Protezione di webmail e posta tramite certificati SSL/TLS
Quando utilizzi la posta, i malintenzionati possono intercettare, leggere e manomettere le tue e-mail e le relative credenziali, compromettendo le tue informazioni riservate. Per la tua serenità, proteggi le connessioni della posta mediante certificati SSL/TLS. Questo argomento spiega quali connessioni proteggere e come farlo.
Il percorso di un’e-mail dal mittente al destinatario è vulnerabile in una serie di posizioni. I certificati SSL/TLS proteggono i dati sensibili crittografando le connessioni. Per usufruire di una protezione completa, implementa certificati SSL/TLS sull’intera catena di trasmissione della posta, che comprende:
- La connessione fra il browser di un utente e la sua webmail, in esecuzione su un server web. Per semplicità, parleremo di «protezione della webmail».
- La connessione fra il server di posta di Plesk e il mittente in modalità MTA (Multi-Threaded Apartment). Per semplicità, parleremo di «protezione del server di posta di Plesk».
1 Protezione della webmail
Quando accedi alla casella postale tramite la webmail, viene stabilita una connessione fra il browser e la webmail in esecuzione su un server web. Per impedire che le e-mail trasferite e le tue credenziali e-mail vengano compromesse, per impostazione predefinita la webmail è protetta dallo stesso certificato SSL/TLS autofirmato che protegge Plesk. Il certificato SSL/TLS autofirmato esegue la crittografia dei dati trasferiti ma ogni volta che accedi alla webmail viene visualizzato un messaggio di avviso su un certificato SSL/TLS non attendibile. Per interrompere la visualizzazione di questo avviso, proteggi la webmail mediante un certificato SSL/TLS valido.
Per proteggere la webmail mediante un certificato SSL/TLS:
-
Ottieni un certificato SSL/TLS wildcard o un certificato SAN che permetta di configurare
webmail.<domain>
nella rete SAN. A tale scopo, procedi come segue:- Ottenere un certificato wildcard gratuito da Let’s Encrypt. Se scegli questa opzione, puoi ignorare la fase 2.
Nota: Consigliamo vivamente questa opzione poiché un singolo certificato wildcard protegge tutte le connessioni di posta necessarie.
-
Vai a Posta > scheda «Impostazioni della posta», fai clic sul nome del dominio, seleziona il certificato SSL/TLS per la webmail, quindi fai clic su OK.
2 Protezione del server di posta in Plesk
Chiedi al provider di hosting se ha protetto il server di posta di Plesk mediante un certificato SSL/TLS valido (non con il certificato SSL/TLS autofirmato che protegge il server di posta per impostazione predefinita). In questo modo viene crittografata la connessione fra il server di posta di Plesk e i mittenti in modalità MTA, impedendo che le e-mail che ricevi vengano intercettate.
Tuttavia, a meno che non utilizzi un server dedicato a pagamento, c’è un inconveniente. Ogni volta che accedi alla casella postale, viene visualizzato un messaggio di avviso su un certificato SSL/TLS non attendibile. Ciò accade perché il client della posta rileva una mancata corrispondenza fra il nome del dominio al quale è assegnato il certificato (il nome di dominio del server Plesk) e il nome del dominio della posta. Di conseguenza, la maggior parte dei client di posta considera il certificato del server di posta non attendibile.
Se utilizzi i client di posta Postfix e Dovecot (in Plesk per Linux) e MailEnable (in Plesk per Windows), puoi correggere la mancata corrispondenza dei certificati assegnando un certificato SSL/TLS alla tua posta individuale per un dominio.
Con altri client di posta (ad esempio qmail o Courier), al momento non è possibile assegnare un certificato SSL/TLS separato alla tua posta individuale per un dominio. La sicurezza del server di posta dipende da come il tuo client di posta gestisce i certificati non attendibili:
- Il client di posta si è connesso al server di posta tramite SSL/TLS (anche se può essere visualizzato un avviso su un certificato non attendibile). In questo caso, la connessione fra la tua posta e un mittente è crittografata e le e-mail trasferite sono protette dall’intercettazione.
- Il client di posta ha rifiutato di connettersi al server di posta tramite SSL/TLS ed è stato necessario utilizzare una connessione non crittografata. In questo caso, le e-mail trasferite diventano vulnerabili all’intercettazione. Ti consigliamo di cambiare client di posta con uno che permetta di connettersi tramite SSL/TLS anche se il certificato non è attendibile.
Nota: Esiste un altro metodo per correggere la mancata corrispondenza dei certificati. Se utilizzi il server di posta in Plesk, puoi configurare il tuo client di posta in modo da sfruttare il nome di dominio del server. Ad esempio, supponi che il dominio del server sia server.com
e il tuo dominio individuale esempio.com
. Se il server di posta è protetto da un certificato SSL/TLS assegnato a server.com
, modifica il nome di dominio del server di posta da mail.dominio.com
a server.com
nelle impostazioni del tuo client di posta.
3 Assegnazione di un certificato SSL/TLS alla posta per un dominio
Se utilizzi i client di posta Postfix e Dovecot (in Plesk per Linux) e MailEnable (in Plesk per Windows), puoi proteggere la posta per un dominio con un certificato SSL/TLS individuale. Ti consigliamo di farlo se il tuo client di posta visualizza un avviso relativo all’impossibilità di verificare il certificato SSL/TLS di protezione del server di posta. Quando avrai protetto la posta per un dominio con un certificato SSL/TLS individuale, il server di posta restituirà il certificato di protezione della posta, anziché quello del server assegnato dal tuo provider di hosting. Di conseguenza, l’avviso non verrà più visualizzato.
Nota: Un certificato SSL/TLS che protegge la posta per un dominio esegue la crittografia della connessione solo se anche il server di posta di Plesk è protetto mediante un certificato SSL/TLS. Chiedi al tuo provider di hosting se ha protetto il server di posta di Plesk mediante un certificato SSL/TLS valido.
Per proteggere la posta per un dominio mediante un certificato SSL/TLS:
-
Ottieni un certificato SSL/TLS wildcard o un certificato SAN che permetta di configurare
mail.<domain>
nella rete SAN. A tale scopo, procedi come segue:Nota: Se hai già ricevuto un certificato SSL/TLS wildcard al momento di proteggere la webmail, vai alla fase 2 per proteggere la posta per il tuo dominio mediante tale certificato.
Nota: Consigliamo di ottenere un certificato SSL/TLS wildcard gratuito da Let’s Encrypt perché è in grado di proteggere da solo sia la posta per un dominio che la webmail, il dominio stesso e vari sottodomini (se necessario).
-
Vai a Posta > scheda «Impostazioni della posta», fai clic sul nome del dominio, seleziona il certificato SSL/TLS per la posta e infine fai clic su OK.