Повысьте безопасность Gmail, включив MTA Strict Transport Security (MTA-STS) для вашего домена. MTA-STS улучшает безопасность Gmail, требуя проверки подлинности и шифрования для электронных писем, отправляемых на ваш домен. Используйте отчеты Transport Layer Security (TLS), чтобы получать информацию о подключениях к вашему домену со стороны внешних серверов.
Как и все почтовые провайдеры, Gmail использует протокол Simple Mail Transfer Protocol (SMTP) для отправки и получения сообщений. Сам по себе протокол SMTP не обеспечивает безопасность, и многие SMTP-серверы не имеют дополнительных средств защиты от вредоносных атак.
Например, протокол SMTP уязвим для атак типа «человек посередине». Атака типа «человек посередине» — это атака, при которой перехватывается и, возможно, изменяется обмен данными между двумя серверами без обнаружения. Использование MTA-STS для защиты соединений с почтовыми серверами помогает предотвратить подобные атаки.
Узнайте больше о MTA-STS (RFC 8461) и TLS Reporting (RFC 8460) .
Google рекомендует настроить дополнительные методы аутентификации электронной почты для вашей учетной записи, включая DKIM, SPF и DMARC. Узнайте больше о рекомендуемых методах аутентификации электронной почты.
безопасность электронной почты MTA-STS
SMTP-соединения для электронной почты более безопасны, если отправляющий сервер поддерживает MTA-STS, а принимающий сервер имеет политику MTA-STS в режиме принудительного применения.
Получение почты: При включении MTA-STS для вашего домена вы запрашиваете у внешних почтовых серверов отправку сообщений на ваш домен только в том случае, если SMTP-соединение одновременно:
- Подтверждено действительным публичным сертификатом.
- Зашифровано с использованием TLS 1.2 или выше.
Почтовые серверы, поддерживающие MTA-STS, будут отправлять сообщения в ваш домен только по соединениям, обеспечивающим как аутентификацию , так и шифрование.
Отправка почты: Сообщения Gmail из вашего домена соответствуют протоколу MTA-STS при отправке на внешние серверы с политикой MTA-STS в режиме принудительного применения.
Отчетность TLS
При включении отчетов TLS вы запрашиваете ежедневные отчеты у внешних почтовых серверов, подключающихся к вашему домену. Отчеты содержат информацию о любых проблемах с подключением, которые внешние серверы обнаруживают при отправке почты на ваш домен. Используйте данные отчетов для выявления и устранения проблем безопасности вашего почтового сервера.
Шаги по настройке отчетов MTA-STS и TLS.
- Проверьте конфигурацию MTA-STS для вашего домена.
- Создайте политику MTA-STS.
- Опубликуйте политику MTA-STS.
- Добавьте DNS TXT-записи, чтобы включить отчеты MTA-STS и TLS.
Узнайте больше об отчетах MTA-STS и TLS.
Как MTA-STS повышает безопасность электронной почты?
Безопасность SMTP является необязательной, и интернет-стандарты требуют, чтобы SMTP принимал соединения в открытом текстовом формате. SMTP поддерживает доставку почты только в режиме "наилучших усилий". Нет гарантии доставки сообщений или минимального качества обслуживания. SMTP поддерживает TLS, но многие SMTP-серверы не используют TLS и не являются безопасными.
К распространённым проблемам безопасности SMTP-серверов относятся:
- Истекший срок действия TLS-сертификатов
- Сертификаты, не соответствующие доменным именам серверов.
- Сертификаты, выданные не доверенными третьими сторонами.
- Отсутствует поддержка защищенных протоколов.
Отсутствие безопасности означает, что SMTP-соединения подвержены риску атак типа «человек посередине» и другим видам вредоносных действий. Большинство почтовых провайдеров пытаются отправлять сообщения через SMTP-соединения, использующие TLS. Однако, если установить TLS-соединение не удается, серверы часто отправляют сообщение все равно.
MTA-STS указывает отправляющим серверам не отправлять сообщения, если не выполняются следующие условия:
- Отправляющий сервер поддерживает MTA-STS.
- На принимающем сервере опубликована политика MTA-STS в режиме принудительного применения.
Дополнительная информация
- Узнайте, как настроить параметры TLS, чтобы для отправки (или получения) электронных писем с определенных доменов или адресов электронной почты, которые вы указываете, требовалось защищенное соединение .
- Подробнее о протоколе SMTP можно узнать в RFC 3207 .
Зачем мне использовать TLS-отчеты?
Запрос на отправку отчетов по протоколу TLS требует от внешних почтовых серверов ежедневной отправки отчетов о соединениях с почтовыми серверами вашего домена. Отчеты можно отправлять по электронной почте или загружать на веб-сервер. Используйте отчеты, чтобы понять, с какими проблемами могут сталкиваться внешние серверы при отправке сообщений на ваш домен.
В отчетах содержится информация о состоянии MTA-STS и статусе подключения почтовых серверов вашего домена, включая:
- Обнаружены любые политики MTA-STS
- Статистика трафика
- Неудачные соединения
- Сообщения, которые не удалось отправить.
Прежде чем ваш домен начнет применять шифрование и аутентификацию MTA-STS, переведите политику в тестовый режим. Проверяйте ежедневные отчеты, чтобы выявить и устранить любые проблемы с подключением к вашему домену. Затем переведите политику в режим принудительного применения . Узнайте больше о режимах политики MTA-STS .
Возможно, вы не будете получать много отчетов, пока протокол TLS не получит более широкое распространение среди почтовых провайдеров.
Дополнительная информация
- Включите отправку отчетов TLS, выполнив следующие шаги .
- Подробнее об отчетах TLS см. в RFC 8460 .