Email

Let’s Encrypt: certificati SSL gratis per MDaemon

11 Marzo 2019

Immagina questa scena.

Stai per salire su un aereo e manca qualche minuto all’imbarco. A un certo punto ti ricordi che devi assolutamente inviare un’email prima di partire.

Prendi il portatile dalla borsa, riesci a connetterti al wifi e butti giù il tuo capolavoro di email.
Mentre ti togli le cuffie ed emetti un sospiro di sollievo sei totalmente ignaro che il tizio seduto di fronte a te che sembra stia lavorando su un file Excel sta in realtà eseguendo uno sniffer di rete in grado di intercettare i tuoi dati.

Quindi mentre sei in volo, quel tizio se ne sta andando via con tutto ciò che gli serve per inviare email a tuo nome, leggere dati sensibili e causare un’infinità di problemi alla tua azienda.
Sicuramente non è un bello scenario.

Ma cosa puoi fare per impedire che accadano cose come questa?

Sicuramente tu sai che bisognerebbe usare un filtro antivirus e antispam decente e sei perfettamente in grado di individuare messaggi sospetti. Tuttavia, potresti non pensare sempre a ciò che succede dopo che premi il pulsante “invia”.

La prima cosa che dovresti fare, per te e per i tuoi clienti, è implementare un sistema in grado di cifrare la comunicazione usando SSL (Secured Socket Layer).

Che cos’è un SSL?

Ogni volta che ti connetti alla tua casella email, che tu stia usando IMAP o POP, se non hai un SSL, il tuo username e la tua password sono inviati su internet “in chiaro”.

Questo vuol dire che se stai usando una connessione non sicura o stai condividendo la rete con altri, chiunque c’è su quella rete può sniffare i tuoi dati.

Una connessione SSL cifra il traffico email in modo che non possa essere letto in nessun punto del percorso tra il tuo PC e il tuo mail server.
 

Cos’è Let’s Encrypt

 
Per mettere al sicuro le comunicazioni in MDaemon usando SSL, hai bisogno di usare un certificato SSL.
 
Questo certificato può essere:

  • “auto-generato” e gratuito: questo tipo di certificato è tecnicamente valido ma non essendo rilasciato da un ente super partes non è ufficialmente riconosciuto in automatico da tutti i software;
  •  rilasciato da enti terzi a pagmento: in questo caso sei sicuro che il certificato sia valido (e riconosciuto da tutti i software) ma ha dei costi associati.

 
Let’s Encrypt è una Certificate Authority (CA) che fornisce gratuitamente certificati validi e di facile implementazione.
 
Questi certificati non sono solo gratuiti, ma se usi MDaemon non devi neanche avere la briga di crearli a mano, validarli, firmarli, installarti e rinnovarli: è tutto automatico e totalmente privo di scocciature.
 
 

Usare un certificato Let’s Encrypt in MDaemon

Fortunatamente gli sviluppatori di MDaemon hanno alleggerito le operazioni da fare per registrare e rinnovare i certificati e ci sono solo alcuni semplici passi da seguire per eseguire una configurazione ottimale.

Prima di iniziare, è bene sapere che gli script per interfacciarsi con Let’s Encrypt e generare certificati in automatico richiedono almeno la versione 3.0 di Powershell, quindi non funzioneranno su sistemi con Windows Server 2003.

Porte e binding della Webmail

Per permettere al processo di registrazione di Let’s Encrypt di validare la tua installazione e il tuo hostmail, hai bisogno di aprire verso internet la porta del web server su cui si trova la webmail di MDaemon (la porta 3000 nell’esempio dell’immagine qui sotto, ma potrebbe essere anche la classica porta 80).

 

Abilitare Let’s Encrypt

Il dominio che verrà utilizzato da Let’s Encrypt non è altro che l’host name SMTP che hai definito sul dominio primario in Settings > Domain Manager.
Se hai bisogno che il certificato sia valido per ulteriori host name, puoi aggiungerli come “alternative hosts”.

Per farlo vai in Security Settings -> SSl & TLS -> Let’s Encrypt e abilita gli aggiornamenti.
Poi inserisci un indirizzo email al quale ricevere le segnalazioni di eventuali errori.

Ti consiglio di lasciare il periodo di rinnovo a 60 giorni. Poi clicca su OK per salvare le modifiche e far partire lo script per registrare il tuo certificato.
 

Clicca di nuovo OK per salvare i settaggi e se tutto è andato per il verso giusto l’interfaccia di MDaemon dovrebbe riavviarsi e tu dovresti avere un nuovo certificato di Let’s Encrypt valido e utilizzabile.
 
Puoi testare se il certificato è stato configurato correttamente puntando un browser al servizio di Webmail e visualizzando le proprietà del certificato.
 

Assicurati poi che il nuovo certificato Let’s Encrypt sia associato ai servizi per i quali ti serve.
Puoi verificarlo sotto Security-> Security Settings-> SSL & TLS-> MDaemon e Security-> Security Settings-> SSL & TLS-> MDaemon-> Webmail

Se in queste sezioni hai dei certificati auto-generati, questo è un buon momento per rimuoverli ed evitare di creare confusione.

Come ultima cosa, dovresti reindirizzare il traffico web http che arriva alla porta 80 sulla porta 443 https.
Questo consentirà comunque l’esecuzione degli aggiornamenti di Let’s Encrypt ma renderà più sicuro il tuo server in quanto non è una buona idea lasciare la porta 80 aperta verso internet.

Per configurare questa opzione vai in Setup->Webmail->SSL & HTTPS e scegli l’opzione http redirected to HTTPS dalla lista delle connessioni consentite.

A questo punto il gioco è fatto. Le tue comunicazioni e quelle dei tuoi clienti saranno più sicure e maggiormente protette da occhi indiscreti.

Se ti servono maggiori informazioni su come creare un certificato SSL gratuito con Let’s Encrypt su MDaemon, dai un’occhiata a questa KB.

 
Tratto dal blog di zensoftware.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2021: BlackBerry Protect Endpoint protection a prova di futuro. Protezione contro le minacce moderna anche offline, anche se l’agente non è aggiornato. ConnectWise Automate RMM pronto all’uso per chi inizia, ma stabile e iperconfigurabile per MSP più navigati. Zomentum La piattaforma per MSP che accelera le vendita grazie a offerte efficaci e ordini più veloci. Axcient Direct To Cloud Backup, Disaster recovery e business continuity direttamente nel cloud, senza appliance. Prezzo fisso tutto incluso, spazio illimitato, con possibilità di ripartenza nel cloud. Carbonite Endpoint Consente agli MSP di proteggere i dati che risiedono sulle postazioni di lavoro dei clienti, anche quando questi sono fuori sede.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. Stimato da colleghi e clienti per la schiettezza e l’onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative