Puoi rendere Gmail più sicuro attivando lo standard MTA-STS (MTA-Strict Transport Security) per il tuo dominio. MTA-STS rafforza la sicurezza di Gmail mediante l'applicazione di controlli di autenticazione e crittografia per le email inviate al dominio. Puoi utilizzare i rapporti TLS (Transport Layer Security) per ottenere informazioni sulle connessioni di server esterni al tuo dominio.
Come tutti i provider di posta, Gmail utilizza il protocollo SMTP (Simple Mail Transfer Protocol) per inviare e ricevere messaggi. Il protocollo SMTP da solo non fornisce una protezione adeguata e molti server SMTP non includono funzionalità di sicurezza aggiuntive che consentano di prevenire attacchi dannosi.
Ad esempio, SMTP è vulnerabile agli attacchi man-in-the-middle: un attacco in cui la comunicazione tra due server viene intercettata e, possibilmente, modificata senza essere rilevata. L'utilizzo di MTA-STS per proteggere le connessioni al server di posta aiuta a prevenire questo tipo di attacchi.
Ulteriori informazioni su MTA-STS (RFC 8461) e rapporti TLS (RFC 8460).
Google consiglia di configurare metodi di autenticazione email aggiuntivi per il tuo account, tra cui DKIM, SPF e DMARC. Scopri di più sui metodi di autenticazione email consigliati
Sicurezza email mediante MTA-STS
Le connessioni SMTP per l'email sono più sicure quando il server di invio supporta MTA-STS e sul server di destinazione è configurato un criterio MTA-STS in modalità di applicazione forzata.
Ricezione della posta:quando MTA-STS è attivo per il dominio, ai server di posta esterni viene richiesto di inviare messaggi al tuo dominio solo quando la connessione SMTP soddisfa entrambe le seguenti condizioni:
- È autenticata mediante un certificato pubblico valido.
- È criptata mediante TLS 1.2 o versioni successive.
I server di posta che supportano MTA-STS invieranno messaggi al tuo dominio solo su connessioni con autenticazione e crittografia.
Invio di posta:i messaggi Gmail provenienti dal tuo dominio sono conformi a MTA-STS quando vengono inviati a server esterni con un criterio MTA-STS in modalità di applicazione forzata.
Rapporti TLS
Quando i rapporti TLS sono attivi, ai server esterni che si connettono al tuo domino viene richiesto di inviare rapporti giornalieri. I rapporti contengono informazioni su eventuali problemi di connessione riscontrati dai server esterni durante l'invio di posta al tuo dominio. Utilizza i dati dei rapporti per identificare e risolvere i problemi di sicurezza del tuo server di posta.
Passaggi per la configurazione di MTA-STS e dei rapporti TLS
- Verifica della configurazione di MTA-STS per il dominio
- Creazione di un criterio MTA-STS
- Pubblicazione del criterio MTA-STS
- Aggiunta di record DNS TXT per attivare MTA-STS e rapporti TLS.
Ulteriori informazioni sullo standard MTA-STS e i rapporti TLS
In che modo MTA-STS migliora la sicurezza della posta?
La sicurezza SMTP è facoltativa e gli standard internet richiedono che SMTP accetti connessioni di solo testo normale. Il protocollo SMTP supporta soltanto la consegna best effort della posta. Il recapito non è garantito e non vi è una qualità minima del servizio prestabilita. SMTP supporta TLS, ma molti server SMTP non utilizzano questo protocollo e non sono sicuri.
I problemi relativi alla sicurezza riscontrati più comunemente sui server SMTP includono:
- Certificati TLS scaduti
- Certificati che non corrispondono ai nomi di dominio dei server
- Certificati non emessi da terze parti attendibili
- Nessun supporto per i protocolli sicuri
La mancanza di sicurezza implica che le connessioni SMTP sono esposte ad attacchi man-in-the-middle e altri tipi di attacchi. La maggior parte dei provider di posta tenta di inviare messaggi tramite connessioni SMTP che utilizzano TLS. Tuttavia, se non è possibile creare una connessione TLS, spesso i server inviano comunque il messaggio.
MTA-STS indica ai server di invio di non inviare messaggi, a meno che le seguenti condizioni non siano vere:
- Il server di invio supporta MTA-STS.
- Sul server di destinazione è stato pubblicato un criterio MTA-STS in modalità applicata.
Informazioni correlate
- Ulteriori informazioni su come configurare l'impostazione TLS in modo che sia richiesta una connessione sicura per l'invio o la ricezione di email a o da domini o indirizzi email specifici elencati da te.
- Ulteriori informazioni su SMTP disponibili nella RFC 3207.
Perché dovrei utilizzare i rapporti TLS?
Quando i rapporti TLS sono attivi, ai server di posta esterni viene richiesto di inviare rapporti giornalieri sulle connessioni con i server di posta del tuo dominio. I rapporti possono essere inviati via email o caricati su un server web e contengono informazioni sullo stato di MTA-STS e della connessione del dominio.
I rapporti contengono informazioni sullo stato di MTA-STS e della connessione dei server di posta del tuo dominio, tra cui:
- Eventuali policy MTA-STS rilevati
- Statistiche sul traffico
- Connessioni non riuscite
- Messaggi che non è stato possibile inviare.
Prima che sul dominio sia applicata la crittografia e l'autenticazione MTA-STS, imposta il criterio in modalità di test. Controlla i rapporti giornalieri per identificare e risolvere eventuali problemi di connessione con il tuo dominio. Dopodiché, imposta il criterio in modalità di applicazione forzata. Ulteriori informazioni sulle modalità delle policy MTA-STS.
È possibile che, fino a quando l'utilizzo dei rapporti TLS da parte dei provider di posta non sarà maggiormente diffuso, il numero di rapporti TLS ricevuti sia esiguo.
Informazioni correlate
- Attiva i rapporti TLS seguendo questi passaggi.
- Ulteriori informazioni sui rapporti TLS sono disponibili nella RFC 8460.