בדף 'תקינות אבטחה' אפשר לעקוב אחרי ההגדרות המתקדמות של Gmail במסוף Google Admin.
לפני שמתחילים
הוראות להגעה לדף תקינות האבטחה במסוף Admin מופיעות במאמר איך מתחילים להשתמש בדף תקינות האבטחה.
חשוב: יכול להיות שיחלפו עד 48 שעות עד שהעדכונים של רשומות ה-DNS במארח הדומיין יופיעו בדף 'רמת האבטחה', בהתאם לספק הדומיין.
ניתוב אימייל
העברה אוטומטית של אימייל
| הגדרה | העברה אוטומטית של אימיילים – מאפשרת למשתמשים להעביר אוטומטית הודעות נכנסות לכתובת אחרת. |
| סטטוס | מציין את מספר היחידות הארגוניות שבהן ההגדרה הזו מופעלת. |
| המלצה |
כדאי להשבית את האפשרות להעברה אוטומטית של אימיילים כדי להפחית את הסיכון לזליגת נתונים כתוצאה מהעברה של אימיילים. מדובר בשיטה נפוצה בקרב האקרים. פרטים נוספים זמינים במאמר בנושא השבתה של העברה אוטומטית. |
| ההשפעה על המשתמשים |
אם משביתים את ההגדרה הזו, המשתמשים לא יראו את האפשרות להעברת אימיילים בהגדרות של Gmail. כל כללי ההעברה או המסננים הקיימים שהם יצרו לא יפעלו יותר. עם זאת, כללי ההעברה שאתם או אדמינים אחרים יצרתם עדיין יחולו. |
הוספה של הגדרות לכותרות שיסווגו כספאם לכל כללי הניתוב שמוגדרים כברירת מחדל
| הגדרה | הוספה של הגדרות לכותרות שיסווגו כספאם לכל כללי הניתוב שמוגדרים כברירת מחדל – הוספה של כותרת להודעות שמציינת את סטטוס הספאם והפישינג של ההודעה. |
| סטטוס | ההגדרה קובעת אם כותרת הספאם כלולה בכללי הניתוב שמוגדרים כברירת מחדל. |
| המלצה |
מומלץ לכלול את כותרת הספאם בכל כללי הניתוב שהגדרתם כברירת מחדל (אם הגדרתם כאלה). הפעולה הזו מפחיתה את הסיכון לזיופים ולפישינג או מתקפת Whaling. שרתים אחרים שמקבלים הודעות מהארגון יכולים להשתמש במידע הזה כדי לקבוע איך לטפל בהודעות האלה: לדחות, להעביר להסגר בפיקוח אדמין, לשלוח לספאם וכן הלאה. פרטים נוספים והוראות זמינים במאמר הגדרה של ניתוב ברירת המחדל בארגון. טיפ: אם אתם מוסיפים או מעדכנים הגדרות ניתוב בארגון גדול, מומלץ לנסות את הכללים החדשים עם קבוצה קטנה של משתמשים. מידע נוסף זמין במאמר בנושא השיטות המומלצות לבדיקת כללים מהירה יותר. |
| ההשפעה על המשתמשים | כשמסמנים את התיבה הוספת כותרות מסוג X-Gm-Spam ו-X-Gm-Phishy, הסיכון לזיופים ולפישינג או מתקפת Whaling פוחת. |
סינון תוכן והגנה על נתונים
אחסון כל האימיילים (CRL)
| הגדרה |
אחסון כל האימיילים – כך מובטח שעותק של כל ההודעות שנשלחות או מתקבלות בדומיין שלכם יאוחסן בתיבות הדואר ב-Gmail של המשתמשים המשויכים. ההגדרה הזו מצמצמת את הסיכון למחיקת נתונים. |
| סטטוס | מציין את מספר היחידות הארגוניות שבהן ההגדרה הזו מושבתת. |
|
המלצה |
כדי להפעיל את ההגדרה הזו:
פרטים נוספים זמינים במאמר בנושא הגדרת אחסון כל האימיילים (CRL). |
