Чтобы повысить безопасность электронной почты при использовании Gmail, настройте поддержку стандарта MTA-STS в домене. В результате все электронные письма, отправленные в домен, должны будут проходить аутентификацию и шифроваться. Чтобы получать информацию о подключениях внешних почтовых серверов к домену, используйте отчеты TLS.
Для отправки и получения электронных писем в Gmail (как и у всех поставщиков услуг электронной почты) используется протокол SMTP. Он не обеспечивает защищенный обмен письмами, и у многих SMTP-серверов нет дополнительных функций безопасности для предотвращения определенных видов атак со стороны злоумышленников.
Например, протокол SMTP уязвим для атаки посредника, во время которой обмен данными между двумя серверами перехватывается, а затем в данные вносятся изменения, которые невозможно обнаружить. Использование стандарта MTA-STS помогает повысить безопасность подключений к почтовому серверу и предотвратить подобные атаки.
Подробнее о стандарте MTA-STS (RFC 8461) и об отчетах TLS (RFC 8460)…
Стандарт безопасности электронной почты MTA-STS
Чтобы повысить безопасность подключений по протоколу SMTP, сервер отправителя должен поддерживать стандарт MTA-STS, а на сервере получателя должно быть опубликовано и принудительно использоваться правило MTA-STS.
Получение почты. Когда вы включите правило MTA-STS, внешние почтовые серверы будут отправлять электронные письма в ваш домен, только если в отношении подключения по протоколу SMTP выполняются оба следующих условия:
- Подключение прошло аутентификацию с помощью действительного открытого сертификата.
- Подключение зашифровано с помощью TLS 1.2 или более поздней версии.
Почтовые серверы, которые поддерживают стандарт MTA-STS, будут отправлять электронные письма в ваш домен, только если подключения по протоколу SMTP прошли аутентификацию и шифруются.
Отправка почты. По умолчанию электронные письма из домена соответствуют требованиям стандарта MTA-STS, если при их отправке на внешние серверы принудительно применяется правило MTA-STS.
Отчеты TLS
Включите отчеты TLS, чтобы получать ежедневные отчеты от внешних почтовых серверов, которые подключаются к вашему домену. Они содержат информацию обо всех проблемах, возникающих на внешних серверах при отправке электронных писем в ваш домен, и помогают выявить и исправить проблемы безопасности, относящиеся к вашему почтовому серверу.
Другие функции безопасности Gmail
Рекомендации по настройке аутентификации электронной почты
Мы рекомендуем настроить следующие методы аутентификации электронной почты в домене:
- Записи SPF позволяют проверить, было ли письмо с указанным исходным доменом действительно отправлено с сервера, авторизованного владельцем этого домена.
- Ключ DKIM добавляет цифровую подпись к каждому сообщению. Это позволяет принимающему серверу проверить, не было ли сообщение подделано или изменено при доставке.
- Технология DMARC позволяет выполнять аутентификацию сообщений с помощью SPF и DKIM, а также обработку подозрительной входящей почты.
Как настроить протокол MTA-STS и отчеты TLS
- Проверьте конфигурацию MTA-STS для вашего домена.
- Создайте правило MTA-STS.
- Опубликуйте правило MTA-STS.
- Добавьте записи TXT в систему доменных имен (DNS), чтобы включить правило MTA-STS и отчеты TLS.
Дополнительная информация о стандарте MTA-STS и отчетах TLS
Использование средств безопасности протокола SMTP является необязательным. Кроме того, стандарты требуют, чтобы протокол SMTP поддерживал возможность обмена незашифрованными данными. Сам по себе протокол SMTP не гарантирует доставку почты и не обеспечивает минимальное качество обслуживания. Несмотря на то что протокол SMTP поддерживает TLS, множество SMTP-серверов не используют TLS и не являются защищенными.
Вот некоторые распространенные причины, из-за которых возникают проблемы безопасности, связанные с SMTP-серверами:
- У сертификатов TLS истек срок действия.
- Доменные имена в сертификатах не соответствуют доменным именам серверов.
- Сертификаты не выданы доверенными сторонними центрами сертификации.
- Отсутствует поддержка протоколов безопасности.
При наличии проблем с безопасностью подключения по протоколу SMTP уязвимы для атаки посредника и других видов атак со стороны злоумышленников. Большинство поставщиков услуг электронной почты пытаются отправлять письма, используя подключение по протоколу SMTP с TLS. Тем не менее, если подключение TLS создать не удается, часто серверы все равно отправляют письма.
После внедрения стандарта MTA-STS почтовые серверы не могут отправлять письма, если не выполнены следующие условия:
- Сервер, отправляющий письма, поддерживает стандарт MTA-STS.
- На сервере получателя опубликовано и принудительно используется правило MTA-STS.
Дополнительная информация
- Дополнительная информация о том, как настроить параметры TLS таким образом, чтобы обмен почтой с определенными доменами или адресами выполнялся только через безопасное подключение, приведена в этой статье.
- Дополнительная информация о протоколе SMTP приведена в стандарте RFC 3207.
Включите отчеты TLS, чтобы ежедневно получать отчеты от внешних почтовых серверов. Они отправляются по электронной почте или загружаются на веб-сервер и содержат данные об обнаруженных правилах MTA-STS, статистику трафика, а также сведения об ошибках подключения и неотправленных письмах.
Благодаря отчетам можно узнать о проблемах, которые возникают на внешних серверах при отправке электронных писем в ваш домен. Включите правило MTA-STS в режиме тестирования, чтобы начать получать отчеты до того, как в домене будут принудительно включены аутентификация и шифрование, и заранее исправить проблемы с подключениями внешних почтовых серверов. Подробнее о режимах правила MTA-STS…
Количество получаемых отчетов TLS может быть небольшим, пока они не станут более широко использоваться поставщиками услуг электронной почты.
Дополнительная информация об отчетах TLS приведена в стандарте RFC 8460.
