เปิดใช้ MTA Strict Transport Security (MTA-STS) ให้กับโดเมนเพื่อเพิ่มความปลอดภัยให้กับ Gmail MTA-STS จะช่วยเพิ่มความปลอดภัยของ Gmail ด้วยการตรวจสอบสิทธิ์และการเข้ารหัสสำหรับอีเมลที่ส่งไปยังโดเมนของคุณ ใช้การรายงาน Transport Layer Security (TLS) เพื่อรับข้อมูลเกี่ยวกับการเชื่อมต่อเซิร์ฟเวอร์ภายนอกกับโดเมนของคุณ
Gmail จะใช้โปรโตคอลการถ่ายโอนอีเมลแบบง่าย (SMTP) ในการรับและส่งข้อความเช่นเดียวกันกับผู้ให้บริการอีเมลรายอื่นๆ ทั้งนี้ SMTP เพียงอย่างเดียวไม่ได้ช่วยให้เกิดความปลอดภัย และเซิร์ฟเวอร์ SMTP หลายแห่งก็ไม่มีการรักษาความปลอดภัยเพิ่มเติมเพื่อป้องกันการโจมตีที่เป็นอันตราย
ตัวอย่างเช่น SMTP มีช่องโหว่ที่จะถูกโจมตีจาก "คนกลาง" ซึ่งเป็นการโจมตีโดยการเข้าแทรกแซงหรือเปลี่ยนแปลงข้อมูลในระหว่างที่เซิร์ฟเวอร์ 2 เครื่องกำลังสื่อสารกันโดยไม่ถูกตรวจพบ การใช้ MTA-STS เพื่อรักษาความปลอดภัยให้กับการเชื่อมต่อของเซิร์ฟเวอร์อีเมลจะช่วยป้องกันการโจมตีประเภทดังกล่าวได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับ MTA-STS (RFC 8461) และการรายงาน TLS (RFC 8460)
Google ขอแนะนำให้คุณตั้งค่าวิธีการตรวจสอบสิทธิ์อีเมลเพิ่มเติมสำหรับบัญชี ซึ่งรวมถึง DKIM, SPF และ DMARC ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตรวจสอบสิทธิ์ของอีเมลที่แนะนำ
ความปลอดภัยของอีเมลเมื่อใช้ MTA-STS
การเชื่อมต่อ SMTP สำหรับอีเมลจะมีความปลอดภัยยิ่งขึ้นหากเซิร์ฟเวอร์ที่ใช้ส่งรองรับ MTA-STS และเซิร์ฟเวอร์ที่ใช้รับเปิดโหมดบังคับใช้นโยบาย MTA-STS
การรับอีเมล: การเปิดใช้ MTA-STS ในโดเมนคือการขอให้เซิร์ฟเวอร์อีเมลภายนอกส่งข้อความมายังโดเมนของคุณได้เฉพาะเมื่อการเชื่อมต่อของ SMTP เป็นไปตามเงื่อนไขทั้ง 2 ข้อต่อไปนี้
- ผ่านการตรวจสอบสิทธิ์ด้วยใบรับรองสาธารณะที่ถูกต้อง
- เข้ารหัสด้วย TLS 1.2 ขึ้นไป
เซิร์ฟเวอร์อีเมลที่รองรับ MTA-STS จะส่งข้อความไปยังโดเมนผ่านการเชื่อมต่อที่มีการตรวจสอบสิทธิ์และการเข้ารหัสเท่านั้น
การส่งอีเมล: ข้อความ Gmail ที่ส่งจากโดเมนของคุณจะเป็นไปตามมาตรฐานของ MTA-STS เมื่อส่งไปยังเซิร์ฟเวอร์ภายนอกที่เปิดโหมดบังคับใช้นโยบาย MTA-STS เอาไว้
การรายงาน TLS
การเปิดการรายงาน TLS คือการขอรายงานประจำวันจากเซิร์ฟเวอร์อีเมลภายนอกที่เชื่อมต่อกับโดเมน ซึ่งรายงานนี้จะมีข้อมูลเกี่ยวกับปัญหาการเชื่อมต่อที่เซิร์ฟเวอร์ภายนอกพบในขณะที่ส่งอีเมลมายังโดเมน คุณจึงใช้ข้อมูลในรายงานเพื่อระบุและแก้ปัญหาด้านความปลอดภัยของเซิร์ฟเวอร์อีเมลได้
ขั้นตอนในการตั้งค่า MTA-STS และการรายงาน TLS
- ตรวจสอบการกำหนดค่า MTA-STS สำหรับโดเมน
- สร้างนโยบาย MTA-STS
- เผยแพร่นโยบาย MTA-STS
