您可以為網域開啟 MTA Strict Transport Security (MTA-STS),藉此提升 Gmail 安全性。MTA-STS 可針對傳送到您網域的電子郵件要求進行驗證檢查和加密作業,讓 Gmail 的安全性更加完善。此外,透過傳輸層安全標準 (TLS) 報告,您也能取得外部伺服器與網域間連線的相關資訊。
Gmail 和其他所有郵件服務供應商一樣,都會利用簡易郵件傳輸通訊協定 (SMTP) 收發郵件。不過,SMTP 本身無法確保安全性,許多 SMTP 伺服器也無法提升安全性,因此難以防範惡意攻擊。
舉例來說,SMTP 相當容易遭受中間人攻擊。這種攻擊會攔截兩個伺服器之間的通訊,也可能在系統無法偵測的情況下竄改通訊。如要防範這類攻擊,您可以利用 MTA-STS 強化郵件伺服器連線的安全性。
進一步瞭解 MTA-STS (RFC 8461) 和 TLS 報告 (RFC 8460)。
Google 建議您為帳戶設定其他電子郵件驗證方式,包括 DKIM、SPF 和 DMARC。進一步瞭解建議的電子郵件驗證方式
MTA-STS 電子郵件安全性
如果寄件伺服器支援 MTA-STS,並且收件伺服器在強制執行模式下設有 MTA-STS 政策,就能讓電子郵件的 SMTP 連線更加安全。
接收郵件:為網域開啟 MTA-STS 後,您會要求外部郵件伺服器必須確認 SMTP 連線同時符合下列兩種情況,才能將郵件傳送到您的網域:
- 透過有效的公開憑證進行驗證
- 透過 TLS 1.2 以上版本進行加密
支援 MTA-STS 的郵件伺服器只會經由驗證和加密機制「皆」符合上述情況的連線,將郵件傳送至您的網域。
傳送郵件:如果 Gmail 郵件是從您的網域傳送到在強制執行模式下設有 MTA-STS 政策的外部伺服器,這類郵件就會符合 MTA-STS 的規範。
傳輸層安全標準 (TLS) 報告
開啟傳輸層安全標準 (TLS) 報告後,您會要求連線至您網域的外部郵件伺服器按日提供報告。這類報告中的資訊涉及外部伺服器在傳送郵件到網域時發現的連線問題。透過報告資料,您可以找出與郵件伺服器相關的安全性問題並加以修正。
MTA-STS 和傳輸層安全標準 (TLS) 報告的設定步驟
- 檢查網域的 MTA-STS 設定。
- 建立 MTA-STS 政策。
- 發布 MTA-STS 政策。
- 新增 DNS TXT 記錄,開啟 MTA-STS 和 TLS 報告。
進一步瞭解 MTA-STS 和傳輸層安全標準 (TLS) 報告
SMTP 安全性可依需求調整,相關網際網路標準僅規範 SMTP 必須接受純文字連線。SMTP 本身只會儘可能傳送郵件,無法保證郵件一定能夠送達,對於服務品質也沒有最低限度的要求。雖然 SMTP 支援 TLS,但許多 SMTP 伺服器並不會採用這項標準,因此無法提供安全保障。
常見的 SMTP 伺服器安全性問題包括:
- 傳輸層安全標準 (TLS) 憑證過期
- 憑證與伺服器網域名稱不符
- 憑證不是由可信任的第三方核發
- 不支援安全通訊協定
缺乏安全性會導致 SMTP 連線面臨中間人攻擊和其他類型的惡意攻擊風險。大多數的郵件服務供應商都會嘗試透過採用 TLS 的 SMTP 連線傳送郵件。不過,即使無法建立 TLS 連線,伺服器通常仍會直接傳送郵件
只有在符合下列情況時,MTA-STS 才會要求寄件伺服器傳送郵件:
- 寄件伺服器支援 MTA-STS。
- 收件伺服器在強制執行模式下設有已發布的 MTA-STS 政策。
相關資訊
TLS 報告會要求外部郵件伺服器按日傳送報告,說明與網域郵件伺服器的連線情形。報告可透過電子郵件傳送,或上傳至網路伺服器。這類報告有助您瞭解外部伺服器在傳送郵件到網域時可能遇到的問題。
這些報告會就網域郵件伺服器的 MTA-STS 和連線狀態,列出以下資訊:
- 偵測到的所有 MTA-STS 政策
- 流量統計資料
- 連線失敗次數
- 無法傳送的郵件
在網域強制執行 MTA-STS 加密和驗證機制前,請將政策設為「測試」模式。別忘了查看每日報表,找出並修正網域的連線問題,然後將政策變更為「強制執行」模式。詳情請參閱「MTA-STS 政策模式」。
在郵件服務供應商廣泛採用傳輸層安全標準 (TLS) 報告前,您可能只會收到少量報告。
