Aumentare la sicurezza delle email con MTA-STS e i rapporti TLS

Informazioni sullo standard MTA-STS e i rapporti TLS

Rendere l'email più sicura attraverso l'autenticazione e la crittografia

Puoi rendere Gmail più sicuro attivando lo standard MTA-STS (MTA-Strict Transport Security) per il tuo dominio. MTA-STS rafforza la sicurezza di Gmail mediante l'applicazione di controlli di autenticazione e crittografia per le email inviate al dominio. Puoi utilizzare i rapporti TLS (Transport Layer Security) per ottenere informazioni sulle connessioni di server esterni al tuo dominio.

Come tutti i provider di posta, Gmail utilizza il protocollo SMTP (Simple Mail Transfer Protocol) per inviare e ricevere messaggi. Il protocollo SMTP da solo non fornisce una protezione adeguata e molti server SMTP non includono funzionalità di sicurezza aggiuntive che consentano di prevenire determinati tipi di attacchi.

Ad esempio, SMTP è vulnerabile agli attacchi man-in-the-middle: si tratta di attacchi in cui le comunicazioni tra due server vengono intercettate e possono essere modificate senza che sia possibile rilevare l'intrusione. L'utilizzo di MTA-STS consente di aumentare la sicurezza delle connessioni tra server di posta e prevenire questo tipo di attacchi.

Ulteriori informazioni sullo standard MTA-STS (RFC 8461) e i rapporti TLS (RFC 8460).

Sicurezza email mediante MTA-STS

Le connessioni SMTP per l'email sono più sicure quando il server di invio supporta MTA-STS e sul server di destinazione è configurato un criterio MTA-STS in modalità di applicazione forzata.

Ricezione della posta: quando MTA-STS è attivo per il dominio, ai server di posta esterni viene richiesto di inviare messaggi al tuo dominio solo quando la connessione SMTP soddisfa entrambe le seguenti condizioni:

  • È autenticata mediante un certificato pubblico valido.
  • È criptata mediante TLS 1.2 o versioni successive.

I server di posta che supportano MTA-STS invieranno messaggi al tuo dominio solo su connessioni con autenticazione e crittografia.

Invio di posta: per impostazione predefinita, i messaggi email provenienti dal tuo dominio sono conformi a MTA-STS quando vengono inviati a server esterni con un criterio MTA-STS in modalità di applicazione forzata.

Rapporti TLS

Quando i rapporti TLS sono attivi, ai server esterni che si connettono al tuo domino viene richiesto di inviare rapporti giornalieri. I rapporti contengono informazioni su eventuali problemi di connessione rilevati dai server esterni durante l'invio della posta al tuo dominio. Puoi utilizzare i dati dei rapporti per identificare e risolvere eventuali problemi di sicurezza rilevati sul tuo server di posta.

Altre funzionalità di sicurezza di Gmail

Best practice relative all'autenticazione delle email

Ti consigliamo di configurare sempre questi metodi di autenticazione delle email per il tuo dominio:

  • SPF: consente ai server di verificare che i messaggi che sembrano provenire da un determinato dominio siano stati inviati da server autorizzati dal proprietario di quel dominio.
  • DKIM: aggiunge una firma digitale a ogni messaggio. Questo permette ai server che li ricevono di verificare che i messaggi non siano stati falsificati e che non siano stati modificati durante il transito.
  • DMARC: autentica i messaggi con SPF e DKIM e gestisce i messaggi in arrivo sospetti.
Per informazioni dettagliate sui passaggi, vedi Prevenzione di spoofing, phishing e spam.

Passaggi per la configurazione di MTA-STS e dei rapporti TLS

  1. Verifica della configurazione di MTA-STS per il dominio
  2. Creazione di un criterio MTA-STS
  3. Pubblicazione del criterio MTA-STS
  4. Aggiunta di record DNS TXT per attivare MTA-STA e rapporti TLS

Inizia subito

Ulteriori informazioni sullo standard MTA-STS e i rapporti TLS

In che modo MTA-STS migliora la sicurezza della posta?

La sicurezza SMTP è facoltativa e gli standard richiedono che SMTP accetti connessioni di solo testo. Il protocollo SMTP supporta soltanto la consegna best effort della posta. Il recapito non è garantito e non vi è una qualità minima del servizio prestabilita. Benché SMTP supporti TLS, molti server SMTP non utilizzano questo protocollo e non sono sicuri. 

I problemi relativi alla sicurezza riscontrati più comunemente sui server SMTP includono:

  • Certificati TLS scaduti
  • Certificati che non corrispondono ai nomi di dominio dei server
  • Certificati non emessi da terze parti attendibili
  • Nessun supporto per i protocolli sicuri

La mancanza di sicurezza implica che le connessioni SMTP sono esposte ad attacchi man-in-the-middle e altri tipi di attacchi. La maggior parte dei provider di posta tenta di inviare messaggi tramite connessioni SMTP che utilizzano TLS. Tuttavia, se non è possibile creare una connessione TLS, spesso i server inviano comunque il messaggio.

MTA-STS indica ai server di invio di non inviare messaggi, a meno che le seguenti condizioni non siano vere:

  • Il server di invio supporta MTA-STS.
  • Sul server di destinazione è stato pubblicato un criterio MTA-STS in modalità applicata.

Informazioni correlate

Perché dovrei utilizzare i rapporti TLS?

Quando i rapporti TLS sono attivi, ai server esterni viene richiesto di inviare rapporti giornalieri al dominio che li richiede. I rapporti possono essere inviati via email o caricati su un server web e contengono informazioni sullo stato di MTA-STS e della connessione del dominio. Le informazioni contenute nel rapporto includono: criteri MTA-STS rilevati, statistiche sul traffico, connessioni non riuscite e messaggi che non è stato possibile inviare.

I rapporti consentono di individuare eventuali problemi riscontrati dai server esterni durante l'invio di messaggi al tuo dominio. Se imposti il criterio in modalità di prova, puoi iniziare a ricevere i rapporti prima che sul dominio sia applicata la crittografia e l'autenticazione MTA-STS. In questo modo potrai risolvere eventuali problemi di connessione del dominio prima di impostare il criterio sulla modalità di applicazione forzata. Ulteriori informazioni sulle modalità dei criteri MTA-STS.

È possibile che, fino a quando l'utilizzo dei rapporti TLS da parte dei provider di posta non sarà maggiormente diffuso, il numero di rapporti TLS ricevuti sia esiguo.

Ulteriori informazioni sui rapporti TLS sono disponibili nella RFC 8460.

È stato utile?
Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Accedi per scoprire altre opzioni di assistenza che ti consentiranno di risolvere rapidamente il tuo problema