Aumente a segurança do Gmail ativando o MTA-STS (Strict Transport Security) no seu domínio. O MTA-STS melhora a segurança do Gmail exigindo verificações de autenticação e criptografia dos e-mails enviados para seu domínio. Use os relatórios de TLS para ver informações sobre conexões de servidores externos com seu domínio.
Como todos os provedores de e-mail, o Gmail usa o SMTP (Simple Mail Transfer Protocol) para enviar e receber mensagens. Esse protocolo não garante a segurança, e muitos servidores SMTP não têm segurança adicional para impedir certos tipos de ataques mal-intencionados.
Por exemplo, o SMTP é vulnerável a ataques "man-in-the-middle". Esse é um ataque em que a comunicação entre dois servidores é interceptada e possivelmente alterada sem detecção. Usar o MTA-STS para aumentar a segurança das conexões do servidor de e-mail ajuda a evitar esses tipos de ataque.
Saiba mais sobre o MTA-STS (RFC 8461) e o Relatório TLS (RFC 8460).
Segurança de e-mail do MTA-STS
As conexões SMTP para e-mail são mais seguras quando o servidor de envio é compatível com MTA-STS e o servidor de recebimento tem uma política MTA-STS no modo forçado.
Recebimento de e-mails: ao ativar o MTA-STS para seu domínio, você solicita que servidores de e-mail externos enviem mensagens para ele somente quando a conexão SMTP for:
- autenticada com um certificado público válido;
- criptografada com TLS 1.2 ou superior.
Os servidores de e-mail com suporte ao MTA-STS enviarão mensagens para seu domínio somente por conexões autenticadas e criptografadas.
Envio de e-mails: por padrão, as mensagens de e-mail do seu domínio são compatíveis com o MTA-STS quando enviadas para servidores externos com uma política MTA-STS em modo forçado.
Relatórios TLS
Ao ativar o relatório TLS, você solicita relatórios diários dos servidores de e-mail externos que se conectam com seu domínio. Esses relatórios contêm informações sobre problemas de conexão que os servidores externos encontram ao enviar e-mails para seu domínio. Use os dados dos relatórios para identificar e corrigir problemas de segurança no seu servidor de e-mail.
Outros recursos de segurança do Gmail
Práticas recomendadas para a autenticação de e-mail
Recomendamos que você sempre configure estes métodos de autenticação de e-mail no seu domínio:
- O SPF ajuda os servidores a verificar que as mensagens aparentemente enviadas por um domínio específico foram enviadas de servidores autorizados pelo proprietário do domínio.
- O DKIM adiciona uma assinatura digital a cada mensagem. Isso permite que os servidores de destino verifiquem que as mensagens não são falsificadas e não foram alteradas durante o transporte.
- O DMARC autentica mensagens com os protocolos SPF e DKIM e define o que fazer com mensagens recebidas suspeitas.
Etapas para configurar relatórios MTA-STS e TLS
- Verifique a configuração MTA-STS do seu domínio.
- Crie uma política MTA-STS.
- Publique a política MTA-STS.
- Adicione registros TXT do DNS para ativar os relatórios MTA-STS e TLS.
Saiba mais sobre os relatórios MTA-STS e TLS
A segurança SMTP é opcional, e os padrões exigem que o SMTP aceite conexões de texto simples. Só com o SMTP em uso, ocorrem tentativas de entrega de e-mails, mas não há garantia da entrega nem da qualidade mínima do serviço. Embora o SMTP seja compatível com o TLS, muitos servidores SMTP não usam TLS e não são seguros.
Veja alguns dos problemas comuns de segurança com servidores SMTP:
- Certificados TLS expirados
- Certificados que não correspondem aos nomes de domínio do servidor
- Certificados não emitidos por terceiros confiáveis
- Incompatibilidade com protocolos de segurança
Devido à falta de segurança, as conexões SMTP correm risco de ataques "man-in-the-middle" e outros. A maioria dos provedores de e-mail tenta enviar mensagens por conexões SMTP que usam o TLS. No entanto, se uma conexão TLS não puder ser criada, os servidores geralmente enviarão a mensagem mesmo assim.
O MTA-STS instrui os servidores a não enviar mensagens a menos que estas condições sejam verdadeiras:
- O servidor de envio é compatível com MTA-STS.
- O servidor de recebimento tem uma política MTA-STS publicada no modo forçado.
Informações relacionadas
- Saiba como definir sua configuração de TLS para exigir uma conexão segura de e-mail com domínios específicos ou endereços de e-mail listados.
- Saiba mais sobre o SMTP no RFC 3207.
Os relatórios TLS solicitam que os servidores de e-mail externos enviem relatórios diários para o domínio solicitante. Esses relatórios podem ser enviados por e-mail ou para um servidor da Web. Os relatórios contêm informações sobre o MTA-STS e o status da conexão do domínio. As informações que constam do relatório são: políticas MTA-STS detectadas, estatísticas de tráfego, conexões com falha e mensagens que não puderam ser enviadas.
Os relatórios informam sobre os problemas que os servidores externos podem ter ao enviar mensagens para seu domínio. Se quiser começar a receber relatórios antes que o domínio aplique a criptografia e a autenticação MTA-STS, defina sua política para o modo de teste. Corrija todos os problemas de conexão do seu domínio antes de alterar a política para o modo forçado. Saiba mais sobre os modos de política do MTA-STS.
Talvez você receba poucos relatórios TLS até que eles sejam mais usados pelos provedores de e-mail.
Saiba mais sobre os relatórios TLS no RFC 8460.
