Powiadomienie

Duet AI to teraz Gemini w Google Workspace. Więcej informacji

Zwiększanie bezpieczeństwa poczty e-mail przy użyciu MTA-STS i raportowania TLS

Informacje o MTA-STS i raportowaniu TLS

Zwiększ bezpieczeństwo poczty e-mail dzięki uwierzytelnianiu i szyfrowaniu

Zwiększ bezpieczeństwo Gmaila, włączając w domenie protokół MTA-STS (MTA Strict Transport Security). MTA-STS zwiększa bezpieczeństwo Gmaila dzięki wymaganiu kontroli uwierzytelniania i szyfrowania e-maili wysyłanych do Twojej domeny. Raportowanie TLS (Transport Layer Security) dostarcza informacji o połączeniach z serwerów zewnętrznych do Twojej domeny.

Podobnie jak inni dostawcy poczty Gmail korzysta z protokołu SMTP (Simple Mail Transfer Protocol) do wysyłania i odbierania e-maili. Sam protokół SMTP nie zapewnia bezpieczeństwa, a wiele serwerów SMTP nie ma dodatkowych zabezpieczeń zapobiegających niektórym typom złośliwych ataków.

Protokół SMTP jest podatny między innymi na ataki typu „man in the middle”. Jest to atak polegający na przechwyceniu komunikacji między dwoma serwerami, a potencjalnie także wprowadzeniu w niej zmian, w niewykrywalny sposób. Zabezpieczenie połączeń z serwerami poczty za pomocą MTA-STS pomaga zapobiegać tego typu atakom.

Dowiedz się więcej o MTA-STS (RFC 8461) i raportowaniu TLS (RFC 8460).

Zabezpieczanie poczty e-mail za pomocą MTA-STS

Połączenia SMTP poczty e-mail są bezpieczniejsze, jeśli serwer wysyłający obsługuje MTA-STS, a na serwerze odbierającym jest wymuszane stosowanie zasad MTA-STS.

Odbieranie poczty: jeśli włączysz MTA-STS w domenie, zewnętrzne serwery poczty otrzymają żądanie, aby wysyłały wiadomości do Twojej domeny tylko wtedy, gdy połączenie SMTP jest jednocześnie:

  • uwierzytelnione przy użyciu ważnego certyfikatu publicznego,
  • szyfrowane za pomocą protokołu TLS 1.2 lub nowszej wersji.

Serwery poczty obsługujące MTA-STS będą wysyłać wiadomości do Twojej domeny tylko przez połączenia, które są jednocześnie uwierzytelnione oraz szyfrowane.

Wysyłanie poczty: e-maile z Twojej domeny wysyłane na serwery zewnętrzne są domyślnie zgodne z MTA-STS, jeśli jest wymuszane stosowanie zasad MTA-STS.

Raportowanie TLS

Jeśli włączysz raportowanie TLS, zewnętrzne serwery poczty łączące się z Twoją domeną otrzymają żądanie codziennego wysyłania raportów. Te raporty zawierają informacje o wszelkich problemach z połączeniem wykrytych przez serwery zewnętrzne podczas wysyłania poczty do Twojej domeny. Korzystając z danych z raportu, możesz wykryć i rozwiązać problemy z zabezpieczeniami Twojego serwera poczty.

Inne funkcje zabezpieczeń Gmaila

Sprawdzone metody uwierzytelniania poczty e-mail

Zalecamy skonfigurowanie w domenie tych metod uwierzytelniania poczty e-mail:

  • SPF pozwala serwerom sprawdzać, czy wiadomości pochodzące z określonej domeny są wysyłane z serwerów autoryzowanych przez jej właściciela.
  • DKIM dodaje podpis cyfrowy do każdej wiadomości. Dzięki temu serwery sprawdzają, czy wiadomości nie są sfałszowane i nie zostały zmienione podczas przesyłania.
  • DMARC uwierzytelnia wiadomości przy użyciu SPF i DKIM oraz zarządza podejrzanymi wiadomościami przychodzącymi.
Szczegółowe instrukcje znajdziesz w artykule Zapobieganie spamowi, podszywaniu się i wyłudzaniu informacji.

Kroki konfiguracji MTA-STS i raportowania TLS

  1. Sprawdź konfigurację MTA-STS w domenie.
  2. Utwórz zasady MTA-STS.
  3. Opublikuj zasady MTA-STS.
  4. Dodaj rekordy DNS TXT, aby włączyć MTA-STS i raportowanie TLS.

Rozpocznij

Więcej informacji o MTA-STS i raportowaniu TLS

W jaki sposób MTA-STS zwiększa bezpieczeństwo poczty e-mail?

Zabezpieczenia protokołu SMTP są opcjonalne, a standardy wymagają akceptowania przez SMTP połączeń typu „zwykły tekst”. Sam protokół SMTP zapewnia „możliwie najlepsze” dostarczanie poczty. Nie ma gwarancji dostarczenia wiadomości ani minimalnej jakości usługi. Chociaż protokół SMTP obsługuje szyfrowanie TLS, wiele serwerów SMTP nie korzysta z protokołu TLS, co nie jest bezpieczne. 

Typowe problemy z zabezpieczeniami serwerów SMTP to między innymi:

  • nieaktualne certyfikaty TLS,
  • certyfikaty niezgodne z nazwami domen serwerów,
  • certyfikaty niewystawione przez zaufane urzędy zewnętrzne,
  • brak obsługi bezpiecznych protokołów.

Brak tych zabezpieczeń oznacza, że protokół SMTP jest podatny na różne złośliwe ataki, między innymi ataki typu „man in the middle”. Większość dostawców poczty próbuje wysyłać wiadomości przez połączenia SMTP korzystające z protokołu TLS. Jednak serwery często wysyłają wiadomości nawet wtedy, gdy nie można nawiązać połączenia TLS.

MTA-STS informuje serwery, aby wysyłały wiadomości wyłącznie wtedy, gdy są spełnione te warunki:

  • serwer wysyłający obsługuje MTA-STS,
  • na serwerze odbierającym są opublikowane i wymuszane zasady MTA-STS.

Powiązane informacje

Dlaczego warto korzystać z raportowania TLS?

Raportowanie TLS umożliwia żądanie, aby zewnętrzne serwery poczty wysyłały codzienne raporty do domeny. Raporty mogą być wysyłane e-mailem lub przesyłane na serwer internetowy. Te raporty zawierają informacje o MTA-STS i o stanie połączenia, które obejmują: wykryte zasady MTA-STS, statystyki ruchu, nieudane połączenia oraz wiadomości, które nie mogły zostać wysłane.

Te raporty pomagają w identyfikacji problemów napotykanych przez serwery zewnętrzne podczas wysyłania wiadomości do Twojej domeny. Możesz zacząć odbierać raporty, zanim w organizacji zostanie wymuszone szyfrowanie i uwierzytelnianie MTA-STS, włączając zasady w trybie testowym. Przed przełączeniem zasad w tryb wymuszony, rozwiąż wszelkie problemy z połączeniem z domeną. Dowiedz się więcej o trybach zasad MTA-STS.

Dopóki dostawcy poczty nie zaczną powszechniej stosować raportowania TLS, możesz otrzymywać niewiele raportów.

Dowiedz się więcej o raportowaniu TLS z dokumentu RFC 8460.

Czy to było pomocne?

Jak możemy ją poprawić?
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
18054032702304563797
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false