite protocollo sicuro SSL, a garanzia della riservatezza della comunicazione. Il sistema di Posta Elettronica Certificata firma con un proprio certificato la busta elettronica che contiene il messaggio. Questo per dare evidenza al destinatario della corretta integrità del messaggio ricevuto. Il messaggio può anche essere firmato digitalmente dal mittente, a garanzia dell identità dello stesso. Il mittente può, infine, crittografare il messaggio garantendone anche l assoluta riservatezza. Sicurezza del recapito La soluzione di Posta Elettronica Certificata garantisce l avvenuta consegna del messaggio. Infatti il mittente riceve dal proprio server una prima ricevuta di accettazione (RdA) e riceve, dal server destinatario, anche una ricevuta di avvenuta consegna (RdAC), emessa a fronte della consegna del messaggio nella casella di arrivo. Posta Elettronica Certificata - 13

Tutte le ricevute, inclusa la busta digitale che viene consegnata al destinatario, sono corredate da un'attestazione temporale e da una firma digitale e qualsiasi operazione effettuata dai server viene tracciata. Tutte le tracce vengono registrate e conservate nel tempo da parte del provider di Posta Elettronica Certificata. L interoperabilità con gli altri fornitori di Posta Elettronica Certificata, infine, garantisce invio e ricezione di messaggi certificati a/da qualsiasi utente di Posta Elettronica Certificata. Sul sito del Centro Tecnico della Presidenza del Consiglio dei Ministri, nella sezione dedicata alla Posta Elettronica Certificata, è presente un elenco dei gestori i cui sistemi hanno passato tutte le prove di interoperabilità. Posta Elettronica Certificata - 14

Flusso dell applicativo Di seguito è riportato sinteticamente il flusso dei requisiti funzionali che rispecchia quanto riportato nella parte introduttiva. Per semplicità espositiva, di seguito si farà riferimento a due domini di Posta Elettronica Certificata distinti. Di fatto questi possono anche coincidere, ovvero l intero flusso deve avere luogo anche nel caso in cui mittente e destinatario appartengano al medesimo domino di posta elettronica certificata. Come già anticipato, la Posta Elettronica Certificata è una evoluzione del concetto di Raccomandata Postale, dove un mittente ha la necessità di consegnare un documento ad un destinatario. Il sistema di certificazione legale del sistema postale, con i timbri postali apposti sulle ricevute garantisce il mittente dell avvenuta presa in carico da parte del sistema postale e della eventuale avvenuta consegna al destinatario. Lo schema generale del flusso è sintetizzato nello schema seguente, riportato nel già citato Allegato tecnico: Dominio mittente Ricevuta di presa in carico Messaggio di trasporto Dominio destinatario Ricevuta di accettazione 1b Punto di accesso 2a 2b Punto di ricezione 1a 3 Messaggio originale Utente (invio) Punto di consegna 4a Store 4b 5 Ricevuta di avvenuta consegna Utente (ricezione) Posta Elettronica Certificata - 15

