Increase email security with MTA-STS and TLS reports

О стандарте MTA-STS и отчетах TLS

Как повысить безопасность электронной почты с помощью аутентификации и шифрования

Чтобы повысить безопасность электронной почты при использовании Gmail, настройте поддержку стандарта MTA-STS в домене. В результате все электронные письма, отправленные в домен, должны будут проходить аутентификацию и шифроваться. Чтобы получать информацию о подключениях внешних почтовых серверов к домену, используйте отчеты TLS.

Для отправки и получения электронных писем в Gmail (как и у всех поставщиков услуг электронной почты) используется протокол SMTP. Он не обеспечивает защищенный обмен письмами, и у многих SMTP-серверов нет дополнительных функций безопасности для предотвращения определенных видов атак со стороны злоумышленников.

Например, протокол SMTP уязвим для атаки посредника, во время которой обмен данными между двумя серверами перехватывается, а затем в данные вносятся изменения, которые невозможно обнаружить. Использование стандарта MTA-STS помогает повысить безопасность подключений к почтовому серверу и предотвратить подобные атаки.

Подробнее о стандарте MTA-STS (RFC 8461) и об отчетах TLS (RFC 8460)

Стандарт безопасности электронной почты MTA-STS

Чтобы повысить безопасность подключений по протоколу SMTP, сервер отправителя должен поддерживать стандарт MTA-STS, а на сервере получателя должно быть опубликовано и принудительно использоваться правило MTA-STS.

Получение почты. Когда вы включите правило MTA-STS, внешние почтовые серверы будут отправлять электронные письма в ваш домен, только если в отношении подключения по протоколу SMTP выполняются оба следующих условия:

  • Подключение прошло аутентификацию с помощью действительного открытого сертификата.
  • Подключение зашифровано с помощью TLS 1.2 или более поздней версии.

Почтовые серверы, которые поддерживают стандарт MTA-STS, будут отправлять электронные письма в ваш домен, только если подключения по протоколу SMTP прошли аутентификацию и шифруются.

Отправка почты. По умолчанию электронные письма из домена соответствуют требованиям стандарта MTA-STS, если при их отправке на внешние серверы принудительно применяется правило MTA-STS.

Отчеты TLS

Включите отчеты TLS, чтобы получать ежедневные отчеты от внешних почтовых серверов, которые подключаются к вашему домену. Они содержат информацию обо всех проблемах, возникающих на внешних серверах при отправке электронных писем в ваш домен, и помогают выявить и исправить проблемы безопасности, относящиеся к вашему почтовому серверу.

Другие функции безопасности Gmail

Мы рекомендуем вам настроить следующие функции безопасности для домена:

  • SPF: определяет круг доменов, письма из которых могут поступать пользователям вашей организации.
  • DMARC: определяет, как обрабатываются подозрительные письма в домене.
  • DKIM: позволяет удостовериться, что электронное письмо не было изменено после отправки.

Как настроить протокол MTA-STS и отчеты TLS

  1. Проверьте конфигурацию MTA-STS для вашего домена.
  2. Создайте правило MTA-STS.
  3. Опубликуйте правило MTA-STS.
  4. Добавьте записи TXT в систему доменных имен (DNS), чтобы включить правило MTS-STS и отчеты TLS.

Начать настройку

Дополнительная информация о стандарте MTA-STS и отчетах TLS

Как протокол MTA-STS повышает безопасность электронной почты?

Использование средств безопасности протокола SMTP является необязательным. Кроме того, стандарты требуют, чтобы протокол SMTP поддерживал возможность обмена незашифрованными данными. Сам по себе протокол SMTP не гарантирует доставку почты и не обеспечивает минимальное качество обслуживания. Несмотря на то что протокол SMTP поддерживает TLS, множество SMTP-серверов не используют TLS и не являются защищенными. 

Вот некоторые распространенные причины, из-за которых возникают проблемы безопасности, связанные с SMTP-серверами:

  • У сертификатов TLS истек срок действия.
  • Доменные имена в сертификатах не соответствуют доменным именам серверов.
  • Сертификаты не выданы доверенными сторонними центрами сертификации.
  • Отсутствует поддержка протоколов безопасности.

При наличии проблем с безопасностью подключения по протоколу SMTP уязвимы для атаки посредника и других видов атак со стороны злоумышленников. Большинство поставщиков услуг электронной почты пытаются отправлять письма, используя подключение по протоколу SMTP с TLS. Тем не менее, если подключение TLS создать не удается, часто серверы все равно отправляют письма.

После внедрения стандарта MTA-STS почтовые серверы не могут отправлять письма, если не выполнены следующие условия:

  • Сервер, отправляющий письма, поддерживает стандарт MTA-STS.
  • На сервере получателя опубликовано и принудительно используется правило MTA-STS.

Дополнительная информация

  • Дополнительная информация о том, как настроить параметры TLS таким образом, чтобы обмен почтой с определенными доменами или адресами выполнялся только через безопасное подключение, приведена в этой статье.
  • Дополнительная информация о протоколе SMTP приведена в стандарте RFC 3207.
Зачем использовать отчеты TLS?

Включите отчеты TLS, чтобы ежедневно получать отчеты от внешних почтовых серверов. Они отправляются по электронной почте или загружаются на веб-сервер и содержат данные об обнаруженных правилах MTA-STS, статистику трафика, а также сведения об ошибках подключения и неотправленных письмах.

Благодаря отчетам можно узнать о проблемах, которые возникают на внешних серверах при отправке электронных писем в ваш домен. Включите правило MTA-STS в режиме тестирования, чтобы начать получать отчеты до того, как в домене будут принудительно включены аутентификация и шифрование, и заранее исправить проблемы с подключениями внешних почтовых серверов. Подробнее о режимах правила MTA-STS

Количество получаемых отчетов TLS может быть небольшим, пока они не станут более широко использоваться поставщиками услуг электронной почты.

Дополнительная информация об отчетах TLS приведена в стандарте RFC 8460.

Эта информация оказалась полезной?
Как можно улучшить эту статью?