| ההשפעה על המשתמשים | אם מפעילים את ההגדרה הזו, המשתמשים יכולים לראות את כל האימיילים שנשלחים ממערכות שאינן Gmail דרך שרתי ממסר ה-SMTP של Google. אדמינים ייעודיים יכולים לגשת לאימיילים האלה גם ב-Vault. ההגדרה הזו מאפשרת גם למשתמשים לראות בתיבת הדואר הנכנס שלהם התראות שנוצרו על ידי המוצר. |
הגדרה אישית של MTA-STS
| הגדרה | הגדרת MTA-STS – דורשת בדיקות אימות והצפנה של אימיילים שנשלחים לדומיין, ומספקת מידע על חיבורים של שרתים חיצוניים לדומיין. |
| סטטוס | מציין אם חסרות רשומות בדומיין או אם הרשומות מוגדרות בצורה שגויה עבור
Mail Transfer Agent-Strict Transport Security (MTA-STS). |
| המלצה | מומלץ להגדיר בדומיין תמיכה ב-MTA-STS. פרוטוקול זה מספק שכבה נוספת של אבטחה להודעות היוצאות, באמצעות אכיפה של הצפנת הודעות אימייל. פרטים נוספים והוראות זמינים במאמר בנושא מידע על MTA-STS ודיווח TLS. |
| ההשפעה על המשתמשים | הגדרת מדיניות MTA-STS מפחיתה את הסיכון שמישהו ייטען את האימייל של המשתמשים. |
מניעת זיוף, פישינג וספאם
DKIM
| הגדרה | DKIM – מוסיף חתימה דיגיטלית לכותרות של הודעות יוצאות. |
| סטטוס | השדה הזה מציין אם DomainKeys Identified Mail (DKIM) מוגדר בדומיין שלכם, או אם הוא חסר או מוגדר בצורה שגויה. הערה: כלי הבדיקה של רמת האבטחה מבצע בדיקות רק על סמך הסלקטור של DKIM שמוגדר כברירת מחדל ב-Google (google._domainkey). |
| המלצה |
מגדירים DKIM לדומיין על ידי הוספת חתימה דיגיטלית לכותרות של הודעות יוצאות באמצעות תקן DKIM. הפעולה הזו מפחיתה את הסיכון לזיופים ולפישינג או מתקפת Whaling. שרתי אימייל שמקבלים אימייל מהדומיין שלכם יכולים לאמת שהאימייל הזה נשלח מהדומיין שלכם. במאמר הגדרת DKIM תוכלו לקרוא פרטים נוספים והוראות. |
| ההשפעה על המשתמשים | הגדרת DKIM מפחיתה את הסיכוי לזיוף של משתמשים, כי אימיילים שנשלחים מהדומיין שלכם חתומים בצורה מוצפנת באמצעות DKIM. |
רשומת SPF
| הגדרה | רשומת SPF – מזהה אילו שרתי דואר מורשים לשלוח אימייל בשם הדומיין. |
|
סטטוס |
מציין אם רשומת Sender Policy Framework (SPF) מוגדרת לדומיין, או אם היא חסרה או מוגדרת באופן שגוי. |
|
המלצה |
מומלץ להגדיר רשומת SPF לדומיין כדי לאשר אימיילים שנשלחים מהדומיין. הפעולה הזו מפחיתה את הסיכון לזיופים ולפישינג או מתקפת Whaling. כדי לשפר את ההגנה, כדאי להשתמש ב-SPF וב-DKIM כדי לאמת את הדומיין שממנו נשלח האימייל. פרטים נוספים והוראות זמינים במאמר בנושא הגדרת SPF. |
| ההשפעה על המשתמשים | אם מגדירים את ההגדרה של רשומת SPF, הסיכוי לזיוף של המשתמשים קטן יותר, כי רק שרתי אימייל ייעודיים מורשים לשלוח אימיילים בשמם. |
DMARC
| הגדרה | DMARC – משמש עם SPF ו-DKIM כדי לזהות ולמנוע זיוף אימיילים. |
|
סטטוס |
