Verhoog de beveiliging van Gmail door MTA Strict Transport Security (MTA-STS) in te schakelen voor uw domein. MTA-STS verbetert de beveiliging van Gmail door verificatiecontroles en versleuteling te vereisen voor e-mail die naar uw domein wordt verzonden. Gebruik TLS-rapportage (Transport Layer Security) voor informatie over externe serververbindingen naar uw domein.
Net als alle andere e-mailproviders maakt Gmail gebruik van SMTP (Simple Mail Transfer Protocol) voor het verzenden en ontvangen van e-mailberichten. SMTP alleen biedt geen beveiliging en veel SMTP-servers zijn niet voorzien van extra beveiliging om bepaalde typen schadelijke aanvallen te voorkomen.
SMTP is bijvoorbeeld kwetsbaar voor man-in-the-middle-aanvallen. Bij dit type aanval wordt de communicatie tussen twee servers onderschept en mogelijk zonder detectie gewijzigd. Het gebruik van MTA-STS voor betere beveiliging van e-mailserververbindingen helpt dit soort aanvallen te voorkomen.
Meer informatie over MTA-STS (RFC 8461) en TLS-rapportage (RFC 8460).
E-mailbeveiliging met MTA-STS
SMTP-verbindingen voor e-mail zijn veiliger wanneer de verzendende server MTA-STS ondersteunt en de ontvangende server een MTA-STS-beleid heeft dat wordt afgedwongen.
E-mail ontvangen: wanneer u MTA-STS inschakelt voor uw domein, vraagt u externe e-mailservers alleen berichten naar uw domein te verzenden wanneer de volgende twee punten gelden voor de SMTP-verbinding:
- Geverifieerd met een geldig, openbaar certificaat
- Versleuteld met TLS 1.2 of hoger
E-mailservers die MTA-STS ondersteunen, sturen alleen berichten naar uw domein via verbindingen die verificatie en versleuteling gebruiken.
E-mail verzenden: standaard voldoen e-mailberichten van uw domein aan MTA-STS wanneer ze worden verzonden naar externe servers die een MTA-STS-beleid afdwingen.
TLS-rapportage
Wanneer u TLS-rapportage inschakelt, vraagt u om dagelijkse rapporten van externe e-mailservers die verbinding maken met uw domein. De rapporten bevatten informatie over verbindingsproblemen die de externe servers ondervinden bij het verzenden van e-mail naar uw domein. Gebruik de rapportgegevens om beveiligingsproblemen met uw e-mailserver te achterhalen en op te lossen.
Overige beveiligingsfuncties van Gmail
Praktische tips voor e-mailverificatie
We raden u aan altijd de volgende e-mailverificatiemethoden in te stellen voor uw domein:
- Met SPF kunnen servers controleren of berichten die afkomstig lijken te zijn uit een bepaald domein, ook echt zijn verstuurd via servers die zijn geautoriseerd door de eigenaar van het domein.
- DKIM voegt een digitale handtekening toe aan elk bericht. Ontvangstservers kunnen zo controleren of berichten niet zijn vervalst en niet zijn gewijzigd tijdens de overdracht.
- DMARC verifieert berichten met SPF en DKIM en beheert verdachte inkomende berichten.
Stappen voor het instellen van MTA-STS- en TLS-rapportage
- Controleer de MTA-STS-configuratie voor uw domein.
- Maak een MTA-STS-beleid.
- Publiceer het MTA-STS-beleid.
- Voeg DNS TXT-records toe om MTA-STS- en TLS-rapportage in te schakelen.
Meer informatie over MTA-STS- en TLS-rapporten
SMTP-beveiliging is optioneel, en volgens de normen is het vereist dat SMTP platte-tekstverbindingen accepteert. SMTP alleen ondersteunt de best mogelijke e-mailbezorging. Er is geen garantie dat berichten worden bezorgd of dat een minimale servicekwaliteit wordt gehandhaafd. Hoewel SMTP TLS ondersteunt, maken veel SMTP-servers geen gebruik van TLS. Ze zijn dus niet beveiligd.
Veelvoorkomende beveiligingsproblemen met SMTP-servers zijn:
- Verlopen TLS-certificaten
- Certificaten die niet overeenkomen met serverdomeinnamen
- Certificaten niet zijn uitgegeven door vertrouwde derde partijen
- Geen ondersteuning voor beveiligde protocollen
Gebrek aan veiligheid betekent dat SMTP-verbindingen bloot staan aan man-in-the-middle-aanvallen en andere typen schadelijke aanvallen. De meeste e-mailproviders proberen berichten te verzenden via SMTP-verbindingen die gebruikmaken van TLS. Als er echter geen TLS-verbinding kan worden gemaakt, verzenden die servers het bericht vaak toch.
Met MTA-STS kunnen de servers geen berichten verzenden, tenzij aan de volgende voorwaarden wordt voldaan:
- De verzendende server ondersteunt MTA-STS.
- De ontvangende server heeft een gepubliceerd MTA-STS-beleid dat wordt afgedwongen.
Gerelateerde informatie
- Meer informatie over het configureren van uw TLS-instelling voor een beveiligde verbinding voor e-mail naar (of van) specifieke domeinen of e-mailadressen die u opgeeft.
- Meer informatie over SMTP in RFC 3207.
Bij TLS-rapportage sturen externe e-mailservers dagelijks rapporten naar het aanvragende domein. De rapporten kunnen worden gemaild of geüpload naar een webserver. De rapporten bevatten informatie over de MTA-STS van het domein en over de verbindingsstatus. Rapportgegevens omvatten: gedetecteerde MTA-STS-beleidsregels, verkeersstatistieken, mislukte verbindingen en berichten die niet konden worden verzonden.
Met deze rapporten krijgt u informatie over problemen die externe servers kunnen ondervinden bij het verzenden van berichten naar uw domein. U kunt rapporten ontvangen voordat uw domein MTA-STS-versleuteling en -verificatie afdwingt door uw beleid in te stellen op de testmodus. Los eventuele verbindingsproblemen met uw domein op voordat u uw beleid instelt op afdwingen. Meer informatie over beleidsmodi voor MTA-STS.
U ontvangt mogelijk niet veel rapporten totdat TLS-rapportage algemener wordt gebruikt door e-mailproviders.
Meer informatie over TLS-rapporten in RFC 8460.
