เปิดใช้ MTA Strict Transport Security (MTA-STS) กับโดเมนเพื่อเพิ่มความปลอดภัยให้กับ Gmail ซึ่ง MTA-STS จะทำให้ Gmail มีความปลอดภัยมากขึ้นโดยกำหนดให้มีการตรวจสอบสิทธิ์และเข้ารหัสอีเมลที่ส่งมายังโดเมน แล้วใช้การรายงาน Transport Layer Security (TLS) เพื่อดูข้อมูลการเชื่อมต่อระหว่างโดเมนของคุณกับเซิร์ฟเวอร์ภายนอกได้
Gmail ใช้ Simple Mail Transfer Protocol (SMTP) ในการรับและส่งข้อความอีเมลเช่นเดียวกันกับผู้ให้บริการรายอื่นๆ SMTP เพียงอย่างเดียวไม่ได้ช่วยให้เกิดความปลอดภัย รวมทั้งเซิร์ฟเวอร์ SMTP หลายแห่งก็ไม่มีการรักษาความปลอดภัยเพิ่มเติมเพื่อป้องกันการโจมตีที่เป็นอันตรายบางประเภทได้
ตัวอย่างเช่น SMTP มีช่องโหว่ที่จะถูกโจมตีจาก "คนกลาง" ซึ่งเป็นการโจมตีโดยการเข้าแทรกแซงหรือเปลี่ยนแปลงข้อมูลในระหว่างที่เซิร์ฟเวอร์ 2 เครื่องกำลังสื่อสารกันโดยไม่ถูกตรวจพบ การใช้ MTA-STS จะช่วยเพิ่มความปลอดภัยให้กับการเชื่อมต่อของเซิร์ฟเวอร์อีเมลซึ่งจะป้องกันการโจมตีประเภทดังกล่าวได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับ MTA-STS (RFC 8461) และ TLS Reporting (RFC 8460)
ความปลอดภัยของอีเมลเมื่อใช้ MTA-STS
การเชื่อมต่อของ SMTP สำหรับอีเมลจะมีความปลอดภัยยิ่งขึ้นหากเซิร์ฟเวอร์ที่ใช้ส่งรองรับ MTA-STS และเซิร์ฟเวอร์ที่ใช้รับเปิดโหมดบังคับใช้นโยบาย MTA-STS
การรับอีเมล: การเปิดใช้ MTA-STS ในโดเมนคือการขอให้เซิร์ฟเวอร์อีเมลภายนอกส่งข้อความมายังโดเมนของคุณได้เฉพาะเมื่อการเชื่อมต่อของ SMTP เป็นไปตามเงื่อนไขทั้ง 2 ข้อต่อไปนี้
- ผ่านการตรวจสอบสิทธิ์ด้วยใบรับรองสาธารณะที่ถูกต้อง
- เข้ารหัสด้วย TLS 1.2 ขึ้นไป
เซิร์ฟเวอร์อีเมลที่รองรับ MTA-STS จะส่งข้อความไปยังโดเมนผ่านการเชื่อมต่อที่มีการตรวจสอบสิทธิ์และเข้ารหัสแล้วเท่านั้น
การส่งอีเมล: โดยค่าเริ่มต้น ข้อความอีเมลที่ส่งจากโดเมนไปยังเซิร์ฟเวอร์ภายนอกที่เปิดโหมดบังคับใช้นโยบาย MTA-STS เอาไว้ก็จะเป็นไปตามรูปแบบของ MTA-STS
การรายงาน TLS
การเปิดการรายงาน TLS คือการขอรายงานประจำวันจากเซิร์ฟเวอร์อีเมลภายนอกที่เชื่อมต่อกับโดเมน ซึ่งรายงานนี้จะมีข้อมูลเกี่ยวกับปัญหาการเชื่อมต่อที่เซิร์ฟเวอร์ภายนอกพบในขณะที่ส่งอีเมลมายังโดเมน คุณจึงใช้ข้อมูลในรายงานเพื่อระบุและแก้ปัญหาด้านความปลอดภัยของเซิร์ฟเวอร์อีเมลได้
ฟีเจอร์อื่นๆ ที่เกี่ยวกับความปลอดภัยของ Gmail
แนวทางปฏิบัติที่ดีที่สุดในการตรวจสอบสิทธิ์อีเมล
เราขอแนะนำให้คุณตั้งค่าวิธีการตรวจสอบสิทธิ์อีเมลเหล่านี้สำหรับโดเมนของคุณเสมอ
- SPF จะช่วยให้เซิร์ฟเวอร์ตรวจสอบว่าอีเมลที่ดูเหมือนมาจากโดเมนใดโดเมนหนึ่งส่งมาจากโดเมนที่ได้รับอนุญาตจากเจ้าของโดเมน
- DKIM จะเพิ่มลายเซ็นดิจิทัลในทุกอีเมล ซึ่งจะช่วยให้เซิร์ฟเวอร์ที่รับอีเมลยืนยันว่าอีเมลนั้นไม่ได้ถูกปลอมแปลงและไม่มีการเปลี่ยนแปลงระหว่างการส่ง
