{"id":18969,"date":"2026-04-12T15:05:59","date_gmt":"2026-04-12T13:05:59","guid":{"rendered":"https:\/\/webhosting.de\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/"},"modified":"2026-04-12T15:05:59","modified_gmt":"2026-04-12T13:05:59","slug":"blog-mailserver-configurazione-tls-selezione-del-cifrario-ottimizzazione-del-server","status":"publish","type":"post","link":"https:\/\/webhosting.de\/it\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/","title":{"rendered":"Configurazione del server di posta TLS e selezione del cifrario: Guida definitiva"},"content":{"rendered":"<p>Vi mostrer\u00f2 come <strong>Server di posta TLS<\/strong> in Postfix e selezionare suite di cifratura forti in modo che le connessioni SMTP siano costantemente protette. Sulla base di parametri collaudati per TLS 1.2\/1.3, DANE, MTA-STS e coppie di chiavi moderne, vi guider\u00f2 passo dopo passo attraverso la configurazione, il test e la messa a punto, in modo che le vostre connessioni SMTP siano sempre protette. <strong>sicurezza della posta<\/strong> presa pulita.<\/p>\n\n<h2>Punti centrali<\/h2>\n\n<ul>\n  <li><strong>Postfix<\/strong> Configurazione sicura: Attivare TLS, limitare i protocolli, impostare la registrazione.<\/li>\n  <li><strong>Cifra<\/strong> priorit\u00e0: ECDHE + GCM\/CHACHA20, applicare PFS, bloccare i dati legacy.<\/li>\n  <li><strong>Certificati<\/strong> mantenere pulito: RSA+ECDSA, catena completa, curve forti.<\/li>\n  <li><strong>DANE\/MTA-STS<\/strong> utilizzare: Linee guida di ancoraggio e riduzione del rischio di downgrade.<\/li>\n  <li><strong>Test<\/strong> e monitoraggio: controllare regolarmente OpenSSL, lo scanner TLS e i log dell'MTA.<\/li>\n<\/ul>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-konfiguration-4721.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>SMTP via TLS: cosa \u00e8 realmente protetto<\/h2>\n\n<p>Proteggo SMTP con <strong>STARTTLS<\/strong>, in modo che il trasporto delle e-mail non avvenga in chiaro. TLS opportunistico via <strong>smtpd_tls_security_level = may<\/strong> assicura che le connessioni in entrata utilizzino la crittografia non appena la stazione remota la offre. Per le consegne in uscita, uso <strong>smtp_tls_security_level = dane<\/strong> Controlli dei criteri supportati da DNSSEC per rendere pi\u00f9 difficili gli attacchi di downgrade. Senza TLS, le e-mail potrebbero essere lette e manipolate in transito, il che \u00e8 particolarmente pericoloso per i moduli, gli ordini o i dati dei conti. Con TLS sempre attivo, riduco significativamente il rischio di intercettazioni e MITM e ottengo tassi di consegna migliori perch\u00e9 i grandi provider valutano positivamente le connessioni sicure.<\/p>\n\n<h2>Chiavi, certificati e protocolli in Postfix<\/h2>\n\n<p>Ho due certificati pronti: uno <strong>RSA<\/strong>-e un certificato ECDSA, in modo che i vecchi e i nuovi MTA siano collegati in modo ottimale. Ho impostato chiaramente i percorsi in Postfix, ad esempio <strong>smtpd_tls_cert_file<\/strong> per RSA e <strong>smtpd_tls_eccert_file<\/strong> per ECDSA, ciascuno con una chiave corrispondente. Per un'autenticazione pulita, faccio attenzione alla catena completa, a un CN\/SAN che corrisponda esattamente all'host e a una curva del tipo <strong>secp384r1<\/strong> per la chiave ECDSA. Disattivo rigorosamente i protocolli pi\u00f9 vecchi, cio\u00e8 SSLv2 e SSLv3, per evitare downgrade forzati. Se state valutando il tipo di certificato, date una rapida occhiata a <a href=\"https:\/\/webhosting.de\/it\/certificati-tls-dv-ov-ev-hosting-confronto-di-sicurezza\/\">DV, OV o EV<\/a>, in modo da scegliere il giusto livello di fiducia.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls_configuration_guide_4928.