Il flusso inizia dall Utente (invio), in pratica il mittente. Questi deve spedire un documento a Utente (ricezione), il destinatario. Il mittente, utilizzando uno dei client testati, prepara un messaggio di posta elettronica, includendo gli eventuali allegati, ed eventualmente firmando digitalmente e/o crittografando il testo. Questo messaggio prende il nome di Messaggio Originale. [1a] Il Messaggio Originale viene spedito, utilizzando il protocollo SMTP a un server del gestore, che prende il nome di Punto di Accettazione o di Accesso (PdA). [1b] Il PdA emette un messaggio di ricevuta indirizzato al mittente. Questo messaggio si chiama Ricevuta di Accettazione (RdA), ed è firmato digitalmente da un utente <posta-certificata@dominio_gestore_mittente>. La RdA equivale legalmente alla ricevuta che viene consegnata all ufficio postale quando si spedisce una raccomandata. All interno del messaggio ci sono tutti i dati del Messaggio Originale, più un file XML allegato, necessario per una eventuale elaborazione delle ricevute, contenente tutti i dati della ricevuta. [2a] Il PdA emette un messaggio, chiamato Messaggio di Trasporto (MdT) indirizzato al destinatario originale. L MdT è firmato digitalmente dall utente <posta-certificata@dominio_gestore_mittente> e contiene in allegato il Messaggio Originale e il file XML. L MdT di fatto è una busta elettronica all interno della quale viaggia il Messaggio Originale. L integrità della busta, e quindi l integrità del suo contenuto, è garantita dal certificato con cui è firmata. A questo punto il messaggio MdT viaggia tra i sistemi, siano essi i sistemi di interconnessione della Pubblica Amministrazione, siano essi i sistemi Internet, e arriva al dominio del destinatario. Qui l MdT viene ricevuto da un sistema chiamato Punto di Ricezione (PdR). [2b] Il PdR emette un messaggio di ricevuta indirizzato a un utente chiamato <presa-in-carico@dominio_gestore_mittente> e firmato digitalmente da <posta-certificata@dominio_gestore_destinatario>. Questo messaggio prende il nome di Ricevuta di Presa in Carico (RdPiC). Anche la RdPiC, come tutte le altre ricevute porta in allegato il file. L RdPiC è l unica ricevuta del flusso che non torna al mittente o che non va al destinatario. Il suo scopo è quella di gestire il trasferimento di responsabilità sull oggetto in transito tra diversi domini. [3] Il PdR effettua tutta una serie di controlli formali sul messaggio MdT in arrivo e, qualora tutti i controlli fossero passati con successo, inoltra l MdT verso un sistema chiamato Punto di Consegna (PdC). [4a] Il PdC è il sistema che contiene di fatto le mailbox degli utenti, tra cui il destinatario del Messaggio Originale. Effettua una seconda serie di controlli formali e, qualora tutti i controlli fossero superati con successo, scrive l MdT nella cassetta postale del destinatario. [4b] Solo dopo che lo storage ha effettuato con successo la scrittura dell MdT, il PdC emette un messaggio di ricevuta, indirizzato al mittente, che prende il nome di Ricevuta di Avvenuta Consegna (RdAC). L RdAC è Posta Elettronica Certificata - 16

firmata digitalmente da <posta-certificata@dominio_gestore_destinatario> e porta in allegato l XML e l intero Messaggio Originale, per riferimento del destinatario. [5] Il destinatario, infine può collegarsi alla propria casella di posta elettronica sul PdC, utilizzando uno dei client testati, e ricevere l MdT. Sarà a sua cura estrarre il Messaggio Originale e i suoi eventuali allegati. Il destinatario ha la certezza che quanto consegnato dal mittente al sistema non è stato modificato nel transito, in quanto con la verifica della firma digitale, nel caso di manomissione il client che utilizza lo avvertirebbe che la firma del MdT è tampered, ovverosia manomessa. Il mittente ha la certezza che quanto inviato è stato accettato dal sistema, a fronte della ricezione della RdA e che in seguito è stato recapitato al destinatario a fronte della ricezione della RdAC. Modifiche al flusso sopra descritto possono verificarsi qualora ci sia un messaggio proveniente da un utente di posta non certificata o che comunque non passi i Dominio esterno Dominio destinatario Messaggio di posta non certificata Utente (invio) 1 Punto di ricezione 2 Messaggio di anomalia di trasporto Punto di consegna 3 Store 4 Utente (ricezione controlli formali previsti dal PdR. In questo caso il flusso, dal PdR viene modificato come segue: Posta Elettronica Certificata - 17

[1] Il PdR riceve un messaggio di posta non certificata indirizzato a un utente di Posta Elettronica Certificata, oppure un messaggio che sembra un MdT di Posta Elettronica Certificata, indirizzato a un utente di Posta Elettronica Certificata ma che ha delle incongruenze formali tali da non far passare correttamente i controlli. [2] Il PdR emette un nuovo messaggio che prende il nome di Anomalia di Trasporto (AdT). L AdT è firmato da un utente chiamato <postacertificata@dominio-gestore-destinatario> ed è indirizzata al destinatario della mail originale. L AdT viene inviata al PdC per la consegna. [3] Il PdC verifica che la mail è una AdT e quindi non effettua alcun ulteriore controllo e la consegna nella casella postale del destinatario. [4] Il destinatario, infine può collegarsi alla propria casella di posta elettronica sul PdC, utilizzando uno dei client testati, e ricevere l AdT. Sarà a sua cura estrarre il Messaggio Originale e i suoi eventuali allegati e trattare opportunamente ciò che ha ricevuto. A fronte di una AdT al mittente non viene inviata alcuna ricevuta di consegna. Un caso ulteriore è quello in cui un utente di Posta Elettronica Certificata spedisca una mail indirizzata a un utente di posta non certificata. Dominio mittente Dominio esterno Messaggio di trasporto Ricevuta di accettazione 1b Punto di accesso 2a Utente (ricezione 1a Messaggio originale Utente (invio) Posta Elettronica Certificata - 18

