Immagina questa scena.
Stai per salire su un aereo e manca qualche minuto all’imbarco. A un certo punto ti ricordi che devi assolutamente inviare un’email prima di partire.
Prendi il portatile dalla borsa, riesci a connetterti al wifi e butti giù il tuo capolavoro di email.
Mentre ti togli le cuffie ed emetti un sospiro di sollievo sei totalmente ignaro che il tizio seduto di fronte a te che sembra stia lavorando su un file Excel sta in realtà eseguendo uno sniffer di rete in grado di intercettare i tuoi dati.
Quindi mentre sei in volo, quel tizio se ne sta andando via con tutto ciò che gli serve per inviare email a tuo nome, leggere dati sensibili e causare un’infinità di problemi alla tua azienda.
Sicuramente non è un bello scenario.
Ma cosa puoi fare per impedire che accadano cose come questa?
Sicuramente tu sai che bisognerebbe usare un filtro antivirus e antispam decente e sei perfettamente in grado di individuare messaggi sospetti. Tuttavia, potresti non pensare sempre a ciò che succede dopo che premi il pulsante “invia”.
La prima cosa che dovresti fare, per te e per i tuoi clienti, è implementare un sistema in grado di cifrare la comunicazione usando SSL (Secured Socket Layer).
Che cos’è un SSL?
Ogni volta che ti connetti alla tua casella email, che tu stia usando IMAP o POP, se non hai un SSL, il tuo username e la tua password sono inviati su internet “in chiaro”.
Questo vuol dire che se stai usando una connessione non sicura o stai condividendo la rete con altri, chiunque c’è su quella rete può sniffare i tuoi dati.
Una connessione SSL cifra il traffico email in modo che non possa essere letto in nessun punto del percorso tra il tuo PC e il tuo mail server.
Cos’è Let’s Encrypt
Per mettere al sicuro le comunicazioni in MDaemon usando SSL, hai bisogno di usare un certificato SSL.
Questo certificato può essere:
- “auto-generato” e gratuito: questo tipo di certificato è tecnicamente valido ma non essendo rilasciato da un ente super partes non è ufficialmente riconosciuto in automatico da tutti i software;
- rilasciato da enti terzi a pagmento: in questo caso sei sicuro che il certificato sia valido (e riconosciuto da tutti i software) ma ha dei costi associati.
Let’s Encrypt è una Certificate Authority (CA) che fornisce gratuitamente certificati validi e di facile implementazione.
Questi certificati non sono solo gratuiti, ma se usi MDaemon non devi neanche avere la briga di crearli a mano, validarli, firmarli, installarti e rinnovarli: è tutto automatico e totalmente privo di scocciature.
Usare un certificato Let’s Encrypt in MDaemon
Fortunatamente gli sviluppatori di MDaemon hanno alleggerito le operazioni da fare per registrare e rinnovare i certificati e ci sono solo alcuni semplici passi da seguire per eseguire una configurazione ottimale.
Prima di iniziare, è bene sapere che gli script per interfacciarsi con Let’s Encrypt e generare certificati in automatico richiedono almeno la versione 3.0 di Powershell, quindi non funzioneranno su sistemi con Windows Server 2003.
Porte e binding della Webmail
Per permettere al processo di registrazione di Let’s Encrypt di validare la tua installazione e il tuo hostmail, hai bisogno di aprire verso internet la porta del web server su cui si trova la webmail di MDaemon (la porta 3000 nell’esempio dell’immagine qui sotto, ma potrebbe essere anche la classica porta 80).
Abilitare Let’s Encrypt
Il dominio che verrà utilizzato da Let’s Encrypt non è altro che l’host name SMTP che hai definito sul dominio primario in Settings > Domain Manager.
Se hai bisogno che il certificato sia valido per ulteriori host name, puoi aggiungerli come “alternative hosts”.
Per farlo vai in Security Settings -> SSl & TLS -> Let’s Encrypt e abilita gli aggiornamenti.
Poi inserisci un indirizzo email al quale ricevere le segnalazioni di eventuali errori.
Ti consiglio di lasciare il periodo di rinnovo a 60 giorni. Poi clicca su OK per salvare le modifiche e far partire lo script per registrare il tuo certificato.
Clicca di nuovo OK per salvare i settaggi e se tutto è andato per il verso giusto l’interfaccia di MDaemon dovrebbe riavviarsi e tu dovresti avere un nuovo certificato di Let’s Encrypt valido e utilizzabile.
Puoi testare se il certificato è stato configurato correttamente puntando un browser al servizio di Webmail e visualizzando le proprietà del certificato.
Assicurati poi che il nuovo certificato Let’s Encrypt sia associato ai servizi per i quali ti serve.
Puoi verificarlo sotto Security-> Security Settings-> SSL & TLS-> MDaemon e Security-> Security Settings-> SSL & TLS-> MDaemon-> Webmail
Se in queste sezioni hai dei certificati auto-generati, questo è un buon momento per rimuoverli ed evitare di creare confusione.
Come ultima cosa, dovresti reindirizzare il traffico web http che arriva alla porta 80 sulla porta 443 https.
Questo consentirà comunque l’esecuzione degli aggiornamenti di Let’s Encrypt ma renderà più sicuro il tuo server in quanto non è una buona idea lasciare la porta 80 aperta verso internet.
Per configurare questa opzione vai in Setup->Webmail->SSL & HTTPS e scegli l’opzione http redirected to HTTPS dalla lista delle connessioni consentite.
A questo punto il gioco è fatto. Le tue comunicazioni e quelle dei tuoi clienti saranno più sicure e maggiormente protette da occhi indiscreti.
Se ti servono maggiori informazioni su come creare un certificato SSL gratuito con Let’s Encrypt su MDaemon, dai un’occhiata a questa KB.
Tratto dal blog di zensoftware.