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Selezione dei cifrari: Priorit\u00e0 per TLS 1.2\/1.3<\/h2>\n\n<p>Do priorit\u00e0 alle suite di cifratura con <strong>PFS<\/strong>, cio\u00e8 ECDHE prima di DHE e utilizzare GCM o CHACHA20-POLY1305. Con TLS 1.3, lo stack vi solleva da molti problemi legati al passato, mentre TLS 1.2 richiede ancora un elenco chiaro. Suite insicure o deboli come <strong>RC4<\/strong>, Elimino 3DES, CAMELLIA, aNULL, eNULL. Per Postfix uso <strong>smtpd_tls_ciphers = high<\/strong> e un'impostazione restrittiva <em>tls_high_cipherlist<\/em>, in modo che non sfuggano algoritmi obsoleti. Se si va pi\u00f9 a fondo, il <a href=\"https:\/\/webhosting.de\/it\/suite-di-cifratura-tls-hosting-sicurezza-serverboost\/\">Guida alle suite di cifratura<\/a> una categorizzazione facile da capire e senza zavorre.<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>Versione TLS<\/th>\n      <th>Suite di cifratura preferite<\/th>\n      <th>Stato<\/th>\n      <th>Suggerimento<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td><strong>TLS 1.3<\/strong><\/td>\n      <td>TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256<\/td>\n      <td>attivo<\/td>\n      <td>Selezione saldamente inserita nel protocollo, senza pi\u00f9 problemi di legacy.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>TLS 1.2<\/strong><\/td>\n      <td>ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-CHACHA20-POLY1305<\/td>\n      <td>attivo<\/td>\n      <td>Privilegiare PFS, preferire GCM\/CHACHA.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>Obsoleto<\/strong><\/td>\n      <td>RC4, 3DES, CAMELLIA, AES128-SHA, aNULL\/eNULL<\/td>\n      <td>bloccato<\/td>\n      <td>Disattivare completamente per motivi di sicurezza.<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n<h2>Postfix: parametri concreti per main.cf<\/h2>\n\n<p>Ho impostato una configurazione chiara in modo che l'MTA parli in modo sicuro sia in entrata che in uscita. Per ECDH effimero, uso <strong>smtpd_tls_eecdh_grade<\/strong> Ho impostato la qualit\u00e0 della curva e disabilitato la compressione per evitare attacchi di tipo CRIME. Un file DH forte con 4096 bit impedisce le negoziazioni DHE deboli. Pongo restrizioni rigide sui protocolli e impongo un'elevata qualit\u00e0 dei cifrari, privilegiando TLS 1.3. All'inizio, un livello di log moderato mi aiuta a controllare le strette di mano senza ingolfare il giornale.<\/p>\n\n<pre><code># Attivazione e politica\nsmtpd_tls_security_level = may\nsmtp_tls_security_level = dane\n\nCertificati # (percorsi di esempio)\nsmtpd_tls_cert_file = \/etc\/ssl\/certs\/mail.example.de.cer\nsmtpd_tls_key_file = \/etc\/ssl\/private\/mail.example.de.key\nsmtpd_tls_eccert_file = \/etc\/ssl\/certs\/mail.example.de_ecc.cer\nsmtpd_tls_eckey_file = \/etc\/ssl\/private\/mail.example.de_ecc.key\n\nProtocolli e cifrari #\nsmtpd_tls_protocols = !SSLv2, !SSLv3\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3\nsmtpd_tls_ciphers = high\ntls_high_cipherlist = !aNULL:!eNULL:!RC4:!3DES:!CAMELLIA:HIGH:@STRENGTH\ntls_ssl_options = NO_COMPRESSION\nsmtpd_tls_eecdh_grade = ultra\n\nParametri DH #\nsmtpd_tls_dh1024_param_file = \/etc\/postfix\/dh_4096.pem\n\n# DNSSEC\/DANE (se disponibile)\nsmtp_dns_support_level = dnssec\n\n# Registrazione\nsmtpd_tls_loglevel = 1\n<\/code><\/pre>\n\n<p>Mantenere la catena di certificati completa, prestare attenzione ai diritti corretti per <strong>privato<\/strong> e controllare i log dopo la ricarica. Se TLS 1.2 \u00e8 richiesto per i partner legacy, mi attengo strettamente a GCM\/CHACHA e blocco tutto il resto. Per TLS 1.3, mi affido agli standard dello stack ed evito percorsi speciali che rendono pi\u00f9 difficile la manutenzione. La pinzatura OCSP ha un ruolo con SMTP solo se un proxy a monte la fornisce, quindi la controllo solo per le configurazioni corrispondenti. Dopo ogni modifica, eseguo una convalida con OpenSSL, per riconoscere tempestivamente gli effetti collaterali e per garantire che il <strong>crittografia delle e-mail<\/strong> coerentemente.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-tls-guide-cipher-tips-6954.