Come configurare correttamente il server di posta per usare una connessione crittografata SSL/TLS
Se proteggete il vostro server di posta mediante connessioni cifrate con un certificato SSL condiviso, questo non sempre è bene accetto dai client di posta. Vediamo insieme il perché.
Il server di posta per come è concepito non supporta correttamente la tecnologia SNI, già usata per i server web, pertanto non è possibile utilizzare diversi certificati SSL per lo stesso server; ma è possibile usare solo un certificato, di solito rilasciato con il nome principale del server.
Questo comporta che se accedete al server di posta con un dominio non presente tra quelli autorizzati (CN, Common Name) questo restituirà un “errore verifica identità del server”. Questo può essere bypassato cliccando su “Installa il certificato” o “Accetta sempre il certificato”.
Tuttavia molti client di posta, alla scadenza (o variazione) dello stesso, non consentono più di accettare il certificato, anche se questo viene rinnovato.
La soluzione da adottare in questo caso è impostare su tutti i client di posta un “unico” nome per il server di posta, ad esempio: “mail.server1.it”.
Questo deve essere un dominio autorizzato sul certificato SSL ed essere configurato su tutti i client di posta che usano l’SSL.
Server di posta con SSL: un esempio
Se utilizzate il nostro servizio di Shared Hosting dovete utilizzare come server SMTP il nome stesso del server su cui è presente il pannello di gestione Plesk. Quindi, se il pannello è raggiungibile all’indirizzo https://seth69.seeweb.it:8443 , l’indirizzo da impostare come Server di posta in arrivo e Server di posta in uscita sarà: seth69.seeweb.it
Nel caso in cui non si è a conoscenza dell’indirizzo del server che è possibile utilizzare per configurare il client di posta in SSL, potete contattarci aprendo un ticket.
Saremo a disposizione per indicarvi come configurare correttamente il client di posta.
Consigli per una configurazione ottimale
Per una configurazione ottimale si consiglia di impostare la porta del server di posta in uscita SMTP 587 con crittografia TLS o STARTTLS, questo perché la porta 25, solitamente utilizzata per connessioni non crittografate o non autenticate, viene spesso bloccata da molti provider di servizi internet. La 587 (facendo capo al protocollo submission), richiede connessioni autenticate e spesso crittografate, rendendo più sicura e attendibile la connessione.
Ricordiamo che è obbligatorio autenticarsi al server di posta in uscita SMTP.
Se vi servisse aiuto nella configurazione del client di posta, date uno sguardo alla nostra Wiki (qui), troverete una guida per i client di posta più diffusi (Outlook, Thunderbird, Apple Mail, …).
