Aumenta la sicurezza di Gmail attivando lo standard MTA-STS (MTA-Strict Transport Security) per il tuo dominio. MTA-STS rafforza la sicurezza di Gmail mediante l'applicazione di controlli di autenticazione e crittografia per le email inviate al dominio. Puoi utilizzare i report TLS (Transport Layer Security) per ottenere informazioni sulle connessioni di server esterni al tuo dominio.
Come tutti i provider di posta, Gmail utilizza il protocollo SMTP (Simple Mail Transfer Protocol) per inviare e ricevere messaggi. Il protocollo SMTP da solo non fornisce una protezione adeguata e molti server SMTP non includono funzionalità di sicurezza aggiuntive che consentano di prevenire attacchi dannosi.
Ad esempio, SMTP è vulnerabile agli attacchi man-in-the-middle: si tratta di attacchi in cui le comunicazioni tra due server vengono intercettate e possono essere modificate senza che sia possibile rilevare l'intrusione. L'utilizzo di MTA-STS per proteggere le connessioni al server di posta aiuta a prevenire questo tipo di attacchi.
Scopri di più su MTA-STS (RFC 8461) e TLS Reporting (RFC 8460).
Google consiglia di configurare metodi di autenticazione email aggiuntivi per il tuo account, tra cui DKIM, SPF e DMARC. Scopri di più sui metodi di autenticazione email consigliati
Sicurezza email mediante MTA-STS
Le connessioni SMTP per l'email sono più sicure quando il server di invio supporta MTA-STS e sul server di destinazione è configurato un criterio MTA-STS in modalità di applicazione forzata.
Ricezione della posta:quando MTA-STS è attivo per il dominio, ai server di posta esterni viene richiesto di inviare messaggi al tuo dominio solo quando la connessione SMTP soddisfa entrambe le seguenti condizioni:
- È autenticata mediante un certificato pubblico valido.
- È criptata mediante TLS 1.2 o versioni successive.
I server di posta che supportano MTA-STS invieranno messaggi al tuo dominio solo su connessioni con autenticazione e crittografia.
Invio di posta:i messaggi Gmail provenienti dal tuo dominio sono conformi a MTA-STS quando vengono inviati a server esterni con un criterio MTA-STS in modalità di applicazione forzata.
Report TLS
Quando i report TLS sono attivi, ai server esterni che si connettono al tuo dominio viene richiesto di inviare report giornalieri. I report contengono informazioni su eventuali problemi di connessione rilevati dai server esterni durante l'invio della posta al tuo dominio. Utilizza i dati dei report per identificare e risolvere eventuali problemi di sicurezza rilevati sul tuo server di posta.
Passaggi per la configurazione di MTA-STS e dei report TLS
- Verifica della configurazione di MTA-STS per il dominio
- Crea un criterio MTA-STS.
- Pubblica il criterio MTA-STS.
- Aggiungi record TXT DNS per attivare MTA-STS e i report TLS.
Scopri di più su MTA-STS e i report TLS
In che modo MTA-STS migliora la sicurezza della posta?
La sicurezza SMTP è facoltativa e gli standard internet richiedono che SMTP accetti connessioni di solo testo normale. Il protocollo SMTP supporta soltanto la consegna best effort della posta. Il recapito non è garantito e non vi è una qualità minima del servizio prestabilita. SMTP supporta TLS, ma molti server SMTP non utilizzano questo protocollo e non sono sicuri.
I problemi relativi alla sicurezza riscontrati più comunemente sui server SMTP includono:
- Certificati TLS scaduti
- Certificati che non corrispondono ai nomi di dominio dei server
- Certificati non emessi da terze parti attendibili
- Nessun supporto per i protocolli sicuri
La mancanza di sicurezza implica che le connessioni SMTP sono esposte ad attacchi man-in-the-middle e altri tipi di attacchi. La maggior parte dei provider di posta tenta di inviare messaggi tramite connessioni SMTP che utilizzano TLS. Tuttavia, se non è possibile creare una connessione TLS, spesso i server inviano comunque il messaggio.
MTA-STS indica ai server di invio di non inviare messaggi, a meno che le seguenti condizioni non siano vere:
- Il server di invio supporta MTA-STS.
- Sul server di destinazione è stato pubblicato un criterio MTA-STS in modalità applicata.
Informazioni correlate
- Scopri come configurare l'impostazione TLS in modo che sia richiesta una connessione sicura per l'invio o la ricezione di email a o da domini o indirizzi email specifici elencati da te.
- Scopri di più su SMTP nella RFC 3207.
Perché dovrei utilizzare i report TLS?
Quando i report TLS sono attivi, ai server di posta esterni viene richiesto di inviare report giornalieri sulle connessioni con i server di posta del tuo dominio. I report possono essere inviati via email o caricati su un server web. Utilizza i report per comprendere i problemi che i server esterni potrebbero riscontrare durante l'invio di messaggi al tuo dominio.
I report contengono informazioni sullo stato di MTA-STS e della connessione per i server di posta del tuo dominio, tra cui:
- Eventuali policy MTA-STS rilevati
- Statistiche sul traffico
- Connessioni non riuscite
- Messaggi che non è stato possibile inviare.
Prima che sul dominio sia applicata la crittografia e l'autenticazione MTA-STS, imposta il criterio in modalità di test. Controlla i report giornalieri per identificare e risolvere eventuali problemi di connessione al tuo dominio. Quindi, modifica la policy in modalità di applicazione forzata. Scopri di più sulle modalità dei criteri MTA-STS.
È possibile che, fino a quando l'utilizzo dei report TLS da parte dei provider di posta non sarà maggiormente diffuso, il numero di report TLS ricevuti sia esiguo.
Informazioni correlate
- Attiva il reporting TLS seguendo questi passaggi.
- Ulteriori informazioni sui report TLS sono disponibili nella RFC 8460.