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Autenticit\u00e0 del trasporto con DANE, MTA-STS, SPF, DKIM e DMARC<\/h2>\n\n<p>Combino TLS con <strong>DANE<\/strong>, pubblicando record TLSA firmati nell'ambito del protocollo DNSSEC. Inoltre, ho impostato MTA-STS in modo che i peer remoti sappiano che il mio host richiede TLS e a quale MX devono attenersi. Per il binding dell'identit\u00e0, firmo i messaggi di posta in uscita con <strong>DKIM<\/strong> e la consegna sicura del dominio tramite le regole SPF. Infine, il DMARC definisce il modo in cui i destinatari devono gestire le deviazioni, rendendo molto pi\u00f9 difficile lo spoofing. Questi componenti lavorano insieme: TLS protegge il trasporto, mentre l'autenticazione rafforza il mittente e aumenta sensibilmente il tasso di consegna.<\/p>\n\n<p>Se le prestazioni sono un collo di bottiglia, ottimizzo la ripresa della sessione, le caratteristiche hardware e l'handshake stesso. \u00c8 possibile iniziare con trucchi pratici con <a href=\"https:\/\/webhosting.de\/it\/ottimizzare-le-prestazioni-dellhandshake-tls-con-quicboost\/\">Handshake TLS pi\u00f9 veloce<\/a>, per ridurre la latenza quando si stabilisce una connessione. Importante: mantengo un equilibrio tra selezione del cifrario e ripresa, perch\u00e9 i compromessi deboli non ripagano in termini di sicurezza. La negoziazione rapida di TLS comporta un risparmio significativo, soprattutto con volumi di posta elevati. In questo modo <strong>Produttivit\u00e0<\/strong> e sicurezza in equilibrio.<\/p>\n\n<h2>Test, monitoraggio e audit<\/h2>\n\n<p>Controllo gli handshake localmente con <strong>openssl<\/strong> e controllare la versione del protocollo, il cifrario e la catena del certificato. Il comando <em>openssl s_client -connect mail.example.de:25 -starttls smtp<\/em> mi mostra in diretta ci\u00f2 che il server remoto sta negoziando. Dopo le modifiche alla configurazione, utilizzo <em>controllo postfix<\/em> e guardare specificamente a <strong>smtpd_tls_loglevel<\/strong>, per isolare i modelli di errore. Gli scanner TLS esterni aiutano a classificare la visibilit\u00e0 pubblica, soprattutto dopo le modifiche dei certificati. Un ciclo di revisione regolare protegge da un deterioramento strisciante, ad esempio se una modifica della libreria influisce sulle priorit\u00e0 dei cifrari.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_nacht_4523.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Frequenti configurazioni errate e soluzioni rapide<\/h2>\n\n<p>Vedo spesso cifrari obsoleti come <strong>AES128-SHA<\/strong>, che sono ancora attivi e impediscono il PFS. Una stringa di cifratura rigorosa e il chiaro blocco di LOW\/MD5\/RC4\/3DES aiutano in questo caso. Secondo schema: certificati intermedi mancanti, che impediscono alle stazioni remote di verificare la catena; aggiungo il file di bundle e faccio un altro test. Su dispositivi come Synology, imposto il profilo TLS su moderno e rimuovo le opzioni legacy in modo che il server SMTP parli moderno. Per Microsoft Exchange, controllo specificamente i criteri TLS 1.2\/1.3, l'assegnazione del certificato per connettore e qualsiasi override del cifrario nella configurazione dell'host, in modo che il server SMTP parli moderno. <strong>Stretta di mano<\/strong>-La selezione \u00e8 giusta.<\/p>\n\n<h2>Anteprima: TLS 1.3, 0-RTT e Post-Quantum<\/h2>\n\n<p>Preferisco TLS 1.3 perch\u00e9 l'handshake \u00e8 pi\u00f9 breve e le vecchie opzioni vengono omesse, riducendo cos\u00ec le superfici di attacco. La selezione dell'opzione <strong>cifrario<\/strong> \u00e8 chiaramente limitato e gli stack moderni forniscono buone impostazioni predefinite. Non uso 0-RTT nel contesto SMTP, poich\u00e9 gli attacchi di replay comportano rischi inutili. Per il futuro, tengo d'occhio le procedure ibride post-quantistiche, che potrebbero trovare spazio nell'ambiente di posta non appena la standardizzazione e il supporto saranno maturi. Rimane importante impostare le politiche e il monitoraggio in modo tale da poter integrare le nuove procedure in un secondo momento senza interruzioni.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_7492.