השדה הזה מציין אם הוגדרה רשומת DMARC (פרוטוקול מבוסס-דומיין לאימות, דיווח והתאמה של הודעות) לדומיין שלכם, או אם היא חסרה או שההגדרה שלה שגויה. |
| המלצה |
אחרי שמגדירים SPF ו-DKIM, מגדירים רשומת DMARC לדומיין. הפעולה הזו מפחיתה את הסיכון לזיופים ולפישינג או מתקפת Whaling. במאמר הגדרת DMARC תוכלו לקרוא פרטים נוספים והוראות. |
| ההשפעה על המשתמשים |
אם מוסיפים רשומת DMARC, הסיכוי לזיוף של המשתמשים נמוך יותר. במקרים מסוימים, יכול להיות שהמשתמשים ייתקלו בבעיות ברשימות תפוצה אם הן לא מוגדרות בצורה נכונה לפעולה עם DMARC. גרסאות עדכניות של LISTSERV או MailMan יכולות לפעול בשילוב עם שולחי DMARC. מידע נוסף זמין במאמר בנושא הגדרת DMARC. |
עקיפת מסנני ספאם עבור הודעות שהתקבלו משולחים פנימיים
| הגדרה |
עקיפת מסנני ספאם עבור הודעות שהתקבלו משולחים פנימיים |
| סטטוס | מציין את מספר היחידות הארגוניות שבהן מופעלת עקיפה של מסנני ספאם כשהשולח הוא משתמש פנימי. |
| המלצה | משביתים את ההגדרה עקיפה של מסנני ספאם בהודעות שמתקבלות משולחים פנימיים בכל היחידות הארגוניות. השבתת ההגדרה הזו מבטיחה שכל האימיילים של המשתמשים יסוננו לצורך זיהוי ספאם, כולל אימייל משולחים בתוך הארגון. הפעולה הזו מפחיתה את הסיכון לזיופים ולפישינג או מתקפת Whaling. |
|
איך משביתים את ההגדרה הזו |
מגדירים הגדרת ספאם חדשה או עורכים הגדרת ספאם קיימת. פרטים והוראות מופיעים במאמר הוספת מסנן ספאם בהתאמה אישית בקטע הוספת מסנני ספאם בהתאמה אישית ל-Gmail. |
| ההשפעה על המשתמשים | המשתמשים שלכם יקבלו הגנה טובה יותר אם תגדירו סינון של האימיילים שלהם לצורך זיהוי ספאם. היא מפחיתה את הסיכוי לזיופים ולמתקפות פישינג או Whaling. |
שימוש בהגנה מתקדמת מפני פישינג ותוכנות זדוניות
מידת האבטחה של קובץ מצורף
| הגדרה | אבטחת קבצים מצורפים – הגדרות נוספות שמפחיתות את הסיכון לפגיעה מתוכנה זדונית בקבצים מצורפים מוצפנים, בקבצים מצורפים עם סקריפטים משולחים לא מהימנים ובסוגי קבצים לא רגילים באימיילים. |
| סטטוס | ההגדרה הזו קובעת אם כל הגדרות המשנה של אבטחת הקבצים המצורפים מופעלות בדומיין. |
| המלצה |
מומלץ להפעיל הגדרות אבטחה נוספות לקבצים מצורפים וכך להפחית את הסיכון לפגיעה מתוכנה זדונית. פרטים נוספים והוראות מופיעים במאמר בנושא הפעלת הגנה על קבצים מצורפים. חשוב: Google סורקת את כל ההודעות כדי להגן מפני תוכנות זדוניות, גם אם הגדרות ההגנה הנוספות מפני קבצים מצורפים זדוניים לא מופעלות. השימוש בהגדרות האלה עוזר לכם לזהות הודעות אימייל נוספות שלא זוהו קודם כזדוניות. |
| ההשפעה על המשתמשים | לכל הגדרת אבטחה של קבצים מצורפים, אפשר לבחור את הפעולות שרוצים להחיל על אימייל נכנס:
|
אבטחה מפני קישורים ותמונות חיצוניות
| הגדרה | אבטחה מפני קישורים ותמונות חיצוניות – הגדרות נוספות שמזהות קישורים לתוכן זדוני מוסתר ותמונות חיצוניות, ומזהירות את המשתמשים מפני דומיינים לא מהימנים. |
