Verbeter de beveiliging van Gmail door MTA Strict Transport Security (MTA-STS) voor uw domein in te schakelen. MTA-STS verbetert de beveiliging van Gmail door authenticatiecontroles en versleuteling te vereisen voor e-mails die naar uw domein worden verzonden. Gebruik Transport Layer Security (TLS)-rapportage om informatie te verkrijgen over externe serververbindingen met uw domein.
Net als alle andere e-mailproviders gebruikt Gmail het Simple Mail Transfer Protocol (SMTP) voor het verzenden en ontvangen van berichten. SMTP alleen biedt geen beveiliging en veel SMTP-servers hebben geen extra beveiligingsmaatregelen om kwaadaardige aanvallen te voorkomen.
SMTP is bijvoorbeeld kwetsbaar voor man-in-the-middle-aanvallen. Bij een man-in-the-middle-aanval wordt de communicatie tussen twee servers onderschept en mogelijk ongemerkt gewijzigd. Het gebruik van MTA-STS om de verbindingen met mailservers te beveiligen, helpt dit soort aanvallen te voorkomen.
Lees meer over MTA-STS (RFC 8461) en TLS-rapportage (RFC 8460) .
Google raadt aan om extra e-mailverificatiemethoden voor uw account in te stellen, waaronder DKIM, SPF en DMARC. Lees meer over aanbevolen e-mailverificatiemethoden.
MTA-STS e-mailbeveiliging
SMTP-verbindingen voor e-mail zijn veiliger wanneer de verzendende server MTA-STS ondersteunt en de ontvangende server een MTA-STS-beleid in de afgedwongen modus heeft.
E-mail ontvangen: Wanneer u MTA-STS voor uw domein inschakelt, verzoekt u externe mailservers alleen berichten naar uw domein te verzenden wanneer de SMTP-verbinding aan beide volgende voorwaarden voldoet:
- Geverifieerd met een geldig openbaar certificaat.
- Versleuteld met TLS 1.2 of hoger.
Mailservers die MTA-STS ondersteunen, verzenden berichten naar uw domein alleen via verbindingen die zowel authenticatie als versleuteling bevatten.
E-mail verzenden: Gmail-berichten van uw domein voldoen aan MTA-STS wanneer ze worden verzonden naar externe servers met een MTA-STS-beleid in de afgedwongen modus.
TLS-rapportage
Wanneer u TLS-rapportage inschakelt, ontvangt u dagelijks rapporten van externe mailservers die verbinding maken met uw domein. Deze rapporten bevatten informatie over eventuele verbindingsproblemen die de externe servers ondervinden bij het verzenden van e-mail naar uw domein. Gebruik de rapportgegevens om beveiligingsproblemen met uw mailserver te identificeren en op te lossen.
Stappen om MTA-STS- en TLS-rapportage in te stellen
- Controleer de MTA-STS-configuratie voor uw domein.
- Stel een MTA-STS-beleid op.
- Publiceer het MTA-STS-beleid.
- Voeg DNS TXT-records toe om MTA-STS- en TLS-rapportage in te schakelen.
Lees meer over MTA-STS- en TLS-rapporten.
Hoe verbetert MTA-STS de e-mailbeveiliging?
SMTP-beveiliging is optioneel en internetstandaarden vereisen dat SMTP-verbindingen in platte tekst accepteert. SMTP biedt op zichzelf alleen 'best-effort'-mailbezorging. Er is geen garantie voor de bezorging van berichten of een minimale kwaliteit van de dienstverlening. SMTP ondersteunt TLS, maar veel SMTP-servers gebruiken geen TLS en zijn daarom niet veilig.
Veelvoorkomende beveiligingsproblemen met SMTP-servers zijn onder andere:
- Verlopen TLS-certificaten
- Certificaten die niet overeenkomen met de domeinnamen van de server.
- Certificaten die niet zijn uitgegeven door vertrouwde derden.
- Geen ondersteuning voor beveiligde protocollen.
Gebrek aan beveiliging betekent dat SMTP-verbindingen kwetsbaar zijn voor man-in-the-middle-aanvallen en andere vormen van kwaadaardige aanvallen. De meeste e-mailproviders proberen berichten te verzenden via SMTP-verbindingen die gebruikmaken van TLS. Als een TLS-verbinding echter niet tot stand kan worden gebracht, versturen servers het bericht vaak toch.
MTA-STS geeft verzendende servers de opdracht om geen berichten te verzenden, tenzij aan deze voorwaarden is voldaan:
- De verzendende server ondersteunt MTA-STS.
- De ontvangende server heeft een gepubliceerd MTA-STS-beleid in de afgedwongen modus.
Gerelateerde informatie
- Leer hoe u uw TLS-instellingen configureert om een beveiligde verbinding te vereisen voor e-mail van (of naar) specifieke domeinen of e-mailadressen die u opgeeft.
- Lees meer over SMTP in RFC 3207 .
Waarom zou ik TLS-rapporten gebruiken?
TLS-rapportage is een verzoek waarbij externe mailservers u dagelijks rapporten sturen over de verbindingen met de mailservers van uw domein. Deze rapporten kunnen per e-mail worden verzonden of naar een webserver worden geüpload. Gebruik de rapporten om inzicht te krijgen in mogelijke problemen die externe servers ondervinden bij het verzenden van berichten naar uw domein.
Rapporten bevatten informatie over de MTA-STS-status en de verbindingsstatus van de mailservers van uw domein, waaronder:
- Alle MTA-STS-beleidsregels die worden gedetecteerd
- Verkeersstatistieken
- Mislukte verbindingen
- Berichten die niet verzonden konden worden.
Voordat uw domein MTA-STS-versleuteling en -authenticatie afdwingt, stelt u uw beleid in op de testmodus . Controleer de dagelijkse rapporten om eventuele verbindingsproblemen met uw domein te identificeren en op te lossen. Wijzig vervolgens uw beleid naar de afdwingmodus . Lees meer over de MTA-STS-beleidsmodi .
Het kan zijn dat u niet veel rapporten ontvangt totdat TLS-rapportage op grotere schaal door e-mailproviders wordt gebruikt.
Gerelateerde informatie
- Schakel TLS-rapportage in met deze stappen .
- Lees meer over TLS-rapporten in RFC 8460 .