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Prestazioni e tasso di consegna in sintesi<\/h2>\n\n<p>Misuro il <strong>Latenza<\/strong> dell'handshake TLS e ottimizzare le cache per consentirne il riutilizzo. La ripresa della sessione (ticket\/ID) riduce il carico di calcolo e velocizza le connessioni ricorrenti tra gli MTA. Per la revoca dei certificati, mi affido alle informazioni impilabili presso il proxy a monte, se disponibili, per risparmiare accessi aggiuntivi. I grandi destinatari valutano positivamente i trasporti sicuri, il che aumenta il tasso di consegna, mentre i percorsi non sicuri aumentano il rischio di spam e di rifiuto. Con una politica TLS chiara, voci DNS solide e una catena di firme pulita, creo una base affidabile per <strong>Consegnabilit\u00e0<\/strong>.<\/p>\n\n<h2>Il mio programma di configurazione<\/h2>\n\n<p>Inizio con l'ottenere il certificato da una CA affidabile, genero ECDSA e RSA e li memorizzo entrambi in modo pulito sull'host. Poi personalizzo il file <strong>main.cf<\/strong> con i parametri TLS, impostare cifrari forti e disattivare i vecchi protocolli. Viene aggiunto un nuovo file DH a 4096 bit, seguito da un reload e dai primi controlli OpenSSL. Configuro quindi DANE, aggiungo MTA-STS e verifico la validit\u00e0 di SPF\/DKIM\/DMARC. Infine, eseguo test su obiettivi esterni, controllo i registri durante il funzionamento e pianifico verifiche periodiche in modo che il sistema sia in grado di funzionare correttamente. <strong>Configurazione<\/strong> rimane sicuro nel lungo periodo.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls-einstellungen-leitfaden-8421.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Moduli mancanti: Submission, SMTPS e SNI<\/h2>\n\n<p>Non solo proteggo la porta 25, ma anche l'invio (587) e, facoltativamente, SMTPS (465). Per l'invio, impongo la crittografia e l'autenticazione in modo che le password degli utenti non vengano mai inviate in chiaro. In <em>master.cf<\/em> Attivo i servizi e imposto le specifiche sovrascritture:<\/p>\n\n<pre><code>invio # (porta 587) con STARTTLS e obbligo di autenticazione\ninvio inet n - y - - smtpd\n  -o syslog_name=postfix\/submission\n  -o smtpd_tls_security_level=encrypt\n  -o smtpd_tls_auth_only=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n\n# SMTPS (porta 465) come modalit\u00e0 wrapper, se necessario\nsmtps inet n - y - - smtpd\n  -o syslog_name=postfix\/smtps\n  -o smtpd_tls_wrappermode=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n<\/code><\/pre>\n\n<p>Se servo diversi domini di posta su un unico host con i miei certificati, uso <strong>SNI<\/strong>. Uso una mappa SNI per assegnare il percorso del certificato appropriato per ogni host di destinazione e garantire che anche i client MUA vedano il certificato corretto. In questo modo garantisco la separazione dei client con un'identit\u00e0 TLS coerente.<\/p>\n\n<h2>Politiche per dominio: controllo a grana fine<\/h2>\n\n<p>Oltre alla politica globale, gestisco anche <strong>smtp_tls_policy_maps<\/strong> Eccezioni e restringimenti per dominio del destinatario. Questo mi permette di migrare gradualmente i partner legacy o di imporre requisiti particolarmente rigidi per gli obiettivi sensibili.<\/p>\n\n<pre><code># main.cf\nsmtp_tls_policy_maps = hash:\/etc\/postfix\/tls_policy\n\n# \/etc\/postfix\/tls_policy (voci di esempio)\nexample.org solo per il danese\nlegacy.example.net pu\u00f2\nsecure.example.com sicuro\n<\/code><\/pre>\n\n<p><em>solo dane<\/em> applica la protezione DANE senza dipendere dalla CA, <em>sicuro<\/em> richiede una catena CA valida e rifiuta la consegna di testo semplice, <em>pu\u00f2<\/em> rimane opportunistica. Dopo le modifiche, costruisco la mappa con <em>postmap<\/em> e ricaricare Postfix.