- เพิ่มระเบียน TXT ของ DNS เพื่อเปิดใช้ MTA-STS และการรายงาน TLS
ดูข้อมูลเพิ่มเติมเกี่ยวกับ MTA-STS และรายงาน TLS
MTA-STS จะช่วยให้อีเมลมีความปลอดภัยขึ้นได้อย่างไร
มาตรฐานอินเทอร์เน็ตโดยทั่วไปกำหนดให้ SMTP ต้องยอมรับการเชื่อมต่อโดยใช้ข้อความธรรมดาได้ แต่ไม่ได้กำหนดให้ต้องมีการรักษาความปลอดภัยสำหรับ SMTP ด้วย แม้ว่า SMTP เพียงอย่างเดียวจะสนับสนุนการนำส่งอีเมลอย่างเต็มที่ แต่จะไม่รับประกันการส่งข้อความหรือคุณภาพขั้นต่ำของการบริการ โดย SMTP จะรองรับ TLS แต่เซิร์ฟเวอร์ SMTP หลายแห่งก็ไม่ได้ใช้ TLS จึงไม่มีความปลอดภัย
ปัญหาด้านความปลอดภัยของเซิร์ฟเวอร์ SMTP ที่พบบ่อยได้แก่
- ใบรับรอง TLS หมดอายุ
- ใบรับรองไม่ตรงกับชื่อโดเมนของเซิร์ฟเวอร์
- ใบรับรองออกให้โดยผู้ให้บริการที่ไม่น่าเชื่อถือ
- ไม่รองรับโปรโตคอลที่ปลอดภัย
การเชื่อมต่อ SMTP ที่ไม่มีความปลอดภัยจะเสี่ยงต่อการถูกโจมตีจาก "คนกลาง" และการโจมตีประเภทอื่นได้ ผู้ให้บริการอีเมลส่วนใหญ่พยายามส่งข้อความผ่านการเชื่อมต่อ SMTP ที่ใช้ TLS แต่แม้ว่าจะเชื่อมต่อ TLS ไม่ได้ เซิร์ฟเวอร์ก็มักจะส่งข้อความนั้นออกไปอยู่ดี
MTA-STS จะบอกให้เซิร์ฟเวอร์ไม่ต้องส่งข้อความเว้นแต่ว่าเงื่อนไขต่อไปนี้จะเป็นจริง
- เซิร์ฟเวอร์ที่ใช้ส่งรองรับ MTA-STS
- เซิร์ฟเวอร์ที่ใช้รับเปิดโหมดบังคับใช้นโยบาย MTA-STS
ข้อมูลที่เกี่ยวข้อง
- ดูวิธีกำหนดการตั้งค่า TLS เพื่อบังคับให้มีการเชื่อมต่อที่ปลอดภัยสำหรับอีเมลขาเข้า (หรือขาออก) ของโดเมนหรืออีเมลที่ระบุ
- ดูข้อมูลเพิ่มเติมเกี่ยวกับ SMTP ใน RFC 3207
ทำไมฉันจึงควรใช้รายงาน TLS
คำขอการรายงาน TLS ที่ขอให้เซิร์ฟเวอร์อีเมลภายนอกส่งรายงานประจำวันเกี่ยวกับการเชื่อมต่อกับเซิร์ฟเวอร์อีเมลของโดเมน โดยอาจส่งรายงานทางอีเมลหรืออัปโหลดไปยังเว็บเซิร์ฟเวอร์ โปรดใช้รายงานเพื่อทำความเข้าใจปัญหาที่เซิร์ฟเวอร์ภายนอกอาจพบเมื่อส่งข้อความไปยังโดเมนของคุณ
รายงานจะมีข้อมูลเกี่ยวกับสถานะ MTA-STS และสถานะการเชื่อมต่อสำหรับเซิร์ฟเวอร์อีเมลของโดเมน ซึ่งรวมถึงข้อมูลต่อไปนี้
- นโยบาย MTA-STS ที่ตรวจพบ
- สถิติการเข้าชม
- การเชื่อมต่อล้มเหลว
- ข้อความที่ส่งไม่ได้
ตั้งค่านโยบายเป็นโหมดทดสอบก่อนที่โดเมนจะบังคับใช้การเข้ารหัสและการตรวจสอบสิทธิ์จาก MTA-STS และตรวจสอบรายงานประจำวันเพื่อระบุและแก้ไขปัญหาการเชื่อมต่อกับโดเมน จากนั้นจึงเปลี่ยนนโยบายเป็นโหมดบังคับใช้ ดูข้อมูลเพิ่มเติมเกี่ยวกับโหมดของนโยบาย MTA-STS
คุณอาจจะยังได้รับรายงานไม่มากจนกว่าผู้ให้บริการอีเมลรายอื่นๆ จะเริ่มใช้การรายงาน TLS กันอย่างแพร่หลายยิ่งขึ้น
ข้อมูลที่เกี่ยวข้อง
- เปิดการรายงาน TLS โดยทำตามขั้นตอนเหล่านี้
- ดูข้อมูลเพิ่มเติมเกี่ยวกับรายงาน TLS ใน RFC 8460