In questo caso, sino alla emissione di un MdT e al suo invio verso il dominio destinatario, la situazione è analoga a quanto avviene normalmente. La differenza è che il dominio di destinazione non ha un PdR e un PdC, quindi il destinatario riceverà un MdT e al mittente non verrà consegnata alcuna RdAC. Posta Elettronica Certificata - 19

Architettura Rispetto ad un servizio di posta elettronica tradizionale, la posta elettronica certificata richiede la presenza di ulteriori funzionalità, quali ad esempio la registrazione puntuale di tutte le attività (da archiviare in un apposito database) e la gestione automatica delle ricevute di ritorno. Queste funzionalità possono essere implementate introducendo uno specifico livello applicativo che si integri con le funzionalità base di un server di posta. La soluzione Microsoft di Posta Elettronica Certificata è stata interamente sviluppata attraverso l utilizzo di tecnologia Microsoft: Windows 2000 Advanced Server, Exchange 2000 Enterprise Edition, SQL Server 2000,.NET Framework. Il livello applicativo è stato interamente scritto in C# per massimizzare l integrazione con il framework.net e per ottenere prestazioni che siano in grado di poter gestire il carico richiesto, anche in presenza di una utenza molto numerosa. Firewall - Filtro Cambio Message-ID - Filtro PDA / PDR Exchange FrontEnd Exchange FrontEnd GlobalCatalog GlobalCatalog Exchange BackEnd Cluster SQL2000 - Filtro PDA / PDR / PDC - DB per LOG Posta Elettronica Certificata - 20

Architettura applicativa Lo sviluppo della soluzione è stato effettuato tutto in C# sul.net Framework. Sono stati sviluppati 4 oggetti: 2 Filtri di FE [Transport Event Sink FE (pre-processo)] Filtro di FE [Transport Event Sink FE (PDA-PDR)] Filtro di BE [Storage Event Sink BE (PDA-PDR-PDC)]. Transport Event Sink Il server SMTP nativo di Windows 2000 espone un architettura per sviluppare dei filtri chiamati Transport Event Sink, ovvero del codice che può essere istanziato qualora si verifichino determinate condizioni sui messaggi in transito. Un esempio comune di un evento sul trasporto è l arrivo di un messaggio al servizio SMTP, sia tramite la rete sia tramite la pickup directory. Quando avviene un evento sul trasporto, viene eseguito un Event Sink in funzione del tipo di evento o del contenuto del messaggio. Il termine evento sincrono significa che la sorgente dell evento non effettua altre operazioni con i dati del messaggio dopo averlo passato all Event Sink, sino a quando questo non lo rilascia. In altre parole, la sorgente è bloccata per la durata dell esecuzione del sink. Quando il sink è in esecuzione, ha l esclusivo controllo dei dati del messaggio e del suo stato. L architettura dell SMTP Event Sink è basata sul Component Object Data Model (COM). Un transport Event Sink è definito come qualsiasi oggetto COM che implementi l interfaccia appropriata per l evento. Un event source è definita come un processo o un thread che notifica i sink usando il run time COM quando avviene un particolare evento. La sorgente non necessita di alcuna informazione sui dettagli interni del sink: unica necessità è che il sink sia un oggetto COM e che sia implementato usando l interfaccia COM richiesta. 2 Filtri di Front End (Pre-processo) Il pre-processore di ricezione è realizzato come due distinti filtri Transport Event Sink dell SMTP, registrati sull evento OnInBoundCommand e vengono installati sui server di front end. Il loro scopo è quello di effettuare un pre-filtering dei messaggi provenienti dai client, e infatti gira sulle macchine che hanno il ruolo di Punto di Accettazione. Durante questa fase di pre-elaborazione, i filtri verificano i messageid dei messaggi entranti dai client SMTP e li ribattono secondo lo standard indicato nell allegato tecnico (<guid>@dominio_posta_certificata>). Questo è necessario Posta Elettronica Certificata - 21