<\/p>\n\n<h2>DANE e MTA-STS: implementazione concreta<\/h2>\n\n<p>Per <strong>DANE<\/strong> Pubblico i record TLSA sotto DNSSEC. Preferisco utilizzare DANE-EE (3 1 1) perch\u00e9 consente il pinning alla chiave pubblica e facilita la modifica del certificato con la stessa chiave. Un record TLSA esemplare sotto <em>_25._tcp.mail.example.de<\/em> sembra questo:<\/p>\n\n<pre><code>_25._tcp.mail.example.de. IN TLSA 3 1 1\n<\/code><\/pre>\n\n<p>Genero l'hash dal certificato ECDSA o RSA e mi assicuro di ruotarlo prima della scadenza. \u00c8 importante che la zona DNS sia firmata e che la catena di deleghe sia convalidata senza lacune.<\/p>\n\n<p>Per <strong>MTA-STS<\/strong> Ospito il file di criterio tramite HTTPS e aggiungo la voce DNS TXT. In questo modo, specifico che i peer remoti parlano TLS e sono accettati solo con un MX definito. Un file di criterio minimalista:<\/p>\n\n<pre><code>versione: STSv1\nmodalit\u00e0: enforce\nmx: mail.example.de\nmax_age: 604800\n<\/code><\/pre>\n\n<p>Nel DNS viene aggiunta una voce TXT alla voce <em>_mta-sts.example.de<\/em> con la versione corrente. Opzionalmente ho impostato <em>TLS-RPT<\/em> via TXT sotto <em>_smtp._tls.example.de<\/em> per ricevere rapporti sulle violazioni dei criteri. Questa telemetria mi aiuta a riconoscere tempestivamente guasti, declassamenti e certificati difettosi.<\/p>\n\n<h2>Rafforzare i protocolli, specificare il cifrario<\/h2>\n\n<p>Restringo i limiti dei protocolli e impongo la preferenza dei server. TLS 1.0\/1.1 sono oggi superflui; permetto TLS 1.2 e 1.3 solo in profondit\u00e0 e in uscita. Per TLS 1.2, definisco un elenco positivo esplicito per escludere stock misti di vecchi cifrari:<\/p>\n\n<pre><code># Irrigidimento aggiuntivo (main.cf)\nsmtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\n\n# Elenco esplicito dei cifrari TLS 1.2 (solo PFS + AEAD)\ntls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:!aNULL:!eNULL:!MD5:!RC4:!3DES:!CAMELLIA\n\n# Utilizzare la preferenza del server\ntls_preempt_cipherlist = s\u00ec\n<\/code><\/pre>\n\n<p>Mi assicuro che ECDHE sia favorito e che DHE sia solo un ripiego. Tengo aggiornato il mio file DH; sotto TLS 1.3 non ha alcun ruolo, ma \u00e8 ancora utile per le rare azioni DHE.<\/p>\n\n<h2>Ripresa della sessione e cache<\/h2>\n\n<p>Per accelerare le cose, attivo le cache di sessione per il client e il server per rendere pi\u00f9 favorevoli le riconnessioni. Il carico della CPU e la latenza si riducono sensibilmente, soprattutto con un'elevata velocit\u00e0 di invio della posta:<\/p>\n\n<pre><code># Cache di sessione (main.cf)\nsmtpd_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtpd_scache\nsmtp_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtp_scache\nsmtp_tls_connection_reuse = s\u00ec\n<\/code><\/pre>\n\n<p>Controllo il tasso di risposta nei log e mi assicuro che nessuno sia troppo corto. <em>durata_biglietti<\/em> nella libreria TLS per rallentare la ripresa. Importante: la ripresa non deve indebolire la politica; mi attengo agli stessi requisiti di cifratura.<\/p>\n\n<h2>Azienda certificata: Rotazione e manutenzione della catena<\/h2>\n\n<p>Automatizzo il rinnovo e la ricarica dell'MTA in modo che nessun certificato scaduto finisca in funzione. Dopo ogni rinnovo, controllo che i certificati leaf e intermedi siano completamente nel bundle. Per il funzionamento doppio ECDSA\/RSA, mi assicuro che entrambe le coppie ruotino prima che una modifica di massa causi problemi ai clienti. Verifico il percorso SNI e l'invio separatamente, perch\u00e9 i MUA possono mostrare modelli di errore diversi rispetto agli MTA.<\/p>\n\n<h2>Approfondimento della registrazione e della diagnostica<\/h2>\n\n<p>Aumento temporaneamente la profondit\u00e0 del registro quando si verifica un problema e utilizzo gli strumenti di bordo per i controlli incrociati:<\/p>\n\n<pre><code>Registrazione mirata # (main.cf)\nsmtp_tls_loglevel = 1\nsmtp_tls_note_starttls_offer = s\u00ec\n<\/code><\/pre>\n\n<p>Con <em>posttls-finger target.example.com<\/em> Controllo quale politica si aspetta un MTA remoto e quali cifrari\/protocolli sono negoziati. Utilizzo <em>postconf -n | grep tls<\/em>, per vedere solo i parametri TLS esplicitamente impostati; in questo modo posso trovare pi\u00f9 rapidamente le deviazioni dai valori predefiniti. Nei log, cerco termini come <em>nessun cifrario condiviso<\/em>, <em>verifica del certificato fallita<\/em> oppure <em>versione del protocollo<\/em>, che indicano direttamente una mancata corrispondenza del cifrario, problemi di catena o limiti di protocollo troppo rigidi\/troppo permissivi.