Increase Gmail security by turning on MTA Strict Transport Security (MTA-STS) for your domain. MTA-STS improves Gmail security by requiring authentication checks and encryption for email sent to your domain. Use Transport Layer Security (TLS) reporting to get information about external server connections to your domain.
Like all mail providers, Gmail uses Simple Mail Transfer Protocol (SMTP) to send and receive messages. SMTP alone does not provide security, and many SMTP servers don't have added security to prevent malicious attacks.
For example, SMTP is vulnerable to man-in-the-middle attacks. Man-in-the-middle is an attack where communication between two servers is intercepted and possibly changed without detection. Using MTA-STS to secure mail server connections helps prevent these types of attacks.
Узнайте больше о MTA-STS (RFC 8461) и TLS Reporting (RFC 8460) .
Google рекомендует настроить дополнительные методы аутентификации электронной почты для вашей учетной записи, включая DKIM, SPF и DMARC. Узнайте больше о рекомендуемых методах аутентификации электронной почты.
безопасность электронной почты MTA-STS
SMTP-соединения для электронной почты более безопасны, если отправляющий сервер поддерживает MTA-STS, а принимающий сервер имеет политику MTA-STS в режиме принудительного применения.
Получение почты: При включении MTA-STS для вашего домена вы запрашиваете у внешних почтовых серверов отправку сообщений на ваш домен только в том случае, если SMTP-соединение одновременно:
- Подтверждено действительным публичным сертификатом.
- Зашифровано с использованием TLS 1.2 или выше.
Почтовые серверы, поддерживающие MTA-STS, будут отправлять сообщения в ваш домен только по соединениям, обеспечивающим как аутентификацию , так и шифрование.
Отправка почты: Сообщения Gmail из вашего домена соответствуют протоколу MTA-STS при отправке на внешние серверы с политикой MTA-STS в режиме принудительного применения.
Отчетность TLS
When you turn on TLS reporting, you request daily reports from external mail servers that connect to your domain. The reports have information about any connection problems the external servers find when sending mail to your domain. Use report data to identify and fix security issues with your mail server.
Шаги по настройке отчетов MTA-STS и TLS.
- Проверьте конфигурацию MTA-STS для вашего домена.
- Создайте политику MTA-STS.
- Опубликуйте политику MTA-STS.
- Добавьте DNS TXT-записи, чтобы включить отчеты MTA-STS и TLS.
Узнайте больше об отчетах MTA-STS и TLS.
Как MTA-STS повышает безопасность электронной почты?
SMTP security is optional, and internet standards require that SMTP accept plain text connections. SMTP alone supports best-effort mail delivery. There's no guarantee of message delivery or minimum quality of service. SMTP supports TLS but many SMTP servers don't use TLS and are not secure.
К распространённым проблемам безопасности SMTP-серверов относятся:
- Истекший срок действия TLS-сертификатов
- Сертификаты, не соответствующие доменным именам серверов.
- Сертификаты, выданные не доверенными третьими сторонами.
- Отсутствует поддержка защищенных протоколов.
Lack of security means SMTP connections are at risk for man-in-the-middle and other types of malicious attacks. Most mail providers try to send messages over SMTP connections that use TLS. However, if a TLS connection can't be created, servers often send the message anyway.
MTA-STS указывает отправляющим серверам не отправлять сообщения, если не выполняются следующие условия:
- Отправляющий сервер поддерживает MTA-STS.
- На принимающем сервере опубликована политика MTA-STS в режиме принудительного применения.
Дополнительная информация
- Узнайте, как настроить параметры TLS, чтобы для отправки (или получения) электронных писем с определенных доменов или адресов электронной почты, которые вы указываете, требовалось защищенное соединение .
- Подробнее о протоколе SMTP можно узнать в RFC 3207 .
Зачем мне использовать TLS-отчеты?
TLS reporting request that external mail servers send you daily reports about the connections with your domain's mail servers. Reports can be emailed or uploaded to a web server. Use the reports to understand issues external servers might have when sending messages to your domain.
В отчетах содержится информация о состоянии MTA-STS и статусе подключения почтовых серверов вашего домена, включая:
- Обнаружены любые политики MTA-STS
- Статистика трафика
- Неудачные соединения
- Сообщения, которые не удалось отправить.
Before your domain enforces MTA-STS encryption and authentication, set your policy to testing mode. Check the daily reports to identify and fix any connection issues with your domain. Then, change your policy to enforce mode. Learn more about MTA-STS policy modes .
Возможно, вы не будете получать много отчетов, пока протокол TLS не получит более широкое распространение среди почтовых провайдеров.
Дополнительная информация
- Включите отправку отчетов TLS, выполнив следующие шаги .
- Подробнее об отчетах TLS см. в RFC 8460 .