per evitare che sia possibile far entrare nel sistema di Posta Elettronica Certificata due diversi messaggi che possano avere lo stesso MessageID, e quindi invalidare la validità del sistema di tracciamento. Un altro scopo dei filtri di pre-processo è quello di verificare l integrità e la non manomissione (tampering) dei messaggi in ingresso da enti terzi di Posta Elettronica Certificata. Filtro di Front End (PdA - PdR) Il principale filtro sul trasporto SMTP della Posta Elettronica Certificata è realizzato come un Event Sink, registrato sull evento OnArrival. Scopo di questo filtro è quello di erogare i servizi di Punto di Accettazione (PDA) e da Punto di Ricezione (PDR): emissione della ricevuta di accettazione (RdA), creazione ed emissione del Messaggio di trasporto (MdT) e ricezione dell MdT con tutti i controlli formali a esso associati. Una DLL opportunamente chiamata dal filtro ha lo scopo di effettuare le firme dei messaggi (Ricevute, trasporto, etc.) e di verificare le firme dei messaggi in ingresso, utilizzando l interfaccia CAPICOM per effettuare chiamate ai Cryptographic Service Provider e alle CryptoAPI di Windows 2000. Web Storage System Event Sink Analogamente a quanto avviente per i Transport Event Sink dell SMTP di Windows 2000, il sistema di Web Storage System Events di Exchange 2000 espone un meccanismo attraverso il quale le applicazioni possono eseguire del codice qualora un oggetto sia salvato, cancellato, spostato, copiato o modificato all interno dello storage di Exchange 2000. Gli eventi del Web Storage System vengono eseguiti sul server e sono totalmente indipendenti dal client che ha scatenato l evento. Il Web Storage System espone una ampia varietà di differenti eventi. Questi possono essere suddivisi in sincroni, asincroni ed eventi di sistema. Le applicazioni che utilizzano il Web Storage System sono create usando un meccanismo di gestione eventi attraverso degli Event Sink. Questi sono dei pezzi di codice che sono attivati in seguito a eventi ben definiti, come la ricezione di un nuovo messaggio. Un applicazione che faccia uso, come la Posta Elettronica Certificata, di eventi sincroni, può effettuare delle elaborazioni sul messaggio o comunque sull oggetto in arrivo prima che questo venga scritto sullo storage. Gli eventi sincroni avvengono nel contesto di una transazione locale. Ciò significa che sono chiamati una volta prima e una volta dopo che la transazione ha superato la fase di Commit. La prima volta che l event sink viene chiamato viene definita la Begin Phase. Durante questa fase, l event sink ha il pieno accesso in lettura/scrittura all oggetto che ha causato l evento. La seconda volta che l event sink viene chiamato viene definita la fase di Commit o di Abort. Durante questa Posta Elettronica Certificata - 22

fase l oggetto è read-only. Un esempio di una applicazione che usi il Sync Save potrebbe essere quella che effettui una validazione dei dati prima di effettuarne il salvataggio. Il Web Storage System su Exchange 2000 è provvisto di due eventi sincroni: SyncSave e SyncDelete. Il SyncSave viene chiamato quando un oggetto viene salvato o inviato allo storage. Filtro di Back End (PdA PdR PdC) Il filtro sullo storage di back end della Posta Elettronica Certificata è realizzato con un Event Sink sincrono, attivato sull evento OnSyncSave. Quest ultimo filtro, implementato come un oggetto COM+, è quindi istanziato come un normale package. La stessa DLL che nel filtro SMTP si occupa della firma dei messaggi è qui istanziata come package COM+. Questo filtro è in grado di erogare i servizi di Punto di Consegna (PdC), ma anche di Punto di Accettazione (PdA) e da Punto di Ricezione (PdR) per i clienti della webmail Outlook Web Access (OWA). Per questo motivo deve lavorare sulle macchine in cluster del back end. Essendo Exchange installato in modalità active-passive, la componente del filtro segue Exchange, e di conseguenza anch essa lavorerà in configurazione activepassive sul cluster. In virtù di ciò, delle due macchine che compongono il cluster, una erogherà servizi di Exchange + storage filter, l altra eseguirà SQL Server. LOG SQL Server Tutte le componenti di Posta Elettronica Certificata, in tutte le varie fasi, tracciano secondo specifiche tutti i vari flussi in un opportuno database su SQL Server. In questo database sono contenuti tutti i dati necessari a identificare la singola azione e il singolo server, uniti ai codici di MessageID e di marcatura temporale. Un opportuno eseguibile, caricabile su un qualsiasi server o workstation, è in grado di effettuare una query al database ed estrarre i dati nel formato testuale richiesto dalle specifiche. Il file di testo poi sarà archiviato a cura del gestore e la sua manutenzione è a carico del gestore stesso. Posta Elettronica Certificata - 23

