Sie können Gmail in Ihrer Organisation sicherer machen, indem Sie MTA Strict Transport Security (MTA-STS) für Ihre Domain aktivieren. MTA-STS verbessert die Sicherheit von Gmail, da für E-Mails an Ihre Domain Authentifizierungsüberprüfungen und Verschlüsselungen erforderlich sind. Verwenden Sie TLS-Berichte (Transport Layer Security), um Informationen zu externen Serververbindungen mit Ihrer Domain abzurufen.
Wie bei allen E-Mail-Anbietern wird auch bei Gmail für das Senden und Empfangen von Nachrichten das Simple Mail Transfer Protocol (SMTP) verwendet. SMTP allein bietet keine Sicherheit und viele SMTP-Server sind nicht zusätzlich vor bösartigen Angriffen geschützt.
Das Protokoll ist z. B. anfällig für Man-in-the-Middle-Angriffe. Darunter versteht man einen Angriff, bei dem die Kommunikation zwischen zwei Servern abgefangen und möglicherweise unerkannt geändert wird. Mit MTA-STS lässt sich die Sicherheit der Mailserver-Verbindungen erhöhen und die Wahrscheinlichkeit solcher Angriffe verhindern.
Weitere Informationen zu MTA-STS (RFC 8461) und TLS Reporting (RFC 8460).
Google empfiehlt, zusätzliche Methoden zur E‑Mail-Authentifizierung für Ihr Konto einzurichten, darunter DKIM, SPF und DMARC. Weitere Informationen zu empfohlenen E-Mail-Authentifizierungsmethoden
E-Mail-Sicherheit mithilfe von MTA-STS
SMTP-Verbindungen für E-Mails sind sicherer, wenn der sendende Server MTA-STS unterstützt und der empfangende Server eine MTA-STS-Richtlinie im erzwungenen Modus hat.
E-Mails empfangen:Wenn Sie MTA-STS für Ihre Domain aktivieren, dürfen externe Mailserver nur dann Nachrichten an Ihre Domain senden, wenn für die SMTP-Verbindung Folgendes gilt:
- Sie ist mit einem gültigen öffentlichen Zertifikat authentifiziert
- Die Verschlüsselung erfolgt mit TLS 1.2 oder höher
Bei Mailservern, die MTA-STS unterstützen, werden Nachrichten nur über Verbindungen gesendet, die authentifiziert und verschlüsselt sind.
E-Mails senden:Gmail-Nachrichten aus Ihrer Domain erfüllen den MTA-STS-Standard, wenn sie an externe Server mit einer MTA-STS-Richtlinie im erzwungenen Modus gesendet werden.
TLS-Berichterstellung
Wenn Sie TLS Reporting aktivieren, erhalten Sie täglich Berichte von externen Mailservern, die eine Verbindung zu Ihrer Domain herstellen. Darin finden Sie Informationen zu Verbindungsproblemen, die gegebenenfalls beim E‑Mail-Versand von externen Servern an Ihre Domain auftreten. Damit können Sie Sicherheitsprobleme Ihres Mailservers identifizieren und beheben.
Schritte zum Einrichten von MTA-STS und TLS Reporting
- Überprüfen Sie die MTA-STS-Konfiguration für Ihre Domain.
- Erstellen Sie eine MTA-STS-Richtlinie.
- Veröffentlichen Sie die MTA-STS-Richtlinie.
- Fügen Sie DNS-TXT-Einträge hinzu, um MTA-STS und TLS Reporting zu aktivieren.
Weitere Informationen zu MTA-STS- und TLS-Berichten
Wie wird die E-Mail-Sicherheit mit MTA-STS verbessert?
SMTP ist optional und SMTP-Internetstandards verlangen, dass bei diesem Protokoll Klartextverbindungen akzeptiert werden. Mit SMTP allein ist lediglich für die bestmögliche E-Mail-Zustellung gesorgt. Es bietet keine garantierte Nachrichtenübermittlung oder Mindestqualität des Diensts. SMTP unterstützt TLS, aber bei vielen SMTP-Servern wird TLS nicht eingesetzt, was sie unsicher macht.
Häufige Sicherheitsprobleme bei SMTP-Servern:
- Abgelaufene TLS-Zertifikate
- Zertifikate, die nicht mit dem Domainnamen des Servers übereinstimmen
- Zertifikate, die nicht von vertrauenswürdigen Drittanbietern ausgestellt wurden
- Keine Unterstützung für sichere Protokolle
Die mangelnde Sicherheit führt dazu, dass SMTP-Verbindungen durch Man-in-the-Middle-Attacken und andere Angriffe gefährdet sind. Die meisten E-Mail-Anbieter versuchen, Nachrichten über SMTP-Verbindungen zu senden, für die TLS verwendet wird. Ist jedoch keine TLS-Verbindung möglich, werden E-Mails oft trotzdem versendet.
Wenn Sie MTA-STS aktiviert haben, darf ein sendender Server nur dann Nachrichten senden, wenn folgende Bedingungen erfüllt sind:
- Der sendende Server unterstützt MTA-STS.
- Der Empfängerserver hat eine veröffentlichte MTA-STS-Richtlinie im erzwungenen Modus.
Weitere Informationen
- Informationen zum Einrichten der TLS-Einstellung, um eine sichere Verbindung zu erzwingen
- Im RFC 3207 erfahren Sie mehr über SMTP.
Warum sollte ich TLS-Berichte verwenden?
Bei aktiviertem TLS Reporting erhalten Sie täglich Berichte von externen Mailservern zu den Verbindungen mit den Mailservern Ihrer Domain. Sie werden per E-Mail oder als Upload auf einem Webserver zur Verfügung gestellt. Anhand der Berichte können Sie nachvollziehen, ob und welche Probleme auftreten, wenn über externe Server Nachrichten an Ihre Domain gesendet werden.
Die Berichte enthalten Informationen zum MTA-STS-Status und zum Verbindungsstatus der E-Mail-Server Ihrer Domain, darunter:
- Alle erkannten MTA-STS-Richtlinien
- Traffic-Statistiken
- Fehlgeschlagene Verbindungsversuche
- Nachrichten, die nicht gesendet werden konnten.
Bevor in Ihrer Domain die MTA-STS-Verschlüsselung und -Authentifizierung erzwungen werden, sollten Sie für Ihre Richtlinie den Testmodus festlegen. Anhand der täglichen Berichte können Sie Verbindungsprobleme mit Ihrer Domain erkennen und beheben. Legen Sie anschließend den erzwungenenModus für die Richtlinie fest. Weitere Informationen zu den MTA-STS-Richtlinienmodi
Möglicherweise erhalten Sie noch nicht viele TLS-Berichte. Das wird sich ändern, wenn mehr E-Mail-Anbieter diese Funktion unterstützen.
Weitere Informationen
- So aktivieren Sie die TLS-Berichterstellung.
- Weitere Informationen zu TLS-Berichten finden Sie im RFC 8460.