Чтобы повысить безопасность электронной почты при использовании Gmail, настройте поддержку стандарта MTA-STS в домене. В результате все электронные письма, отправленные в домен, должны будут проходить аутентификацию и шифроваться. Чтобы получить информацию о внешних серверах, подключенных к домену, воспользуйтесь отчетами TLS.
Для отправки и получения электронных писем в Gmail (как и у всех поставщиков услуг электронной почты) используется протокол SMTP. Он не обеспечивает защищенный обмен письмами, и у многих SMTP-серверов нет дополнительных функций безопасности для предотвращения атак со стороны злоумышленников.
Например, протокол SMTP уязвим для атаки посредника, во время которой обмен данными между двумя серверами перехватывается, а затем в данные вносятся изменения, которые невозможно обнаружить. Использование стандарта MTA-STS помогает защитить подключения к почтовому серверу и предотвратить подобные атаки.
Подробнее о стандарте MTA-STS (RFC 8461) и об отчетах TLS (RFC 8460)…
Google рекомендует настроить для аккаунта дополнительные способы аутентификации электронной почты, включая DKIM, SPF и DMARC. Подробнее о рекомендуемых способах аутентификации электронной почты…
Стандарт безопасности электронной почты MTA-STS
Чтобы повысить безопасность подключений по протоколу SMTP, сервер отправителя должен поддерживать стандарт MTA-STS, а на сервере получателя должно быть опубликовано и принудительно использоваться правило MTA-STS.
Получение почты. Когда вы включите правило MTA-STS, внешние почтовые серверы будут отправлять электронные письма в ваш домен, только если в отношении подключения по протоколу SMTP выполняются оба следующих условия:
- Подключение прошло аутентификацию с помощью действительного открытого сертификата.
- Подключение зашифровано с помощью TLS 1.2 или более поздней версии.
Почтовые серверы, которые поддерживают стандарт MTA-STS, будут отправлять электронные письма в ваш домен, только если подключения по протоколу SMTP прошли аутентификацию и шифруются.
Отправка почты. Почтовые сообщения Gmail из домена соответствуют требованиям стандарта MTA-STS, если при их отправке на внешние серверы принудительно применяется правило MTA-STS.
Отчеты TLS
Включите отчеты TLS, чтобы получать ежедневные отчеты от внешних почтовых серверов, которые подключаются к вашему домену. Они содержат информацию обо всех проблемах, возникающих на внешних серверах при отправке электронных писем в ваш домен, и помогают выявить и исправить проблемы безопасности, относящиеся к вашему почтовому серверу.
Как настроить протокол MTA-STS и отчеты TLS
- Проверьте конфигурацию MTA-STS для вашего домена.
- Создайте правило MTA-STS.
- Опубликуйте правило MTA-STS.
- Добавьте записи TXT в систему доменных имен (DNS), чтобы включить правило MTA-STS и отчеты TLS.
Дополнительная информация о стандарте MTA-STS и отчетах TLS
Использование средств безопасности протокола SMTP является необязательным. Кроме того, стандарты интернета требуют, чтобы протокол SMTP поддерживал возможность обмена незашифрованными данными. Сам по себе протокол SMTP не гарантирует доставку почты и не обеспечивает минимальное качество обслуживания. Протокол SMTP поддерживает TLS, но множество SMTP-серверов не используют TLS и не являются защищенными.
Вот некоторые распространенные причины, из-за которых возникают проблемы безопасности, связанные с SMTP-серверами:
- У сертификатов TLS истек срок действия.
- Доменные имена в сертификатах не соответствуют доменным именам серверов.
- Сертификаты не выданы доверенными сторонними центрами сертификации.
- Отсутствует поддержка протоколов безопасности.
При наличии проблем с безопасностью подключения по протоколу SMTP уязвимы для атаки посредника и других видов атак со стороны злоумышленников. Большинство поставщиков услуг электронной почты пытаются отправлять письма, используя подключение по протоколу SMTP с TLS. Тем не менее, если подключение TLS создать не удается, часто серверы все равно отправляют письма.
После внедрения стандарта MTA-STS почтовые серверы не могут отправлять письма, если не выполнены следующие условия:
- Сервер, отправляющий письма, поддерживает стандарт MTA-STS.
- На сервере получателя опубликовано и принудительно используется правило MTA-STS.
Статьи по теме
- Подробнее о том, как настроить параметры TLS таким образом, чтобы обмен почтой с определенными доменами или адресами выполнялся только через защищенное подключение…
- Дополнительная информация о протоколе SMTP приведена в стандарте RFC 3207.
Этот вид отчетности позволяет получать от внешних почтовых серверов ежедневные отчеты о подключениях к почтовым серверам домена. Они отправляются по электронной почте или загружаются на веб-сервер. Из них можно узнать о проблемах, которые возникают на внешних серверах при отправке электронных писем в ваш домен.
Отчеты содержат информацию о соблюдении требований стандарта MTA-STS и о статусе подключений для почтовых серверов домена, включая такие сведения:
- обнаруженные правила MTA-STS;
- статистика по трафику;
- неудавшиеся соединения;
- сообщения, которые не удалось отправить.
Прежде чем в домене будут принудительно включены аутентификация и шифрование MTA-STS, задайте для правил режим тестирования. Просмотрите ежедневные отчеты и исправьте неполадки с подключениями в домене. После этого включите режим принудительного применения. Подробнее о режимах правила MTA-STS…
Количество получаемых отчетов TLS может быть небольшим, пока они не станут более широко использоваться поставщиками услуг электронной почты.
Статьи по теме
- Включите отчеты TLS.
- Ознакомьтесь с дополнительными сведениями об отчетах TLS, приведенными в стандарте RFC 8460.