- DMARC จะตรวจสอบสิทธิ์ของอีเมลด้วย SPF และ DKIM และจัดการข้อความขาเข้าที่น่าสงสัย
ขั้นตอนในการตั้งค่า MTA-STS และการรายงาน TLS
- ตรวจสอบการกำหนดค่า MTA-STS สำหรับโดเมน
- สร้างนโยบาย MTA-STS
- เผยแพร่นโยบาย MTA-STS
- เพิ่มระเบียน TXT ของ DNS เพื่อเปิดใช้ MTS-STS และการรายงาน TLS
ดูข้อมูลเพิ่มเติมเกี่ยวกับ MTA-STS และรายงาน TLS
มาตรฐานโดยทั่วไปกำหนดให้ SMTP ต้องยอมรับการเชื่อมต่อโดยใช้ข้อความธรรมดาได้ แต่ไม่ได้กำหนดให้ต้องมีการรักษาความปลอดภัยสำหรับ SMTP ด้วย SMTP จะรองรับการนำส่งอีเมลเพียงอย่างเดียว โดยไม่รับประกันข้อความที่ส่งหรือคุณภาพของการบริการ แม้ว่า SMTP จะรองรับ TLS แต่เซิร์ฟเวอร์ SMTP หลายแห่งก็ไม่ได้ใช้ TLS จึงไม่มีความปลอดภัย
ปัญหาด้านความปลอดภัยของเซิร์ฟเวอร์ SMTP ที่พบบ่อยได้แก่
- ใบรับรอง TLS หมดอายุ
- ใบรับรองไม่ตรงกับชื่อโดเมนของเซิร์ฟเวอร์
- ใบรับรองออกให้โดยผู้ให้บริการที่ไม่น่าเชื่อถือ
- ไม่รองรับโปรโตคอลที่ปลอดภัย
การเชื่อมต่อ SMTP ที่ไม่มีความปลอดภัยจะเสี่ยงต่อการถูกโจมตีจาก "คนกลาง" และการโจมตีประเภทอื่นได้ ดังนั้นผู้ให้บริการอีเมลส่วนใหญ่จึงพยายามส่งข้อความผ่านการเชื่อมต่อ SMTP ที่ใช้ TLS แต่แม้ว่าจะเชื่อมต่อ TLS ไม่ได้ เซิร์ฟเวอร์ก็มักจะส่งข้อความนั้นออกไปอยู่ดี
MTA-STS จะบอกให้เซิร์ฟเวอร์ไม่ต้องส่งข้อความเว้นแต่ว่าเงื่อนไขต่อไปนี้จะเป็นจริง
- เซิร์ฟเวอร์ที่ใช้ส่งรองรับ MTA-STS
- เซิร์ฟเวอร์ที่ใช้รับเปิดโหมดบังคับใช้นโยบาย MTA-STS
ข้อมูลที่เกี่ยวข้อง
- ดูวิธีกำหนดการตั้งค่า TLS เพื่อบังคับให้มีการเชื่อมต่อที่ปลอดภัยสำหรับอีเมลขาเข้า (หรือขาออก) ของโดเมนหรืออีเมลที่ระบุ
- ดูข้อมูลเพิ่มเติมเกี่ยวกับ SMTP ใน RFC 3207
การรายงาน TLS จะขอให้เซิร์ฟเวอร์อีเมลภายนอกส่งรายงานรายวันให้กับโดเมนที่ขอ โดยอาจส่งรายงานเป็นอีเมลหรืออัปโหลดไปยังเว็บเซิร์ฟเวอร์ก็ได้ ในรายงานจะมีข้อมูลเกี่ยวกับ MTA-STS และสถานะการเชื่อมต่อของโดเมน รวมถึงข้อมูลเกี่ยวกับนโยบาย MTA-STS ที่พบ สถิติการรับส่งข้อมูล การเชื่อมต่อที่ไม่สำเร็จ และข้อความที่ส่งไม่ได้
รายงานนี้จะช่วยให้ทราบปัญหาที่เกิดขึ้นกับเซิร์ฟเวอร์ภายนอกในขณะที่ทำการส่งข้อความมายังโดเมนของคุณ คุณเลือกที่จะเริ่มรับรายงานก่อนที่จะบังคับให้มีการเข้ารหัสและตรวจสอบสิทธิ์จาก MTA-STS ได้โดยตั้งค่านโยบายให้เป็นโหมดทดสอบ จากนั้นจึงแก้ไขปัญหาการเชื่อมต่อในโดเมนให้เรียบร้อยก่อนที่จะเปิดโหมดนโยบายเป็นแบบบังคับใช้ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับโหมดของนโยบาย MTA-STS
คุณอาจจะยังได้รับรายงานไม่มากจนกว่าผู้ให้บริการอีเมลรายอื่นๆ จะเริ่มใช้การรายงาน TLS กันอย่างแพร่หลายยิ่งขึ้น
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับรายงาน TLS ใน RFC 8460
