Leggere la posta Gmail con Thunderbird e OAuth, senza nome utente e password

Google considera i client di posta tradizionali, come Outlook, Apple Mail, Thunderbird e così via come potenzialmente insicuri perché memorizzano in locale le credenziali di accesso ai vari account email senza basarsi su modalità di autenticazione considerate più moderne e sicure (utilizzo di token OAuth 2.0). Ne abbiamo parlato anche nell’articolo Differenza tra POP3 e IMAP: cosa cambia nella ricezione della posta.

Google mette in evidenza che usando un token OAuth2 non vengono continuamente scambiati nomi utente e password con il server remoto (seppure, nel caso di Gmail, usando la crittografia dei dati grazie all’impiego del protocollo TLS) e ne caldeggia l’utilizzo.

Diversamente rispetto a quanto avviene con altri client di posta tradizionali, però, con Thunderbird è possibile usare i protocolli IMAP (consigliato) e POP3 insieme con il protocollo OAuth2 come modalità di autenticazione.
Basta infatti portarsi nel menu Strumenti, Impostazioni account di Thunderbird quindi cliccare su Impostazioni server in corrispondenza dell’account Gmail già configurato.

Qui, sotto “Sicurezza della connessione” (da lasciare su SSL/TLS), si dovrà scegliere OAuth2 come Metodo di autenticazione.

Dopo aver fatto clic su OK, non appena si andrà a scaricare la posta dall’account Gmail, apparirà la pagina di autenticazione di Google nella quale si dovrà confermare (“una tantum”) i propri nome utente e password.

Nella schermata per l’inserimento della password, bisognerà lasciare spuntata la casella Rimani collegato.

Infine, alla comparsa della richiesta riprodotta in figura, si dovrà fare clic sul pulsante Consenti.

D’ora in avanti Thunderbird sarà sempre autorizzato a scaricare la posta dall’account Gmail specificato e non scambierà più username e password con il server remoto.
L’operazione andrà ovviamente ripetuta per il server SMTP (posta in uscita) cliccando su Server in uscita (SMTP) nella colonna di sinistra della finestra di configurazione degli account di posta in Thunderbird.

Portandosi da browser web su questa pagina, previo login, si noterà come conferma l’autorizzazione assegnata a Thunderbird per l’accesso all’account Google.

Come ultimo passo, cliccando sul menu Opzioni di Thunderbird quindi su Sicurezza nella colonna di sinistra e infine su Password, bisognerà eliminare le credenziali di autenticazione dell’account in uso.
Per far ciò basta fare clic sul pulsante Password salvate, digitare l’account Gmail nella casella di ricerca e rimuovere tutte le occorrenze (mailbox://, imap://, smtp://) fatta eccezione per oauth:// che corrisponde alla modalità di autenticazione via OAuth2 appena configurata.

Dopo aver fatto clic su OK, Thunderbird non memorizzerà più le credenziali d’accesso per l’account Gmail appena impostato e vi accederà sempre usando il protocollo OAuth2.

Per gli account Google che non usano la verifica in due passaggi, da questa pagina si potrà quindi porre su “OFF” l'”interruttore” Consenti app meno sicure.
Per gli altri account Google che usano la verifica in due passaggi, si potrà eliminare da questa pagina (Password per le app), la password creata appositamente – in passato – per l’autenticazione con Thunderbird.