Sie können Gmail in Ihrer Organisation sicherer machen, indem Sie MTA Strict Transport Security (MTA-STS) für Ihre Domain aktivieren. Dieser Standard sorgt dafür, dass eingehende E-Mails verschlüsselt und authentifiziert sein müssen. Zusätzlich haben Sie die Möglichkeit, Transport Layer Security-Berichte (TLS Reporting) zu nutzen. So erhalten Sie Informationen über die Verbindungen externer Server zu Ihrer Domain.
Wie bei allen E-Mail-Anbietern wird auch bei Gmail für das Senden und Empfangen von Nachrichten das Simple Mail Transfer Protocol (SMTP) verwendet. Alleine bietet es jedoch keine Sicherheit und viele SMTP-Server sind nicht zusätzlich vor bestimmten bösartigen Angriffen geschützt.
Das Protokoll ist z. B. anfällig für Man-in-the-Middle-Angriffe. Darunter versteht man einen Angriff, bei dem die Kommunikation zwischen zwei Servern abgefangen und möglicherweise unerkannt geändert wird. Mit MTA-STS lässt sich die Sicherheit der Mailserver-Verbindungen erhöhen und die Wahrscheinlichkeit solcher Angriffe verhindern.
Weitere Informationen zu MTA-STS (RFC 8461) und TLS Reporting (RFC 8460).
E-Mail-Sicherheit mithilfe von MTA-STS
SMTP-Verbindungen für E-Mails sind sicherer, wenn der sendende Server MTA-STS unterstützt und der empfangende Server eine MTA-STS-Richtlinie im erzwungenen Modus hat.
E-Mails empfangen: Wenn Sie MTA-STS für Ihre Domain aktivieren, dürfen externe Mailserver nur dann Nachrichten an Ihre Domain senden, wenn für die SMTP-Verbindung Folgendes gilt:
- Sie ist mit einem gültigen öffentlichen Zertifikat authentifiziert
- Die Verschlüsselung erfolgt mit TLS 1.2 oder höher
Bei Mailservern, die MTA-STS unterstützen, werden Nachrichten nur über Verbindungen gesendet, die authentifiziert und verschlüsselt sind.
E-Mails senden: E-Mails aus Ihrer Domain erfüllen automatisch den MTA-STS-Standard, wenn sie an externe Server mit einer MTA-STS-Richtlinie im erzwungenen Modus gesendet werden.
TLS Reporting
Wenn Sie TLS Reporting aktivieren, erhalten Sie täglich Berichte von externen Mailservern, die eine Verbindung zu Ihrer Domain herstellen. Darin finden Sie Informationen zu Verbindungsproblemen, die gegebenenfalls beim E-Mail-Versand von externen Servern an Ihre Domain auftreten. Damit können Sie Sicherheitsprobleme Ihres Mailservers identifizieren und beheben.
Weitere Sicherheitsfunktionen von Gmail
Best Practices für die E-Mail-Authentifizierung
Wir empfehlen Ihnen, die folgenden E-Mail-Authentifizierungsmethoden immer für Ihre Domain einzurichten:
- Mit SPF kann durch Server überprüft werden, ob Nachrichten, die von einer bestimmten Domain zu stammen scheinen, von Servern kommen, die vom Domaininhaber autorisiert wurden.
- Durch DKIM wird jeder Nachricht eine digitale Signatur hinzugefügt. So kann beim empfangenden Server überprüft werden, ob Nachrichten gefälscht oder während der Übertragung verändert wurden.
- In DMARC werden Nachrichten mit SPF und DKIM authentifiziert und verdächtige eingehende Nachrichten verwaltet.
Schritte zum Einrichten von MTA-STS und TLS Reporting
- Überprüfen Sie die MTA-STS-Konfiguration für Ihre Domain.
- Erstellen Sie eine MTA-STS-Richtlinie.
- Veröffentlichen Sie die MTA-STS-Richtlinie.
- Fügen Sie DNS-TXT-Einträge hinzu, um MTA-STS und TLS Reporting zu aktivieren.
Weitere Informationen zu MTA-STS- und TLS-Berichten
SMTP ist optional und SMTP-Standards verlangen, dass bei diesem Protokoll Klartextverbindungen akzeptiert werden. Mit SMTP allein ist lediglich für die bestmögliche E-Mail-Zustellung gesorgt. Es bietet keine garantierte Nachrichtenübermittlung oder Mindestqualität des Diensts. TLS wird zwar von SMTP unterstützt, aber bei vielen SMTP-Servern nicht eingesetzt, was sie unsicher macht.
Häufige Sicherheitsprobleme bei SMTP-Servern:
- Abgelaufene TLS-Zertifikate
- Zertifikate, die nicht mit dem Domainnamen des Servers übereinstimmen
- Zertifikate, die nicht von vertrauenswürdigen Drittanbietern ausgestellt wurden
- Keine Unterstützung für sichere Protokolle
Die mangelnde Sicherheit führt dazu, dass SMTP-Verbindungen durch Man-in-the-Middle-Attacken und andere Angriffe gefährdet sind. Die meisten E-Mail-Anbieter versuchen, Nachrichten über SMTP-Verbindungen zu senden, für die TLS verwendet wird. Ist jedoch keine TLS-Verbindung möglich, werden E-Mails oft trotzdem versendet.
Haben Sie MTA-STS aktiviert, darf ein sendender Server nur dann Nachrichten senden, wenn folgende Bedingungen erfüllt sind:
- Der sendende Server unterstützt MTA-STS.
- Der Empfängerserver hat eine veröffentlichte MTA-STS-Richtlinie im erzwungenen Modus.
Weitere Informationen
- Hier erfahren Sie, wie Sie mit der TLS-Einstellung erzwingen, dass E-Mails von oder an ausgewählte Domains und E-Mail-Adressen über eine sichere Verbindung (TLS) übertragen werden müssen.
- Im RFC 3207 erfahren Sie mehr über SMTP.
Bei aktiviertem TLS Reporting erhalten Sie täglich Berichte von externen Mailservern an Ihre Domain. Sie werden per E-Mail oder als Upload auf einem Webserver zur Verfügung gestellt. Die Berichte geben Aufschluss über den Verbindungs- und MTA-STS-Status der Domain. Zu den weiteren Informationen zählen Trafficstatistiken sowie Angaben zu erkannten MTA-STS-Richtlinien, fehlgeschlagenen Verbindungen und Nachrichten, die nicht gesendet werden konnten.
So erfahren Sie, ob und welche Probleme auftreten, wenn über externe Server Nachrichten an Ihre Domain gesendet werden. Wenn Sie für Ihre Richtlinie den Testmodus nutzen, erhalten Sie die Berichte auch schon, bevor in Ihrer Domain die MTA-STS-Verschlüsselung und -Authentifizierung erzwungen werden. Beheben Sie alle Verbindungsprobleme in Ihrer Domain, bevor Sie zum erzwungenen Modus wechseln. Weitere Informationen zu den MTA-STS-Richtlinienmodi
Möglicherweise erhalten Sie noch nicht viele TLS-Berichte. Das wird sich ändern, wenn mehr E-Mail-Anbieter diese Funktion unterstützen.
Im RFC 8460 erhalten Sie weitere Informationen zu TLS-Berichten.
