Accessi POP e IMAP con SSL, TLS e STARTTLS: facciamo chiarezza

Rendere sicuro e cifrato l’accesso alla propria casella email (proteggendolo da eventuali intercettazioni) è molto più semplice ed immediato di quanto molti utenti pensino.

La maggior parte degli ESP (Email Service Provider), Qboxmail compreso, ha attivo sui propri server la possibile di accedere mediante SSL alla propria casella email, sia in POP che in IMAP. Basta configurarlo sul proprio client email e tutte le informazioni sensibili della comunicazione (nome utente, password, contenuto dei messaggi scaricati) saranno cifrati e non intercettabili da eventuali “intrusi” che potrebbero “sniffare” il traffico per vedere il suo contenuto. Nel tempo si sono avvicendati diversi protocolli che hanno reso disponibile il servizio di cifratura dei dati nei protocolli POP e IMAP. Inizialmente le connessioni avvenivano tutte sulle porte 110 (POP) e 143 (IMAP) in chiaro. Poi è stato introdotto il protocollo SSL che lavorava su porte diverse, 995 per il POP e 993 per l’IMAP. Successivamente l’SSL è stato superato dal TLS, sempre sulle porte 993 e 995, infine è stato aggiungo STARTTLS che permette di cifrare le connessioni anche sulle porte originali 110 e 143.

Ad oggi quale di questi protocolli è attivo e merita di essere utilizzato?

Sebbene ci si continui a riferire, anche in molti client email, come SSL quando si parla di accessi sicuri alle email di fatto ad oggi viene sempre usato il protocollo TLS. Di fatto per l’utente non cambia niente, TLSv1 è l’evoluzione di SSLv3 e solo per motivi “storici” lo si chiama ancora SSL. E cosa è il protocollo STARTTLS? Si tratta di una funzionalità aggiuntiva, disponibile sulle porte standard del servizio POP e IMAP (110 e 143) che permette di avviare una sessione in chiaro, chiedere al server se supporta il protocollo “STARTTLS”, se la risposta è si la sessione viene negoziata come cifrata e da lì in avanti inizia lo scambio di informazioni sensibili fino al termine della sezzione. Se il server non supporta STARTTLS la sessione procede con l’invio in chiaro dei dati. Riepilogando, se vogliamo cifrare le nostre connessioni POP e IMAP abbiamo queste possibilità:

• le porte 993 e 995 supportano solo accesso SSL/TLS e la sessione viaggia fin dall’inizio tutta cifrata
• sulle porte 110 e 143 posso chiedere al server di usare STARTTLS, la sessione inizia in chiaro per poi diventare cifrata prima che qualsiasi informazione sensibile sia stata inviata

Ma cosa conviene usare?

Se si vuole essere sicuri che la propria sessione viaggi solo cifrata si devono usare le porte 993 e 995 in quanto queste “parlano” solo in maniera cifrata”. Se si è certi che il proprio provider supporta STARTTLS si possono usare anche le porte standard 110 e 143.

Perchè non vi è un unico protocollo standard?

La risposta è che le nuove funzionalità, in protocolli molti usati, vengono adottate molto lentamente e col tempo si conoscono eventuali “complicazioni” di quello che si è introdotto. Solo col tempo infatti ci si è resi conto che avere più porte per uno stesso servizio introduceva delle complicazioni nella configurazione (specie lato client email). Teoricamente le porte 993 e 995 dovrebbero essere deprecate in favore di STARTTLS sulle porte standard, ma di fatto questo non avverrà mai.