为您的网域启用 MTA 严格传输安全协议 (MTA-STS) 可提高 Gmail 的安全性。MTA-STS 要求对发送到您网域的电子邮件进行身份验证检查和加密,从而提高 Gmail 的安全性。此外,您还可以使用传输层安全协议 (TLS) 报告来获取有关连接到您网域的外部服务器的信息。
与所有邮件服务提供商一样,Gmail 使用简单邮件传输协议 (SMTP) 来发送和接收邮件。SMTP 本身并不能提供安全保障,而且许多 SMTP 服务器并没有增添安全保障来防止恶意攻击。
例如,SMTP 很容易遭受中间人攻击。中间人攻击是指两个服务器之间的通信被截取,并且可能在未被察觉的情况下被更改。使用 MTA-STS 来保护邮件服务器连接有助于防止这类攻击。
详细了解 MTA-STS (RFC 8461) 和 TLS 报告 (RFC 8460)。
Google 建议您为自己的账号设置其他电子邮件身份验证方法,包括 DKIM、SPF 和 DMARC。详细了解推荐的电子邮件身份验证方法
MTA-STS 电子邮件安全性
如果发送邮件的服务器支持 MTA-STS,且接收邮件的服务器强制执行 MTA-STS 政策,则传输电子邮件的 SMTP 连接将会变得更加安全。
接收邮件:为您的网域启用 MTA-STS 后,您将要求外部邮件服务器仅在 SMTP 连接同时满足以下条件时,才向您的网域发送邮件:
- 使用有效的公共证书通过身份验证
- 使用 TLS 1.2 或更高版本进行加密
如果 SMTP 连接未通过身份验证且未经加密,则支持 MTA-STS 的邮件服务器不会向您的网域发送邮件。
发送邮件 :如果接收邮件的外部服务器强制执行 MTA-STS 政策,则从您网域发送的 Gmail 邮件会遵循 MTA-STS 协议要求。
TLS 报告
为您的网域启用 TLS 报告后,您会向连接到您网域的外部邮件服务器请求每日报告。这些报告中包含外部服务器在向您的网域发送邮件时发现的任何连接问题。您可以使用报告数据来识别和修复邮件服务器的安全问题。
MTA-STS 和 TLS 报告的设置步骤
- 检查您网域的 MTA-STS 配置。
- 创建 MTA-STS 政策。
- 发布 MTA-STS 政策。
- 添加 DNS TXT 记录以启用 MTA-STS 和 TLS 报告。
详细了解 MTA-STS 和 TLS 报告
MTA-STS 如何提高电子邮件安全性?
SMTP 的安全性是可选择的,且互联网标准要求 SMTP 接受纯文本连接。SMTP 自身只能全力支持邮件递送,无法保证邮件递送成功或最低服务质量。虽然 SMTP 支持 TLS,但许多 SMTP 服务器并不使用 TLS,因此无法确保安全。
SMTP 服务器常见的安全问题包括:
- TLS 证书过期
- 证书与服务器域名不匹配
- 证书不是由可靠的第三方签发的
- 不支持安全协议
缺乏安全性意味着 SMTP 连接可能遭受中间人攻击和其他类型的恶意攻击。大多数邮件服务提供商尝试通过使用 TLS 的 SMTP 连接发送邮件。但是,如果无法创建 TLS 连接,服务器通常仍会发送邮件。
MTA-STS 会告知发送邮件的服务器,如果未能满足以下条件,不要发送邮件:
- 发送邮件的服务器支持 MTA-STS。
- 接收邮件的服务器强制执行已发布的 MTA-STS 政策。
相关信息
- 了解如何设定 TLS 设置,要求与您所指定的网域或电子邮件地址收发邮件时使用安全连接。
- 参阅 RFC 3207 以详细了解 SMTP。
为什么应该使用 TLS 报告?
TLS 报告会请求外部邮件服务器向您发送有关与您网域的邮件服务器连接的每日报告。报告可通过电子邮件发送或上传到网络服务器。您可以使用报告来了解外部服务器在向您的网域发送邮件时可能遇到的问题。
报告中包含您网域的邮件服务器的 MTA-STS 状态和连接状态的相关信息,包括:
- 检测到的任何 MTA-STS 政策
- 流量统计信息
- 连接失败
- 无法发送的邮件。
在为网域强制执行 MTA-STS 加密和身份验证之前,请将您的政策设置为 测试 模式。查看每日报告,以识别和修复您网域的任何连接问题。然后,将您的政策更改为强制模式。详细了解 MTA-STS 政策模式。
在更多邮件服务提供商开始使用 TLS 报告之前,您可能不会收到很多报告。
相关信息