| סטטוס | ההגדרה הזו מציינת אם כל הגדרות המשנה של אבטחה מפני קישורים ותמונות חיצוניות מופעלות בדומיין או בדומיינים. |
| המלצה |
מומלץ להפעיל הגדרות אבטחה נוספות ב-Gmail וכך להפחית את הסיכון לפגיעה מניסיונות פישינג באימייל כתוצאה מקישורים ומתמונות חיצוניות. פרטים והוראות מפורטים במאמר בנושא הפעלה של הגנה על תמונות וקישורים חיצוניים. חשוב: Google סורקת את כל ההודעות כדי להגן מפני פישינג, גם אם לא מופעלות ההגדרות הנוספות האלה לאבטחת קישורים ותמונות חיצוניות. ההגדרות האלה עוזרות ל-Gmail לזהות הודעות אימייל נוספות שלא זוהו קודם כפישינג. |
| ההשפעה על המשתמשים |
|
מניעת זיוף ואבטחת אימות
| הגדרה | אבטחה מפני זיופים ואימות – הגדרות נוספות לזיופים ולאימות, כולל הגנה מפני שמות דומים של דומיינים ועובדים והודעות שלא אומתו באמצעות SPF או DKIM. |
| סטטוס | ההגדרה קובעת אם הגדרות נוספות מופעלות בדומיין. |
| המלצה |
מומלץ להפעיל הגדרות אבטחה נוספות כדי להפחית את הסיכון לפגיעה מניסיונות פישינג. פרטים נוספים והוראות מופיעים במאמר בנושא הפעלת הגנה מפני זיוף והפעלת אימות. חשוב: Google סורקת את כל ההודעות כדי להגן מפני זיוף, גם אם לא הופעלו הגדרות נוספות להגנה מפני זיוף. |
| ההשפעה על המשתמשים | לכל הגדרת בטיחות נוספת, אפשר לבחור אפשרות לגבי אימיילים נכנסים של משתמשים:
|
ניהול ספאם ורשימות היתרים
שולחים שאושרו לא לבצע אימות
| הגדרה | שולחים שאושרו לא לבצע אימות – אתם יכולים להתאים אישית את הגדרת מסנן הספאם עם אפשרות שתאפשר לכם לקבל הודעות לא מאומתות משולחים שציינתם (שולחים מהימנים). |
| סטטוס | מציין אם הפעלתם את ההגדרה בדומיין. |
| המלצה |
כדי להפחית את הסיכון לזיופים ולפישינג, מומלץ לדרוש אימות של כל השולחים המורשים. אנחנו לא ממליצים להשתמש באפשרות הזו כי היא מאפשרת לשולחים מאושרים שלא הגדירו אימות, כמו SPF או DKIM, לעקוף את תיקיית הספאם. פרטים נוספים מופיעים במאמר הוספת מסנני ספאם בהתאמה אישית ל-Gmail. |
| ההשפעה על המשתמשים | אימייל משולחים לא מאומתים לא מסונן לספאם. כתוצאה מכך, המשתמשים שלכם עלולים להיות חשופים לזיוף, לפישינג או להתקפות פישינג ממוקד, ולפריצה לחשבונות. |
שולחים שאושרו בדומיין
| הגדרה | שולחים מאושרים בדומיין – מאפשר לכם לכלול דומיינים ברשימת השולחים שאושרו. |
| סטטוס | מציין אם דומיין כלשהו נכלל ברשימת השולחים שאושרו. |
| המלצה | לא לכלול דומיינים ברשימת השולחים המורשים. אימיילים שנשלחים מכתובות בדומיין הזה לא מסוננים לספאם, ולכן גדל הסיכון לזיוף. פרטים נוספים מופיעים במאמר הוספת מסנני ספאם בהתאמה אישית ל-Gmail. |
| ההשפעה על המשתמשים | אם לא כוללים דומיינים ברשימת השולחים המורשים, הסיכון לזיופים ולפישינג או למתקפות Whaling נמוך יותר עבור המשתמשים. |