L infrastruttura Lo schema sotto riportato sintetizza l architettura di sistema minima consigliata: 2 Windows 2000 Server, Domain Controller Global Catalog posizionati nel back end 2 Windows 2000 Advanced Server di front end, con Exchange 2000 Enterprise Edition in bilanciamento di carico software (NLB) 1 cluster MSCS (Microsoft Cluster Service) basato su due Windows 2000 Advanced Server, con Exchange 2000 Enterprise Edition in configurazione active-passive e un SQL 2000 Enterprise Edition anch esso in configurazione active-passive. Rete esterna / Internet FE EX FE EX DC DC BE EX BE SQL Data L infrastruttura consigliata è tutta fault-tolerant, visto l impiego che tale soluzione dovrebbe avere. È tuttavia possibile rendere tutta la soluzione non faulttolerant, attraverso l utilizzo di una configurazione meno ridondata, qualora le esigenze lo richiedano. È possibile integrare la soluzione di Posta Elettronica Certificata in un ambiente Exchange 2000 preesistente, con un impatto infrastrutturale minimo. È da tener presente che la soluzione è stata progettata principalmente per essere utilizzata in ambiente server-farm, quindi è assolutamente in grado di gestire un multi dominio, e quindi soluzioni di tipo ASP/Service Provider. Posta Elettronica Certificata - 24

Dimensionamenti La soluzione ha un architettura infrastrutturale scalabile e modulare al fine di poter permettere di dimensionare opportunamente il carico di lavoro da svolgere: al crescere del numero di utenti o del carico, è possibile scalare sia verticalmente sulle singole macchine (aumentando il numero delle CPU o la capacità della RAM) sia orizzontalmente, aumentando il numero delle macchine di front end o di back end, secondo necessità. Sulla base delle fasi di test eseguite in fase di sviluppo, per un numero di circa 2.000 utenti di Posta Elettronica Certificata, si consiglia il seguente dimensionamento delle macchine: Domain Controller Singola CPU Pentium 4 1.5 Ghz 512 Megabytes RAM disco di sistema in RAID 1 2 schede di rete in teaming Windows 2000 Server Service pack 3 Exchange di Front End Doppia CPU Pentium 4 1.5 Ghz 2 Gigabytes RAM disco di sistema in RAID 1 Disco dati in RAID 5 4 schede di rete (2 in teaming verso il network esterno e 2 in teaming verso il back end) Windows 2000 Advanced Server Service pack 3 Exchange 2000 Enterprise Edition Service pack 3 NLB Cluster Node Doppia CPU Pentium 4 1.5 Ghz 2/4 Gigabytes RAM disco di sistema in RAID1 almeno 3 volumi RAID5 (5 consigliati) sullo storage esterno condiviso: o 1 per il QUORUM disk o 1 per i dati EXCHANGE o 1 per i dati SQL o 1 per i log Exchange o 1 per i log SQL Posta Elettronica Certificata - 25

3 schede di rete (due in teaming verso il network di back end e una per l heartbeat del cluster) Windows 2000 Advanced Server Service pack 3 Exchange 2000 Enterprise Edition service pack 3 SQL Server 2000 Enterprise Edition service pack 2 MSCS Evoluzione La soluzione Microsoft è stata sviluppata su Windows 2000 e Exchange 2000. Al momento della redazione del presente documento è in fase di approfondito test il porting della soluzione sulla nuova piattaforma server di Microsoft: Windows Server 2003 e Exchange Server 2003. Per ulteriori approfondimenti Per maggiori informazioni sulla soluzione contattare Microsoft al numero verde dedicato alla pubblica amministrazione 800.444000. Un operatore sarà lieto di essere al vostro servizio. Posta Elettronica Certificata - 26

Riferimenti e Approfondimenti Dalla lista seguente è possibile reperire ulteriori informazioni utili sui temi esposti in questo documento: Posta Elettronica Certificata: http://www.ct.rupa.it/rete-rupa/posta- Elet/index.htm) Firma elettronica - tecnologie e standard, Documento AIPA: http://www.aipa.it/attivita[2/standard[5/archiviazioneottica[1/firmaweb.asp Windows 2000 Server: http://www.microsoft.com/italy/windows2000/server/default.asp Exchange Server 2000: http://www.microsoft.com/italy/exchange/ SQL Server 2000: http://www.microsoft.com/italy/sql/ Visual Studio.NET: http://www.microsoft.com/italy/msdn/vstudio/default.asp È possibile reperire ulteriori approfondimenti presso i seguenti siti Web: Autorità per l Informatica nella Pubblica Amministrazione: http://www.aipa.it Centro Tecnico della RUPA: : http://www.ct.rupa.it Piano Nazionale di egovernment: http://www.pianoegov.it Microsoft Developer Network: http://msdn.microsoft.com Microsoft Technical Network: http://www.microsoft.com/technet/ Posta Elettronica Certificata - 27