Increase SMTP security (MTA-STS and TLS)

Om MTA-STS och TLS-rapportering

Öka e-postsäkerhet med autentisering och kryptering

Öka säkerheten i Gmail genom att aktivera MTA Strict Transport Security (MTA-STS) för domänen. MTA-STS förbättrar Gmail-säkerheten genom att autentiseringskontroller och kryptering krävs för e-post som skickas till din domän. Använd TLS-rapportering (Transport Layer Security) för att få information om externa serveranslutningar till din domän.

Liksom alla e-postleverantörer använder Gmail SMTP (Simple Mail Transfer Protocol) för att skicka och ta emot e-postmeddelanden. SMTP i sig ger ingen säkerhet och många SMTP-servrar har inte lagt till säkerhet för att förhindra vissa typer av attacker.

SMTP är till exempel sårbart för man-in-the-middle-attacker. Man-in-the-middle är en attack där kommunikationen mellan två servrar avlyssnas och eventuellt ändras utan detektering. Om du använder MTA-STS för att öka säkerheten för e-postserverns anslutningar bidrar det till att förhindra dessa typer av attacker.

Läs mer om MTA-STS (RFC 8461) och TLS-rapportering (RFC 8460).

E-postsäkerhet med MTA-STS

SMTP-anslutningar för e-post är säkrare när den avsändande servern har stöd för MTA-STS och den mottagande servern har en MTA-STS-policy i hanterat läge.

Mottagning av e-post: När du aktiverar MTA-STS för domänen begär du att externa postservrar skickar meddelanden till din domän enbart när SMTP-anslutningen är både:

  • Autenticerad med ett giltigt offentligt certifikat
  • Krypterad med TLS 1.2 eller högre

E-postservrar som stöder MTA-STS skickar enbart meddelanden till domänen via anslutningar som har både autentisering och kryptering.

Sändning av e-post: Som standard överensstämmer e-postmeddelanden från din domän med MTA-STS när de skickas till externa servrar med en MTA-STS-policy i hanterat läge.

TLS-rapportering

När du aktiverar TLS-rapportering begär du dagliga rapporter från externa e-postservrar som ansluter till din domän. Rapporterna har information om eventuella anslutningsproblem som de externa servrarna hittar när de skickar e-post till din domän. Använd rapportdata för att identifiera och åtgärda säkerhetsproblem med din e-postserver.

Andra säkerhetsfunktioner i Gmail

Vi rekommenderar att du även konfigurerar dessa säkerhetsfunktioner för domänen:

Åtgärder för att konfigurera MTA-STS och TLS-rapportering

  1. Kontrollera MTA-STS-konfigurationen för domänen.
  2. Skapa en MTA-STS-policy.
  3. Publicera MTA-STS-policyn.
  4. Lägg till DNS TXT-poster för att aktivera MTS-STS och TLS-rapportering.

Kom igång nu

Läs mer om MTA-STS och TLS-rapporter

Hur förbättrar MTA-STS e-postsäkerheten?

SMTP-säkerhet är valfri och standarder kräver att SMTP accepterar anslutningar i vanlig text. SMTP ensamt har stöd för e-postleverans i den mån det är möjligt. Det finns ingen garanti för meddelandeleverans eller lägsta tjänstkvalitet. Även om SMTP har stöd för TLS, använder många SMTP-servrar inte TLS och är inte säkra. 

Vanliga säkerhetsproblem med SMTP-servrar är:

  • TLS-certifikat som har löpt ut
  • Certifikat som inte matchar serverns domännamn
  • Certifikat som inte har utfärdats av betrodd tredje part
  • Inget stöd för säkra protokoll

Brist på säkerhet betyder att SMTP-anslutningar är utsatta för man-in-the-middle och andra typer av attacker. De flesta e-postleverantörer försöker skicka meddelanden via SMTP-anslutningar som använder TLS. Om det inte går att skapa en TLS-anslutning skickar dock ofta servrarna meddelandet ändå.

MTA-STS anger för avsändande servrar att de inte ska skicka meddelanden om inte dessa villkor är uppfyllda:

  • Den avsändande servern har stöd för MTA-STS.
  • Den mottagande servern har en publicerad MTA-STS-policy i hanterat läge.

Relaterad information

Varför ska jag använda TLS-rapportering?

TLS-rapportering begär att externa e-postservrar ska skicka dagliga rapporter till den begärande domänen. Rapporterna kan skickas via e-post eller laddas upp till en webbserver. Rapporterna har information om domänens MTA-STS och anslutningsstatus. Rapportinformationen inkluderar: identifierade MTA-STS-policyer, trafikstatistik, misslyckade anslutningar och meddelanden som inte kunde skickas.

Rapporterna hjälper dig att få veta mer om eventuella problem som externa servrar kan ha vid sändning av meddelanden till din domän. Du kan börja få rapporter innan domänen verkställer MTA-STS-kryptering och autentisering genom att ställa in din policy på testläge. Lös eventuella anslutningsproblem med domänen innan du ändrar policyn till tillämpat läge. Läs mer om MTA-STS-policylägen.

Du får kanske inte många rapporter förrän användningen av TLS-rapportering har fått större utbredning bland e-postleverantörer.

Läs mer om TLS-rapporter i RFC 8460.

Var det här till hjälp?
Hur kan vi förbättra den?