Aumentare la sicurezza delle email con MTA-STS e i rapporti TLS

Informazioni sullo standard MTA-STS e i rapporti TLS

Puoi rendere Gmail più sicuro attivando lo standard MTA-STS (MTA-Strict Transport Security) per il tuo dominio. MTA-STS rafforza la sicurezza di Gmail mediante l'applicazione di controlli di autenticazione e crittografia per le email inviate al dominio. Puoi utilizzare i rapporti TLS (Transport Layer Security) per ottenere informazioni sulle connessioni di server esterni al tuo dominio.

Come tutti i provider di posta, Gmail utilizza il protocollo SMTP (Simple Mail Transfer Protocol) per inviare e ricevere messaggi. Il protocollo SMTP da solo non fornisce una protezione adeguata e molti server SMTP non includono funzionalità di sicurezza aggiuntive che consentano di prevenire attacchi dannosi.

Ad esempio, SMTP è vulnerabile agli attacchi man-in-the-middle: si tratta di attacchi in cui le comunicazioni tra due server vengono intercettate e possono essere modificate senza che sia possibile rilevare l'intrusione. L'utilizzo di MTA-STS per proteggere le connessioni al server di posta aiuta a prevenire questo tipo di attacchi.

Ulteriori informazioni sullo standard MTA-STS (RFC 8461) e i rapporti TLS (RFC 8460).

Google consiglia di configurare metodi di autenticazione email aggiuntivi per il tuo account, tra cui DKIM, SPF e DMARC. Scopri di più sui metodi di autenticazione email consigliati

Sicurezza email mediante MTA-STS

Le connessioni SMTP per l'email sono più sicure quando il server di invio supporta MTA-STS e sul server di destinazione è configurato un criterio MTA-STS in modalità di applicazione forzata.

Ricezione della posta: quando MTA-STS è attivo per il dominio, ai server di posta esterni viene richiesto di inviare messaggi al tuo dominio solo quando la connessione SMTP soddisfa entrambe le seguenti condizioni:

  • È autenticata mediante un certificato pubblico valido.
  • È criptata mediante TLS 1.2 o versioni successive.

I server di posta che supportano MTA-STS invieranno messaggi al tuo dominio solo su connessioni con autenticazione e crittografia.

Invio di posta: i messaggi Gmail provenienti dal tuo dominio sono conformi a MTA-STS quando vengono inviati a server esterni con un criterio MTA-STS in modalità di applicazione forzata.

Rapporti TLS

Quando i rapporti TLS sono attivi, ai server esterni che si connettono al tuo domino viene richiesto di inviare rapporti giornalieri. I rapporti contengono informazioni su eventuali problemi di connessione rilevati dai server esterni durante l'invio della posta al tuo dominio. Puoi utilizzare i dati dei rapporti per identificare e risolvere eventuali problemi di sicurezza rilevati sul tuo server di posta.

Passaggi per la configurazione di MTA-STS e dei rapporti TLS

  1. Verifica della configurazione di MTA-STS per il dominio
  2. Creazione di un criterio MTA-STS
  3. Pubblicazione del criterio MTA-STS
  4. Aggiunta di record DNS TXT per attivare MTA-STS e rapporti TLS.

Inizia subito

Ulteriori informazioni sullo standard MTA-STS e i rapporti TLS

In che modo MTA-STS migliora la sicurezza della posta?

La sicurezza SMTP è facoltativa e gli standard internet richiedono che SMTP accetti connessioni di solo testo normale. Il protocollo SMTP supporta soltanto la consegna best effort della posta. Il recapito non è garantito e non vi è una qualità minima del servizio prestabilita. SMTP supporta TLS, ma molti server SMTP non utilizzano questo protocollo e non sono sicuri. 

I problemi relativi alla sicurezza riscontrati più comunemente sui server SMTP includono:

  • Certificati TLS scaduti
  • Certificati che non corrispondono ai nomi di dominio dei server
  • Certificati non emessi da terze parti attendibili
  • Nessun supporto per i protocolli sicuri

La mancanza di sicurezza implica che le connessioni SMTP sono esposte ad attacchi man-in-the-middle e altri tipi di attacchi. La maggior parte dei provider di posta tenta di inviare messaggi tramite connessioni SMTP che utilizzano TLS. Tuttavia, se non è possibile creare una connessione TLS, spesso i server inviano comunque il messaggio.

MTA-STS indica ai server di invio di non inviare messaggi, a meno che le seguenti condizioni non siano vere:

  • Il server di invio supporta MTA-STS.
  • Sul server di destinazione è stato pubblicato un criterio MTA-STS in modalità applicata.

Informazioni correlate

Perché dovrei utilizzare i report TLS?

I report TLS richiedono che i server di posta esterni inviino report giornalieri sulle connessioni con i server di posta del tuo dominio. I rapporti possono essere inviati via email o caricati su un server web Utilizza i report per comprendere i problemi che potrebbero verificarsi nei server esterni durante l'invio di messaggi al tuo dominio.

I report contengono informazioni sullo stato di MTA-STS e sulla connessione per i server di posta del tuo dominio, tra cui:

  • Eventuali policy MTA-STS rilevati
  • Statistiche sul traffico
  • Connessioni non riuscite
  • Messaggi che non è stato possibile inviare.

Prima che sul dominio sia applicata la crittografia e l'autenticazione MTA-STS, imposta il criterio in modalità di test. Controlla i report giornalieri per identificare e risolvere eventuali problemi di connessione con il tuo dominio. Quindi, modifica la policy in modalità di applicazione forzata. Ulteriori informazioni sulle modalità delle policy MTA-STS.

È possibile che, fino a quando l'utilizzo dei rapporti TLS da parte dei provider di posta non sarà maggiormente diffuso, il numero di rapporti TLS ricevuti sia esiguo.

Informazioni correlate

  • Attiva i report TLS seguendo questi passaggi.
  • Ulteriori informazioni sui rapporti TLS sono disponibili nella RFC 8460.

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale