אתם יכולים להגדיל את רמת האבטחה ב-Gmail בעזרת הפעלת פרוטוקול MTA Strict Transport Security (MTA-STS) בדומיין. פרוטוקול MTA-STS משפר את האבטחה ב-Gmail על ידי דרישת בדיקות אימות והצפנה באימיילים שנשלחים לדומיין שלכם. תוכלו להשתמש בדיווח Transport Layer Security (TLS) כדי לקבל מידע על החיבורים של שרת חיצוני לדומיין.
כמו בכל ספקי האימייל, גם ב-Gmail נעשה שימוש בפרוטוקול Simple Mail Transfer Protocol (SMTP) כדי לשלוח ולקבל הודעות. פרוטוקול SMTP לבדו לא מספק אבטחה, ובהרבה שרתי SMTP אין אבטחה נוספת שמיועדת למניעת מתקפות זדוניות.
לדוגמה, SMTP חשוף להתקפות אדם בתווך. זוהי מתקפה שבה התקשורת שבין שני שרתים נפרצת, ושיכול להיות שנערכים בה שינויים מבלי שהפריצה מתגלה. השימוש ב-MTA-STS כדי לאבטח את חיבורי שרת האימייל עוזר למנוע מתקפות כאלו.
מידע נוסף על MTA-STS (RFC 8461) ועל דיווח TLS (RFC 8460)
Google ממליצה להגדיר בחשבון שיטות אימות נוספות לאימיילים, כולל DKIM, SPF ו-DMARC. מידע נוסף על שיטות מומלצות לאימות אימיילים
אבטחת אימייל מסוג MTA-STS
חיבורי SMTP לאימיילים יותר מאובטחים אם בשרת השולח יש תמיכה ב-MTA-STS, ובשרת המקבל יש מדיניות MTA-STS במצב אכיפה.
קבלת אימיילים: הפעלת MTA-STS בדומיין מנחה את שרתי האימייל החיצוניים לשלוח הודעות לדומיין רק אם חיבורי ה-SMTP עומדים בשני התנאים הבאים:
- מאומתים באמצעות אישור ציבורי תקף
- מוצפנים באמצעות TLS בגרסה 1.2 ואילך
שרתי אימייל שתומכים ב-MTA-STS ישלחו הודעות לדומיין שלכם רק בחיבורים שהם גם מאומתים וגם מוצפנים.
שליחת אימיילים: הודעות Gmail מהדומיין פועלות בהתאם ל-MTA-STS כשהן נשלחות לשרתים חיצוניים עם מדיניות MTA-STS במצב אכיפה.
דיווח TLS
כשמפעילים דוחות TLS, אתם מבקשים דוחות יומיים משרתים חיצוניים שמחוברים לדומיין שלכם. בדוחות יש מידע על בעיות חיבור שזוהו בשרתים החיצוניים במהלך שליחת אימיילים לדומיין. תוכלו להשתמש בנתונים בדוחות כדי לזהות בעיות אבטחה בשרת האימייל שלכם ולתקן אותן.
שלבים להגדרת MTA-STS ודוחות TLS
- בודקים את הגדרות MTA-STS בדומיין.
- יוצרים מדיניות MTA-STS.
- מפרסמים את מדיניות MTA-STS.
- מוסיפים רשומות TXT של DNS כדי להפעיל MTA-STS ודיווח TLS.
מידע נוסף על MTA-STS ודיווח TLS
איך MTA-STS משפר את אבטחת האימייל?
אבטחת SMTP היא אופציונלית, והתקנים באינטרנט דורשים שפרוטוקול ה-SMTP יאשר חיבורים מסוג טקסט פשוט. SMTP לבדו תומך בשליחת אימיילים כמיטב היכולת. לכן לא מובטח שההודעה תימסר ואיכות השירות מינימלית. ב-SMTP יש תמיכה ב-TLS אבל בהרבה שרתי SMTP לא נעשה שימוש ב-TLC והם לא מאובטחים.
בעיות האבטחה הנפוצות בשרתי SMTP הן, בין היתר:
- אישורי TLS שפג תוקפם
- אישורים שלא תואמים לשמות הדומיין של השרת
- אישורים שלא הונפקו על ידי צדדים שלישיים מהימנים
- אין תמיכה בפרוטוקולים מאובטחים
בגלל שאין אבטחה חיבורי SMTP נמצאים בסיכון להתקפות אדם בתווך ולסוגים נוספים של מתקפות זדוניות. רוב ספקי האימייל מנסים לשלוח הודעות בחיבורי SMTP שנעשה בהם שימוש ב-TLS. למרות זאת, אם אי אפשר ליצור חיבורי TLS, השרתים לרוב ישלחו הודעות בכל מקרה.
פרוטוקול MTA-STS מנחה את השרתים השולחים לא לשלוח הודעות אלא אם התנאים האלו מתקיימים:
- בשרת השולח יש תמיכה ב-MTA-STS.
- בשרת המקבל יש מדיניות MTA-STS שפורסמה במצב אכיפה.
מידע קשור
- איך דורשים חיבור מאובטח בהגדרות ה-TLS לאימיילים אל (או מאת) דומיינים מסוימים או כתובות אימייל מסוימות ברשימה.
- מידע נוסף על SMTP זמין במסמך RFC 3207.
למה כדאי להשתמש בדוחות TLS?
דיווח TLS מעביר דרישה לשרתי אימייל חיצוניים לשלוח דוחות יומיים על החיבורים לשרתי האימייל של הדומיין. אפשר לשלוח את הדוחות באימייל או להעלות אותם לשרת אינטרנט. אפשר להשתמש בדוחות כדי לקבל מידע על בעיות בשרתים חיצוניים שהיו יכולות להתעורר במהלך שליחת הודעות לדומיין.
בדוחות יש מידע על סטטוס ה-MTA-STS וסטטוס החיבורים לשרתי האימייל בדומיין, כולל על:
- מדיניות MTA-STS שזוהו
- נתונים סטטיסטיים של תנועה
- חיבורים שנכשלו
- הודעות שלא הייתה אפשרות לשלוח אותן
לפני שבדומיין מופעלת אכיפת MTA-STS על הצפנה ואימות, כדאי להגדיר את המדיניות למצב בדיקה. כדאי לבדוק את הדוחות היומיים כדי לזהות בעיות בחיבור עם הדומיין ולתקן אותן. לאחר מכן, צריך לשנות את המדיניות למצב אכיפה. מידע נוסף על מצבי מדיניות MTA-STS
יכול להיות שלא תקבלו דוחות עד שדיווח ה-TLS יהיה בשימוש תדיר יותר על ידי ספקי אימייל.
מידע קשור