Puoi rendere Gmail più sicuro attivando lo standard MTA-STS (MTA-Strict Transport Security) per il tuo dominio. MTA-STS rafforza la sicurezza di Gmail mediante l'applicazione di controlli di autenticazione e crittografia per le email inviate al dominio. Puoi utilizzare i rapporti TLS (Transport Layer Security) per ottenere informazioni sulle connessioni di server esterni al tuo dominio.
Come tutti i provider di posta, Gmail utilizza il protocollo SMTP (Simple Mail Transfer Protocol) per inviare e ricevere messaggi. Il protocollo SMTP da solo non fornisce una protezione adeguata e molti server SMTP non includono funzionalità di sicurezza aggiuntive che consentano di prevenire attacchi dannosi.
Ad esempio, SMTP è vulnerabile agli attacchi man-in-the-middle: si tratta di attacchi in cui le comunicazioni tra due server vengono intercettate e possono essere modificate senza che sia possibile rilevare l'intrusione. L'utilizzo di MTA-STS per proteggere le connessioni al server di posta aiuta a prevenire questo tipo di attacchi.
Ulteriori informazioni sullo standard MTA-STS (RFC 8461) e i rapporti TLS (RFC 8460).
Google consiglia di configurare metodi di autenticazione email aggiuntivi per il tuo account, tra cui DKIM, SPF e DMARC. Scopri di più sui metodi di autenticazione email consigliati
Sicurezza email mediante MTA-STS
Le connessioni SMTP per l'email sono più sicure quando il server di invio supporta MTA-STS e sul server di destinazione è configurato un criterio MTA-STS in modalità di applicazione forzata.
Ricezione della posta: quando MTA-STS è attivo per il dominio, ai server di posta esterni viene richiesto di inviare messaggi al tuo dominio solo quando la connessione SMTP soddisfa entrambe le seguenti condizioni:
- È autenticata mediante un certificato pubblico valido.
- È criptata mediante TLS 1.2 o versioni successive.
I server di posta che supportano MTA-STS invieranno messaggi al tuo dominio solo su connessioni con autenticazione e crittografia.
Invio di posta: i messaggi Gmail provenienti dal tuo dominio sono conformi a MTA-STS quando vengono inviati a server esterni con un criterio MTA-STS in modalità di applicazione forzata.
Rapporti TLS
Quando i rapporti TLS sono attivi, ai server esterni che si connettono al tuo domino viene richiesto di inviare rapporti giornalieri. I rapporti contengono informazioni su eventuali problemi di connessione rilevati dai server esterni durante l'invio della posta al tuo dominio. Puoi utilizzare i dati dei rapporti per identificare e risolvere eventuali problemi di sicurezza rilevati sul tuo server di posta.
Passaggi per la configurazione di MTA-STS e dei rapporti TLS
- Verifica della configurazione di MTA-STS per il dominio
- Creazione di un criterio MTA-STS
- Pubblicazione del criterio MTA-STS
- Aggiunta di record DNS TXT per attivare MTA-STS e rapporti TLS.
Ulteriori informazioni sullo standard MTA-STS e i rapporti TLS
La sicurezza SMTP è facoltativa e gli standard internet richiedono che SMTP accetti connessioni di solo testo normale. Il protocollo SMTP supporta soltanto la consegna best effort della posta. Il recapito non è garantito e non vi è una qualità minima del servizio prestabilita. SMTP supporta TLS, ma molti server SMTP non utilizzano questo protocollo e non sono sicuri.
I problemi relativi alla sicurezza riscontrati più comunemente sui server SMTP includono:
- Certificati TLS scaduti
- Certificati che non corrispondono ai nomi di dominio dei server
- Certificati non emessi da terze parti attendibili
- Nessun supporto per i protocolli sicuri
La mancanza di sicurezza implica che le connessioni SMTP sono esposte ad attacchi man-in-the-middle e altri tipi di attacchi. La maggior parte dei provider di posta tenta di inviare messaggi tramite connessioni SMTP che utilizzano TLS. Tuttavia, se non è possibile creare una connessione TLS, spesso i server inviano comunque il messaggio.
MTA-STS indica ai server di invio di non inviare messaggi, a meno che le seguenti condizioni non siano vere:
- Il server di invio supporta MTA-STS.
- Sul server di destinazione è stato pubblicato un criterio MTA-STS in modalità applicata.
Informazioni correlate
- Ulteriori informazioni su come configurare l'impostazione TLS in modo che sia richiesta una connessione sicura per l'invio o la ricezione di email a o da domini o indirizzi email specifici elencati da te.
- Ulteriori informazioni su SMTP disponibili nella RFC 3207.
I report TLS richiedono che i server di posta esterni inviino report giornalieri sulle connessioni con i server di posta del tuo dominio. I rapporti possono essere inviati via email o caricati su un server web Utilizza i report per comprendere i problemi che potrebbero verificarsi nei server esterni durante l'invio di messaggi al tuo dominio.
I report contengono informazioni sullo stato di MTA-STS e sulla connessione per i server di posta del tuo dominio, tra cui:
- Eventuali policy MTA-STS rilevati
- Statistiche sul traffico
- Connessioni non riuscite
- Messaggi che non è stato possibile inviare.
Prima che sul dominio sia applicata la crittografia e l'autenticazione MTA-STS, imposta il criterio in modalità di test. Controlla i report giornalieri per identificare e risolvere eventuali problemi di connessione con il tuo dominio. Quindi, modifica la policy in modalità di applicazione forzata. Ulteriori informazioni sulle modalità delle policy MTA-STS.
È possibile che, fino a quando l'utilizzo dei rapporti TLS da parte dei provider di posta non sarà maggiormente diffuso, il numero di rapporti TLS ricevuti sia esiguo.
Informazioni correlate
- Attiva i report TLS seguendo questi passaggi.
- Ulteriori informazioni sui rapporti TLS sono disponibili nella RFC 8460.