Tăng cường bảo mật cho Gmail bằng cách bật tính năng Bảo mật đường truyền nghiêm ngặt MTA (MTA-STS) cho miền của bạn. MTA-STS giúp cải thiện tính bảo mật của Gmail bằng cách yêu cầu kiểm tra xác thực và mã hoá cho email gửi đến miền của bạn. Sử dụng báo cáo Bảo mật tầng truyền tải (TLS) để nhận thông tin về các kết nối máy chủ bên ngoài đến miền của bạn.
Giống như tất cả các nhà cung cấp dịch vụ thư, Gmail sử dụng Giao thức truyền thư đơn giản (SMTP) để gửi và nhận thư. SMTP không cung cấp tính năng bảo mật và nhiều máy chủ SMTP không có thêm tính năng bảo mật để ngăn chặn các cuộc tấn công độc hại.
Ví dụ: SMTP dễ bị tấn công xen giữa. Tấn công trung gian là một cuộc tấn công trong đó hoạt động giao tiếp giữa hai máy chủ bị chặn và có thể bị thay đổi mà không bị phát hiện. Việc sử dụng MTA-STS để bảo mật các kết nối máy chủ thư giúp ngăn chặn những loại tấn công này.
Tìm hiểu thêm về MTA-STS (RFC 8461) và Báo cáo TLS (RFC 8460).
Bạn nên thiết lập các phương thức xác thực email bổ sung cho tài khoản của mình, bao gồm DKIM, SPF và DMARC. Tìm hiểu thêm về các phương thức xác thực email được đề xuất
Bảo mật email bằng MTA-STS
Các kết nối SMTP cho email sẽ an toàn hơn khi máy chủ gửi hỗ trợ MTA-STS và máy chủ nhận có chính sách MTA-STS ở chế độ được thực thi.
Nhận thư: Khi bật MTA-STS cho miền của mình, bạn yêu cầu các máy chủ thư bên ngoài chỉ gửi thư đến miền của bạn khi kết nối SMTP đáp ứng cả hai điều kiện sau:
- Được xác thực bằng một chứng chỉ công khai hợp lệ
- Được mã hoá bằng TLS 1.2 trở lên
Các máy chủ thư hỗ trợ MTA-STS sẽ chỉ gửi thư đến miền của bạn qua những kết nối có cả tính năng xác thực và mã hoá.
Gửi thư: Thư Gmail từ miền của bạn tuân thủ MTA-STS khi được gửi đến các máy chủ bên ngoài có chính sách MTA-STS ở chế độ được thực thi.
Báo cáo TLS
Khi bật báo cáo TLS, bạn sẽ yêu cầu các máy chủ thư bên ngoài kết nối với miền của bạn gửi báo cáo hằng ngày. Báo cáo này có thông tin về mọi vấn đề kết nối mà các máy chủ bên ngoài gặp phải khi gửi thư đến miền của bạn. Sử dụng dữ liệu trong báo cáo để xác định và khắc phục các vấn đề bảo mật với máy chủ thư của bạn.
Các bước thiết lập MTA-STS và báo cáo TLS
- Kiểm tra cấu hình MTA-STS cho miền của bạn.
- Tạo một chính sách MTA-STS.
- Xuất bản chính sách MTA-STS.
- Thêm bản ghi TXT DNS để bật MTA-STS và báo cáo TLS.
Tìm hiểu thêm về báo cáo MTA-STS và TLS
MTA-STS giúp cải thiện mức độ bảo mật của email như thế nào?
Bảo mật SMTP là không bắt buộc và các tiêu chuẩn trên Internet yêu cầu SMTP chấp nhận các kết nối văn bản thuần tuý. Chỉ SMTP hỗ trợ việc gửi thư theo cách tốt nhất có thể. Không có gì đảm bảo việc gửi tin nhắn hoặc chất lượng dịch vụ tối thiểu. SMTP hỗ trợ TLS nhưng nhiều máy chủ SMTP không sử dụng TLS và không an toàn.
Các vấn đề bảo mật thường gặp với máy chủ SMTP bao gồm:
- Chứng chỉ TLS đã hết hạn
- Chứng chỉ không khớp với tên miền của máy chủ
- Chứng chỉ không do bên thứ ba đáng tin cậy cấp
- Không hỗ trợ các giao thức bảo mật
Việc thiếu tính bảo mật có nghĩa là các kết nối SMTP có nguy cơ bị tấn công xen giữa và các loại tấn công độc hại khác. Hầu hết các nhà cung cấp dịch vụ thư đều cố gắng gửi thư qua các kết nối SMTP sử dụng TLS. Tuy nhiên, nếu không tạo được kết nối TLS, thì các máy chủ thường vẫn gửi thư.
MTA-STS yêu cầu máy chủ gửi không gửi thư trừ phi đáp ứng các điều kiện sau:
- Máy chủ gửi hỗ trợ MTA-STS.
- Máy chủ nhận có một chính sách MTA-STS đã xuất bản ở chế độ được thực thi.
Thông tin liên quan
- Tìm hiểu cách thiết lập chế độ cài đặt TLS để yêu cầu kết nối bảo mật cho email gửi đến (hoặc gửi từ) các miền hoặc địa chỉ email cụ thể mà bạn liệt kê.
- Tìm hiểu thêm về SMTP trong RFC 3207.
Tại sao tôi nên sử dụng báo cáo TLS?
Yêu cầu báo cáo TLS mà các máy chủ thư bên ngoài gửi cho bạn báo cáo hằng ngày về các kết nối với máy chủ thư của miền. Bạn có thể gửi báo cáo qua email hoặc tải báo cáo lên một máy chủ web. Sử dụng các báo cáo này để nắm được những vấn đề mà các máy chủ bên ngoài có thể gặp phải khi gửi thư đến miền của bạn.
Báo cáo có thông tin về trạng thái MTA-STS và trạng thái kết nối cho máy chủ thư của miền, bao gồm:
- Mọi chính sách MTA-STS được phát hiện
- Số liệu thống kê về lưu lượng truy cập
- Kết nối không thành công
- Những tin nhắn không gửi được.
Trước khi miền của bạn thực thi tính năng mã hoá và xác thực MTA-STS, hãy đặt chính sách ở chế độ kiểm thử. Kiểm tra báo cáo hằng ngày để xác định và khắc phục mọi vấn đề về kết nối với miền của bạn. Sau đó, hãy thay đổi chính sách của bạn thành chế độ thực thi. Tìm hiểu thêm về các chế độ chính sách MTA-STS.
Bạn có thể không nhận được nhiều báo cáo cho đến khi các nhà cung cấp dịch vụ thư sử dụng rộng rãi hơn tính năng báo cáo TLS.
Thông tin liên quan
- Bật báo cáo TLS bằng các bước này.
- Tìm hiểu thêm về báo cáo TLS trong RFC 8460.