Richiedere che la posta venga trasmessa tramite una connessione sicura (TLS)

Il Transport Layer Security (TLS) è un protocollo di sicurezza che cripta le email per proteggerne la privacy. TLS è il successore di SSL (Secure Sockets Layer). Gmail utilizza sempre TLS per impostazione predefinita.

Google Workspace supporta le versioni 1.0, 1.1, 1.2 e 1.3 di TLS.

Nota: quando scrivi un messaggio, gli utenti che hanno un abbonamento compatibile con S/MIME vedranno un'icona lucchetto grigio a destra dell'indirizzo del destinatario (per indicare la crittografia TLS). 

Per creare una connessione protetta, sia il mittente sia il destinatario devono utilizzare TLS. Quando non è possibile creare una connessione protetta, Gmail recapita i messaggi attraverso connessioni non protette. Tuttavia, puoi aggiungere impostazioni TLS che richiedono una connessione protetta per le email provenienti da e inviate a domini o indirizzi email specifici.

Importante: ti consigliamo di attivare le impostazioni TLS che richiedono che Gmail utilizzi sempre connessioni sicure per l'invio e la ricezione di email da domini e indirizzi email specifici.

Che cosa succede alle email consegnate a o provenienti da domini che non utilizzano TLS?
Posta in uscita La posta non viene recapitata e sarà restituita al mittente. Riceverai un rapporto di mancato recapito (NDR). Viene eseguito un unico tentativo di invio, che non viene più ripetuto.
Posta in arrivo La posta viene rifiutata senza che ti venga inviata alcuna notifica, mentre il mittente riceve un rapporto di mancato recapito.

Configurare la conformità TLS

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai ad Applicazionie poiGoogle Workspacee poiGmaile poiConformità.

    Nota: potresti trovare questa impostazione in Applicazionie poiGoogle Workspacee poiGmaile poiImpostazioni avanzate.

  3. A sinistra, seleziona un'organizzazione.
  4. Nella sezione Conformità, seleziona Conformità con il trasporto sicuro (TLS) e fai clic su Configura. Se l'impostazione è già configurata, selezionala e fai clic su Modifica o su Aggiungi un'altra.
  5. Inserisci una descrizione per la nuova impostazione.
  6. Scegli i messaggi in entrata o in uscita.

    Scegli In uscita: messaggi che richiedono il Trasporto sicuro tramite un'altra impostazione per i messaggi in uscita a cui è applicata un'altra impostazione di connessione sicura. Ad esempio, puoi configurare il routing delle email in modo che i messaggi in uscita vengano inviati attraverso una connessione sicura oppure impostare un percorso sicuro alternativo per i messaggi in uscita. Devi creare un elenco di domini o indirizzi per imporre la conformità TLS per tutti i messaggi in entrata o in uscita.

  7. Crea un elenco dei domini o degli indirizzi email specifici che richiedono il protocollo TLS per il trasporto sicuro.

    Nota: crea un dominio o un elenco di indirizzi per applicare la conformità TLS per tutti i messaggi in entrata o in uscita.

    Nota: per determinare se esistono corrispondenze nell'elenco indirizzi, Gmail esamina il campo "Da" per la posta ricevuta e i destinatari per la posta inviata. Per i mittenti viene anche controllato il requisito di autenticazione. Quindi, per richiedere la conformità TLS per i messaggi in entrata, il mittente presente nel campo Da: deve coincidere esattamente con l'indirizzo o il dominio inserito.

    Puoi consultare ulteriori informazioni sugli elenchi di indirizzi, tra cui le modalità di ricerca o di visualizzazione di tutte le voci dell'elenco e la corrispondenza degli indirizzi con gli elenchi.

    1. Fai clic su Utilizzane uno esistente o creane uno nuovo.
    2. Inserisci un nome per il nuovo elenco e fai clic su Crea.

      Suggerimento: per utilizzare un elenco già esistente come elenco dei mittenti approvati, fai clic sul nome dell'elenco.

    3. Sposta il puntatore sul nome dell'elenco e fai clic su Modifica.
    4. Fai clic su Aggiungi "" .
    5. Inserisci indirizzi email o nomi di dominio utilizzando uno spazio o la virgola per separare diverse voci.

    6. Fai clic su Salva.

  8. Ti consigliamo di attivare queste opzioni per le condizioni riportate nei passaggi 6 e 7:
    • Esegui una ricerca MX sull'host: consente di consegnare la posta agli host MX associati al nome di dominio specificato.
    • Richiedi che la posta venga trasmessa tramite una connessione sicura TLS (opzione consigliata): consente di criptare i messaggi tra server di posta di invio e di destinazione utilizzando il protocollo TLS (Transport Layer Security).
    • Richiedi certificato CA firmato (opzione consigliata): il server SMTP del client deve presentare un certificato firmato da un'autorità di certificazione considerata attendibile da Google.
    • Convalida il nome host del certificato (opzione consigliata): verifica che il nome host di destinazione corrisponda al certificato presentato dal server SMTP.
  9. Fai clic su Verifica connessione TLS per verificare la connessione al server di posta di destinazione.
  10. Fai clic su Aggiungi impostazione o Salva.
  11. In fondo alla pagina Impostazioni di conformità di Gmail, fai clic su Salva.

L'applicazione delle modifiche potrebbe richiedere fino a 24 ore. Puoi tenere traccia delle modifiche nel log di controllo della Console di amministrazione.

Se viene visualizzato l'errore "Non è stato possibile convalidare il certificato…"

Quando fai clic su Verifica connessione TLS, potresti essere visualizzato il messaggio di errore "Non è stato possibile convalidare il certificato…". In questo caso puoi salvare il nuovo percorso della posta, ma i messaggi inviati dalla tua organizzazione non verranno recapitati. 

Per correggere l'errore, prova una o più di queste soluzioni:

  • Se il tuo server della posta ha più di un nome host, assicurati di utilizzare il nome presente nel certificato del server.

  • Se hai accesso al server della posta sul percorso, installa un nuovo certificato emesso da un'autorità di certificazione attendibile. Verifica che il nome host del nuovo certificato sia corretto.

  • Se utilizzi un servizio di relay di posta di terze parti, contatta il fornitore del servizio in merito all'errore che hai ricevuto.

  • Disattiva una o più di queste opzioni:
    • Richiedi che la posta venga trasmessa tramite una connessione sicura TLS
    • Richiedi certificato CA firmato
    • Convalida il nome host del certificato 

      Importante: consigliamo di lasciare attive queste opzioni quando possibile in modo da poter verificare la connessione.
È stato utile?
Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Accedi per scoprire altre opzioni di assistenza che ti consentiranno di risolvere rapidamente il tuo problema