Zwiększ bezpieczeństwo Gmaila, włączając w domenie protokół MTA-STS (MTA Strict Transport Security). MTA-STS zwiększa bezpieczeństwo Gmaila dzięki wymaganiu kontroli uwierzytelniania i szyfrowania e-maili wysyłanych do Twojej domeny. Raportowanie TLS (Transport Layer Security) dostarcza informacji o połączeniach z serwerów zewnętrznych do Twojej domeny.
Podobnie jak inni dostawcy poczty Gmail korzysta z protokołu SMTP (Simple Mail Transfer Protocol) do wysyłania i odbierania wiadomości. Sam protokół SMTP nie zapewnia bezpieczeństwa, a wiele serwerów SMTP nie ma dodatkowych zabezpieczeń zapobiegających złośliwym atakom.
Protokół SMTP jest podatny między innymi na ataki typu „man in the middle”. Jest to atak polegający na przechwyceniu komunikacji między dwoma serwerami, a potencjalnie także wprowadzeniu w niej zmian, w niewykrywalny sposób. Zabezpieczenie połączeń z serwerami poczty za pomocą MTA-STS pomaga zapobiegać tego typu atakom.
Dowiedz się więcej o MTA-STS (RFC 8461) i raportowaniu TLS (RFC 8460).
Google zaleca skonfigurowanie na koncie dodatkowych metod uwierzytelniania poczty e-mail, w tym DKIM, SPF i DMARC. Więcej informacji o zalecanych metodach uwierzytelniania poczty e-mail
Zabezpieczanie poczty e-mail za pomocą MTA-STS
Połączenia SMTP poczty e-mail są bezpieczniejsze, jeśli serwer wysyłający obsługuje MTA-STS, a na serwerze odbierającym jest wymuszane stosowanie zasad MTA-STS.
Odbieranie poczty: jeśli włączysz MTA-STS w domenie, zewnętrzne serwery poczty otrzymają żądanie, aby wysyłały wiadomości do Twojej domeny tylko wtedy, gdy połączenie SMTP jest jednocześnie:
- uwierzytelnione przy użyciu ważnego certyfikatu publicznego,
- szyfrowane za pomocą protokołu TLS 1.2 lub nowszej wersji.
Serwery poczty obsługujące MTA-STS będą wysyłać wiadomości do Twojej domeny tylko przez połączenia, które są jednocześnie uwierzytelnione oraz szyfrowane.
Wysyłanie poczty: wiadomości z Gmaila z Twojej domeny wysyłane na serwery zewnętrzne są domyślnie zgodne z MTA-STS, jeśli jest wymuszane stosowanie zasad MTA-STS.
Raportowanie TLS
Jeśli włączysz raportowanie TLS, zewnętrzne serwery poczty łączące się z Twoją domeną otrzymają żądanie codziennego wysyłania raportów. Te raporty zawierają informacje o wszelkich problemach z połączeniem wykrytych przez serwery zewnętrzne podczas wysyłania poczty do Twojej domeny. Korzystając z danych z raportu, możesz wykryć i rozwiązać problemy z zabezpieczeniami Twojego serwera poczty.
Kroki konfiguracji MTA-STS i raportowania TLS
- Sprawdź konfigurację MTA-STS w domenie.
- Utwórz zasadę MTA-STS.
- Opublikuj zasady MTA-STS.
- Dodaj rekordy DNS TXT, aby włączyć MTA-STS i raportowanie TLS.
Więcej informacji o MTA-STS i raportowaniu TLS
W jaki sposób MTA-STS zwiększa bezpieczeństwo poczty e-mail?
Zabezpieczenia protokołu SMTP są opcjonalne, a internetowe standardy wymagają akceptowania przez SMTP połączeń typu „zwykły tekst”. Sam protokół SMTP zapewnia „możliwie najlepsze” dostarczanie poczty. Nie ma gwarancji dostarczenia wiadomości ani minimalnej jakości usługi. Protokół SMTP obsługuje szyfrowanie TLS, ale wiele serwerów SMTP nie korzysta z protokołu TLS, co nie jest bezpieczne.
Typowe problemy z zabezpieczeniami serwerów SMTP to między innymi:
- nieaktualne certyfikaty TLS,
- certyfikaty niezgodne z nazwami domen serwerów,
- certyfikaty niewystawione przez zaufane urzędy zewnętrzne,
- brak obsługi bezpiecznych protokołów.
Brak tych zabezpieczeń oznacza, że protokół SMTP jest podatny na różne złośliwe ataki, między innymi ataki typu „man in the middle”. Większość dostawców poczty próbuje wysyłać wiadomości przez połączenia SMTP korzystające z protokołu TLS. Jednak serwery często wysyłają wiadomości nawet wtedy, gdy nie można nawiązać połączenia TLS.
MTA-STS informuje serwery wysyłające, aby nie wysyłały wiadomości, chyba że są spełnione te warunki:
- serwer wysyłający obsługuje MTA-STS,
- na serwerze odbierającym są opublikowane i wymuszane zasady MTA-STS.
Powiązane informacje
- Dowiedz się, jak skonfigurować ustawienie TLS w taki sposób, aby było wymagane bezpieczne połączenie w przypadku wymiany e-maili z określonymi domenami lub adresami e-mail.
- Dowiedz się więcej o SMTP z dokumentu RFC 3207.
Dlaczego warto korzystać z raportów TLS?
Raportowanie TLS umożliwia żądanie, aby zewnętrzne serwery poczty wysyłały Ci codzienne raporty o połączeniach z serwerami poczty Twojej domeny. Raporty mogą być wysyłane e-mailem lub przesyłane na serwer internetowy. Korzystaj z tych raportów, aby zrozumieć problemy, które mogą napotkać serwery zewnętrzne podczas wysyłania wiadomości do Twojej domeny.
Raporty zawierają informacje o stanie MTA-STS i stanie połączenia serwerów poczty Twojej domeny, w tym:
- wszystkie wykryte zasady MTA-STS;
- Statystyki ruchu
- Nieudane połączenia
- wiadomości, których nie udało się wysłać.
Zanim w organizacji zostanie wymuszone szyfrowanie i uwierzytelnianie MTA-STS, ustaw zasady w trybie testowym. Sprawdzaj raporty dzienne, aby wykrywać i rozwiązywać problemy z połączeniem z domeną. Następnie zmień tryb zasady na tryb wymuszania. Dowiedz się więcej o trybach zasad MTA-STS.
Dopóki dostawcy poczty nie zaczną powszechniej stosować raportowania TLS, możesz otrzymywać niewiele raportów.
Powiązane informacje
- Aby włączyć raportowanie TLS, wykonaj te czynności.
- Dowiedz się więcej o raportowaniu TLS z dokumentu RFC 8460.