כתובות IP ברשימת היתרים לאימייל
| הגדרה | כתובות IP ברשימת ההיתרים של אימייל – רשימה של כתובות IP שהמשתמשים שלכם מצפים לקבל מהן אימיילים לגיטימיים. בדרך כלל, אימיילים שנשלחים מכתובות ה-IP האלה לא מסומנים כספאם. |
| סטטוס | מציין את מספר היחידות הארגוניות שבהן הגדרתם כתובות IP ברשימת ההיתרים לאימייל. |
|
המלצה |
כדי להפחית את הסיכון לזיופים ולפישינג, מומלץ לא להגדיר כתובות IP ברשימת ההיתרים לאימיילים. אם יש לכם שרתי דואר שמעבירים אימיילים ל-Gmail: כדי להפיק את המרב משירות סינון הספאם של Gmail וכדי לקבל את התוצאות הטובות ביותר של סיווג הספאם, צריך להגדיר את כתובות ה-IP שלהם כשערים לדואר נכנס, ולא להוסיף אותם לרשימת ההיתרים של כתובות ה-IP. פרטים נוספים זמינים במאמר בנושא הגדרת שער לדואר נכנס. |
|
איך מסירים כתובות IP מרשימת ההיתרים לאימייל |
|
| ההשפעה על המשתמשים | אם מסירים כתובות IP מרשימת ההיתרים של כתובות אימייל, המשתמשים מוגנים טוב יותר מפני הסיכון לזיוף, פישינג או מתקפת Whaling. |
אפליקציות
.הגדרת Gmail
הגדרה אישית של רשומת MX
| הגדרה | הגדרת רשומת MX – עוזרת ל-Google לסנן את האימייל שלכם כדי למנוע ספאם ותוכנות זדוניות, ומפחיתה את הסיכון לאובדן אימיילים. |
| סטטוס | ההגדרה הזו מציינת אם הגדרתם את רשומות ה-MX של הדומיין כך שיפנו לשרתי הדואר של Google כרשומה בעדיפות העליונה. |
| המלצה |
צריך לקבוע שרשומות ה-MX יצביעו על שרתי הדואר של Google כרשומה בעדיפות העליונה, שתבטיח זרימה תקינה של דואר למשתמשים בדומיין שלכם ב-Google Workspace. הפעולה הזו מפחיתה את הסיכון למחיקת נתונים (באמצעות אימייל שאבד) ולאיומי תוכנות זדוניות. פרטים והוראות מופיעים במאמרים הפעלת Gmail ב-Google Workspace וערכים של רשומות MX של Google Workspace. |
| ההשפעה על המשתמשים | רשומות MX שהוגדרו בצורה נכונה מגנות על המשתמשים מפני תוכנות זדוניות וספאם, ומפני הסיכון לאובדן אימיילים. |
שימוש בתוכנות אימייל של צד שלישי
גישה ל-POP ול-IMAP
| הגדרה | גישה ל-POP ול-IMAP – מאפשרת למשתמשים לגשת לאימייל שלהם באמצעות תוכנות צד שלישי, כמו Mozilla Thunderbird או Microsoft Outlook. |
| סטטוס | מציין את מספר היחידות הארגוניות שבהן הגישה ל-POP ול-IMAP מופעלת. |
| המלצה | השבתת הגישה ל-POP ול-IMAP בכל היחידות הארגוניות. הפעולה הזו מצמצמת את הסיכון לדליפת נתונים, למחיקת נתונים ולזליגת נתונים. אפשר לקרוא פרטים נוספים במאמר בנושא הפעלה או השבתה של POP ו-IMAP למשתמשים. |
| ההשפעה על המשתמשים | השבתה של POP ו-IMAP מונעת מהמשתמשים להשתמש בתוכנות אימייל של צד שלישי, שעלולות ליצור סיכונים לנתונים של הארגון. |
נושאים קשורים
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.