<\/p>\n\n<h2>Gestire la compatibilit\u00e0 senza sacrificare la sicurezza<\/h2>\n\n<p>Pianifico le transizioni in modo consapevole: rimango in profondit\u00e0 con <em>pu\u00f2<\/em>, per evitare di perdere i messaggi di posta elettronica dai server tradizionali, ma registro le consegne in testo semplice. In uscita rimango rigoroso (DANE\/MTA-STS\/sicuro) e uso <em>smtp_tls_policy_maps<\/em> per i singoli casi. Se i singoli partner possono gestire solo TLS 1.2 con AES-GCM, questo \u00e8 accettabile; io gestisco tutto ci\u00f2 che \u00e8 al di sotto di questo valore tramite eccezioni concordate con un tempo di esecuzione limitato, le documento e le includo nella pianificazione della migrazione. In questo modo si mantiene un livello generale elevato senza bloccare le operazioni commerciali.<\/p>\n\n<h2>Panoramica delle impostazioni predefinite TLS del sistema<\/h2>\n\n<p>Si noti che Postfix utilizza la libreria TLS del sistema. Gli aggiornamenti di OpenSSL\/LibreSSL possono modificare le priorit\u00e0 di cifratura e il comportamento di TLS 1.3. Pertanto, dopo gli aggiornamenti del sistema, controllo casualmente gli handshake e confronto l'output di <em>postconf -n<\/em> con i miei valori target. Un set <em>livello_di_compatibilit\u00e0<\/em> in Postfix aiuta a mantenere stabili le impostazioni predefinite, ma non mi affido ciecamente ad esso e documento le deviazioni esplicite nel file main.cf\/master.cf.<\/p>\n\n<h2>Breve riepilogo per gli amministratori<\/h2>\n\n<p>Vorrei sottolineare che i cifrari forti con PFS, i certificati puliti e le politiche chiare sono essenziali per <strong>SMTP<\/strong> cruciale. TLS 1.3 vi solleva dai problemi di legacy, mentre TLS 1.2 richiede un elenco di cifrari disciplinato. DANE e MTA-STS rafforzano il percorso di trasporto, SPF\/DKIM\/DMARC garantiscono l'identit\u00e0 e la segnalazione. Test regolari e analisi dei log mostrano tempestivamente se una modifica ha effetti collaterali indesiderati. Grazie a questa guida, potrete configurare il vostro server di posta in modo da renderlo sicuro, performante e a prova di futuro, senza inutili <strong>I rischi<\/strong>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Configurazione TLS del mailserver e selezione del cifrario: configurazione smtp tls per una sicurezza ottimale della posta e per un hosting con crittografia delle e-mail. Guida completa per esperti.<\/p>","protected":false},"author":1,"featured_media":18962,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_crdt_document":"","inline_featured_image":false,"footnotes":""},"categories":[708],"tags":[],"class_list":["post-18969","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-email"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"510","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":"1","_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"Mailserver TLS","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"18962","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/it\/wp-json\/wp\/v2\/posts\/18969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/it\/wp-json\/wp\/v2\/comments?post=18969"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/it\/wp-json\/wp\/v2\/posts\/18969\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/it\/wp-json\/wp\/v2\/media\/18962"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/it\/wp-json\/wp\/v2\/media?parent=18969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/it\/wp-json\/wp\/v2\/categories?post=18969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/it\/wp-json\/wp\/v2\/tags?post=18969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}