Tăng cường tính bảo mật cho Gmail bằng cách bật tính năng Bảo mật đường truyền nghiêm ngặt MTA (MTA-STS) cho miền của bạn. MTA-STS cải thiện tính bảo mật cho Gmail bằng cách yêu cầu kiểm tra xác thực và mã hoá đối với email gửi đến miền của bạn. Sử dụng tính năng báo cáo Bảo mật tầng truyền tải (TLS) để nhận thông tin về các kết nối máy chủ bên ngoài với miền của bạn.
Giống như tất cả các nhà cung cấp dịch vụ email, Gmail sử dụng Giao thức truyền thư đơn giản (SMTP) để gửi và nhận thư. Chỉ riêng SMTP không cung cấp tính bảo mật và nhiều máy chủ SMTP không có tính năng bảo mật bổ sung để ngăn chặn các cuộc tấn công độc hại.
Ví dụ: SMTP dễ bị tấn công xen giữa. Tấn công xen giữa là một cuộc tấn công trong đó hoạt động giao tiếp giữa hai máy chủ bị chặn và có thể bị thay đổi mà không bị phát hiện. Việc sử dụng MTA-STS để bảo mật các kết nối máy chủ thư giúp ngăn chặn các loại tấn công này.
Tìm hiểu thêm về MTA-STS (RFC 8461) và Báo cáo TLS (RFC 8460).
Bạn nên thiết lập các phương thức xác thực email bổ sung cho tài khoản của mình, bao gồm DKIM, SPF và DMARC. Tìm hiểu thêm về các phương thức xác thực email được đề xuất
Bảo mật email MTA-STS
Các kết nối SMTP cho email sẽ an toàn hơn khi máy chủ gửi hỗ trợ MTA-STS và máy chủ nhận có chính sách MTA-STS ở chế độ được thực thi.
Nhận thư: Khi bật MTA-STS cho miền của mình, bạn yêu cầu các máy chủ thư bên ngoài chỉ gửi thư đến miền của bạn khi kết nối SMTP vừa:
- Được xác thực bằng chứng chỉ công khai hợp lệ
- Được mã hoá bằng TLS 1.2 trở lên
Các máy chủ thư hỗ trợ MTA-STS sẽ chỉ gửi thư đến miền của bạn thông qua các kết nối có cả tính năng xác thực và mã hoá.
Gửi thư: Thư Gmail từ miền của bạn tuân thủ MTA-STS khi được gửi đến các máy chủ bên ngoài có chính sách MTA-STS ở chế độ được thực thi.
Báo cáo TLS
Khi bật tính năng báo cáo TLS, bạn yêu cầu các máy chủ thư bên ngoài kết nối với miền của bạn gửi báo cáo hằng ngày. Báo cáo có thông tin về mọi vấn đề kết nối mà các máy chủ bên ngoài phát hiện khi gửi thư đến miền của bạn. Sử dụng dữ liệu báo cáo để xác định và khắc phục các vấn đề bảo mật với máy chủ thư của bạn.
Các bước thiết lập MTA-STS và tính năng báo cáo TLS
- Kiểm tra cấu hình MTA-STS cho miền của bạn.
- Tạo chính sách MTA-STS.
- Xuất bản chính sách MTA-STS.
- Thêm bản ghi TXT DNS để bật MTA-STS và tính năng báo cáo TLS.
Tìm hiểu thêm về MTA-STS và báo cáo TLS
MTA-STS cải thiện tính bảo mật cho email như thế nào?
Tính năng bảo mật SMTP là không bắt buộc và các tiêu chuẩn internet yêu cầu SMTP chấp nhận các kết nối văn bản thuần tuý. Chỉ riêng SMTP hỗ trợ tính năng gửi thư tốt nhất có thể. Không có gì đảm bảo việc gửi thư hoặc chất lượng dịch vụ tối thiểu. SMTP hỗ trợ TLS nhưng nhiều máy chủ SMTP không sử dụng TLS và không an toàn.
Các vấn đề bảo mật thường gặp với máy chủ SMTP bao gồm:
- Chứng chỉ TLS hết hạn
- Chứng chỉ không khớp với tên miền của máy chủ
- Chứng chỉ không do bên thứ ba đáng tin cậy phát hành
- Không hỗ trợ các giao thức an toàn
Việc thiếu tính bảo mật có nghĩa là các kết nối SMTP có nguy cơ bị tấn công xen giữa và các loại tấn công độc hại khác. Hầu hết các nhà cung cấp dịch vụ email đều cố gắng gửi thư qua các kết nối SMTP sử dụng TLS. Tuy nhiên, nếu không thể tạo kết nối TLS, thì máy chủ thường vẫn gửi thư.
MTA-STS yêu cầu máy chủ gửi không gửi thư trừ phi các điều kiện sau là đúng:
- Máy chủ gửi hỗ trợ MTA-STS.
- Máy chủ nhận có chính sách MTA-STS đã xuất bản ở chế độ được thực thi.
Thông tin liên quan
- Tìm hiểu cách thiết lập chế độ cài đặt TLS để yêu cầu kết nối an toàn cho email đến (hoặc từ) các miền hoặc địa chỉ email cụ thể mà bạn liệt kê.
- Tìm hiểu thêm về SMTP trong RFC 3207.
Tại sao tôi nên sử dụng báo cáo TLS?
Yêu cầu báo cáo TLS để các máy chủ thư bên ngoài gửi cho bạn báo cáo hằng ngày về các kết nối với máy chủ thư của miền. Bạn có thể nhận báo cáo qua email hoặc tải báo cáo lên máy chủ web. Sử dụng báo cáo để hiểu rõ các vấn đề mà máy chủ bên ngoài có thể gặp phải khi gửi thư đến miền của bạn.
Báo cáo có thông tin về trạng thái MTA-STS và trạng thái kết nối cho máy chủ thư của miền, bao gồm:
- Mọi chính sách MTA-STS được phát hiện
- Số liệu thống kê về lưu lượng truy cập
- Kết nối không thành công
- Thư không gửi được.
Trước khi miền của bạn thực thi tính năng mã hoá và xác thực MTA-STS, hãy đặt chính sách ở chế độ thử nghiệm. Kiểm tra báo cáo hằng ngày để xác định và khắc phục mọi vấn đề kết nối với miền của bạn. Sau đó, hãy thay đổi chính sách sang chế độ thực thi. Tìm hiểu thêm về các chế độ chính sách MTA-STS.
Bạn có thể không nhận được nhiều báo cáo cho đến khi các nhà cung cấp dịch vụ email sử dụng tính năng báo cáo TLS rộng rãi hơn.
Thông tin liên quan
- Bật tính năng báo cáo TLS bằng các bước sau.
- Tìm hiểu thêm về báo cáo TLS trong RFC 8460.