Öka Gmail-säkerheten genom att aktivera MTA Strict Transport Security (MTA-STS) för din domän. MTA-STS förbättrar Gmail-säkerheten genom att kräva autentiseringskontroller och kryptering för e-post som skickas till din domän. Använd Transport Layer Security (TLS)-rapportering för att få information om externa serveranslutningar till din domän.
Liksom alla e-postleverantörer använder Gmail Simple Mail Transfer Protocol (SMTP) för att skicka och ta emot meddelanden. SMTP ensamt ger inte säkerhet, och många SMTP-servrar har inte extra säkerhet för att förhindra skadliga attacker.
Till exempel är SMTP sårbart för man-in-the-middle-attacker. Man-in-the-middle är en attack där kommunikationen mellan två servrar avlyssnas och eventuellt ändras utan att upptäckas. Att använda MTA-STS för att säkra e-postserveranslutningar hjälper till att förhindra den här typen av attacker.
Läs mer om MTA-STS (RFC 8461) och TLS-rapportering (RFC 8460) .
Google rekommenderar att du konfigurerar ytterligare e-postautentiseringsmetoder för ditt konto, inklusive DKIM, SPF och DMARC. Läs mer om rekommenderade e-postautentiseringsmetoder.
MTA-STS e-postsäkerhet
SMTP-anslutningar för e-post är säkrare när den sändande servern stöder MTA-STS och den mottagande servern har en MTA-STS-policy i tvingande läge.
Ta emot e-post: När du aktiverar MTA-STS för din domän begär du att externa e-postservrar skickar meddelanden till din domän endast när SMTP-anslutningen är både:
- Autentiserad med ett giltigt offentligt certifikat
- Krypterad med TLS 1.2 eller högre
E-postservrar som stöder MTA-STS skickar endast meddelanden till din domän via anslutningar som har både autentisering och kryptering.
Skicka e-post: Gmail-meddelanden från din domän följer MTA-STS när de skickas till externa servrar med en MTA-STS-policy i tvingande läge.
TLS-rapportering
När du aktiverar TLS-rapportering begär du dagliga rapporter från externa e-postservrar som ansluter till din domän. Rapporterna innehåller information om eventuella anslutningsproblem som de externa servrarna hittar när de skickar e-post till din domän. Använd rapportdata för att identifiera och åtgärda säkerhetsproblem med din e-postserver.
Steg för att konfigurera MTA-STS- och TLS-rapportering
- Kontrollera MTA-STS-konfigurationen för din domän.
- Skapa en MTA-STS-policy.
- Publicera MTA-STS-policyn.
- Lägg till DNS TXT-poster för att aktivera MTA-STS- och TLS-rapportering.
Läs mer om MTA-STS- och TLS-rapporter
Hur förbättrar MTA-STS e-postsäkerheten?
SMTP-säkerhet är valfritt, och internetstandarder kräver att SMTP accepterar anslutningar i oformaterad text. SMTP stöder enbart leverans av e-post med bästa möjliga prestanda. Det finns ingen garanti för meddelandeleverans eller lägsta servicekvalitet. SMTP stöder TLS men många SMTP-servrar använder inte TLS och är inte säkra.
Vanliga säkerhetsproblem med SMTP-servrar inkluderar:
- Utgångna TLS-certifikat
- Certifikat som inte matchar serverdomännamn
- Certifikat som inte utfärdats av betrodda tredje parter
- Inget stöd för säkra protokoll
Bristande säkerhet innebär att SMTP-anslutningar är utsatta för man-in-the-middle-attacker och andra typer av skadliga attacker. De flesta e-postleverantörer försöker skicka meddelanden via SMTP-anslutningar som använder TLS. Men om en TLS-anslutning inte kan skapas skickar servrar ofta meddelandet ändå.
MTA-STS instruerar sändande servrar att inte skicka meddelanden om inte dessa villkor är uppfyllda:
- Den sändande servern stöder MTA-STS.
- Den mottagande servern har en publicerad MTA-STS-policy i tvingande läge.
Relaterad information
- Lär dig hur du konfigurerar din TLS-inställning för att kräva en säker anslutning för e-post till (eller från) specifika domäner eller e-postadresser som du anger.
- Läs mer om SMTP i RFC 3207 .
Varför ska jag använda TLS-rapporter?
TLS-rapportering begär att externa e-postservrar skickar dagliga rapporter om anslutningarna till din domäns e-postservrar. Rapporter kan skickas via e-post eller laddas upp till en webbserver. Använd rapporterna för att förstå problem som externa servrar kan ha när de skickar meddelanden till din domän.
Rapporter innehåller information om MTA-STS-status och anslutningsstatus för din domäns e-postservrar, inklusive:
- Alla MTA-STS-policyer som upptäcks
- Trafikstatistik
- Misslyckade anslutningar
- Meddelanden som inte kunde skickas.
Innan din domän tillämpar MTA-STS-kryptering och autentisering, ställ in din policy på testläge . Kontrollera de dagliga rapporterna för att identifiera och åtgärda eventuella anslutningsproblem med din domän. Ändra sedan din policy till tillämpat läge. Läs mer om MTA-STS-policylägen .
Du kanske inte får många rapporter förrän TLS-rapportering används i större utsträckning av e-postleverantörer.
Relaterad information
- Aktivera TLS-rapportering med dessa steg .
- Läs mer om TLS-rapporter i RFC 8460 .