Alanınız için MTA Katı Taşıma Güvenliği (MTA-STS) protokolünü etkinleştirerek Gmail güvenliğini artırın. MTA-STS, alana gönderilen e-postalarda kimlik doğrulama denetimlerini ve şifrelemeyi zorunlu kılarak Gmail güvenliğini iyileştirir. Alanınıza harici sunucu bağlantıları hakkında bilgi edinmek için Taşıma Katmanı Güvenliği (TLS) raporlamasını kullanın.
Tüm posta sağlayıcıları gibi Gmail de posta iletileri göndermek ve almak için Basit Posta Aktarım Protokolü'nü (SMTP) kullanır. SMTP tek başına güvenlik sağlamaz ve birçok SMTP sunucusu belirli türdeki saldırıların önüne geçmek için ek güvenliğe sahip değildir.
Örneğin SMTP, ortadaki adam saldırılarına açıktır. Ortadaki adam, iki sunucu arasındaki iletişimin ele geçirilmesini ve fark edilmeden değiştirilebilmesini hedefleyen bir saldırıdır. Posta sunucusu bağlantılarının güvenliğini artırmak için MTA-STS'nin kullanılması bu tür saldırıları önlemeye yardımcı olur.
MTA-STS (RFC 8461) ve TLS Raporlaması (RFC 8460) hakkında daha fazla bilgi edinin.
MTA-STS e-posta güvenliği
Gönderen sunucu MTA-STS'yi desteklediğinde ve alan sunucunun zorunlu modda bir MTA-STS politikası olduğunda, e-postalar için SMTP bağlantıları daha güvenlidir.
Posta alma: Alanınızda MTA-STS'yi etkinleştirdiğinizde, harici posta sunucularının yalnızca SMTP bağlantısı için aşağıdaki iki koşul da karşılandığında alanınıza ileti gönderilmesini istemiş olursunuz:
- Geçerli bir genel sertifikayla kimliği doğrulandı
- TLS 1.2 veya sonraki bir sürüm kullanılarak şifrelendi
MTA-STS'yi destekleyen posta sunucuları, alanınıza yalnızca kimlik doğrulama ve şifreleme kullanılan bağlantılardan ileti gönderir.
Posta gönderme: Varsayılan olarak, alanınızdan harici sunuculara gönderilen postalar zorunlu modda bir MTA-STS politikası kullanılarak gönderildiğinde MTA-STS ile uyumludur.
TLS raporlaması
TLS raporlamasını etkinleştirdiğinizde, alanınıza bağlanan harici posta sunucularından günlük raporlar istersiniz. Raporlar, harici sunucuların alanınıza posta gönderirken karşılaştığı bağlantı sorunlarıyla ilgili bilgileri içerir. Posta sunucunuzla ilgili güvenlik sorunlarını tanımlamak ve düzeltmek için rapor verilerini kullanın.
Diğer Gmail güvenlik özellikleri
E-posta kimlik doğrulaması için en iyi uygulamalar
Alanınız için her zaman şu e-posta kimlik doğrulaması yöntemlerini ayarlamanızı öneririz:
- SPF, sunucuların belirli bir alan adından geliyormuş gibi görünen iletilerin alan sahibi tarafından yetkilendirilen sunuculardan gönderildiğini doğrulamasına yardımcı olur.
- DKIM, her iletiye dijital bir imza ekler. Bu işlem, alıcı sunucuların iletilerin sahte olmadığını ve aktarım sırasında değiştirilmediğini doğrulamasını sağlar.
- DMARC, iletilerin kimliğini SPF ve DKIM ile doğrular ve şüpheli gelen iletileri yönetir.
MTA-STS ve TLS raporlamasını ayarlama adımları
- Alanınız için MTA-STS yapılandırmasını kontrol edin.
- Bir MTA-STS politikası oluşturun.
- MTA-STS politikasını yayınlayın.
- MTA-STS ve TLS raporlamasını etkinleştirmek için DNS TXT kayıtlarını ekleyin.
MTA-STS ve TLS raporları hakkında ek bilgiler
SMTP güvenliği isteğe bağlıdır ve standartlar SMTP'nin düz metin bağlantılarını kabul etmesini gerektirir. SMTP tek başına yalnızca en iyi posta gönderimini destekler. İleti teslimatı veya minimum hizmet kalitesi garantisi yoktur. SMTP, TLS'yi desteklese de birçok SMTP sunucusu TLS kullanmaz ve güvenli değildir.
SMTP sunucularıyla ilgili yaygın güvenlik sorunları şunlardır:
- Süresi dolan TLS sertifikaları
- Sunucu alan adlarıyla eşleşmeyen sertifikalar
- Güvenilir üçüncü taraflarca verilmemiş sertifikalar
- Güvenli protokoller için destek olmaması
Güvenlik eksikliği, SMTP bağlantılarının ortadaki adam ve diğer kötü amaçlı saldırılar için risk teşkil ettiği anlamına gelir. Çoğu posta sağlayıcısı, TLS kullanan SMTP bağlantıları üzerinden ileti göndermeye çalışır. Ancak, bir TLS bağlantısı oluşturulamıyorsa sunucu genellikle yine de iletiyi gönderir.
MTA-STS, sunuculara şu koşullar geçerli olmadığı sürece ileti göndermemesini bildirir:
- Gönderen sunucu MTA-STS'yi destekliyor.
- Alan sunucu, zorunlu modda yayınlanmış bir MTA-STS politikasına sahip.
İlgili bilgiler
- Belirttiğiniz alanlara veya e-posta adreslerine gönderilen (veya bunlardan gelen) e-postalarda güvenli bağlantı kullanılmasını zorunlu kılmak için TLS'yi nasıl yapılandıracağınızı öğrenin.
- RFC 3207'de SMTP hakkında daha fazla bilgi bulabilirsiniz.
TLS raporlaması, harici posta sunucularının istekte bulunan alana günlük raporlar göndermesini ister. Raporlar e-postayla gönderilebilir veya bir web sunucusuna yüklenebilir. Raporlar, alanın MTA-STS ve bağlantı durumu hakkında bilgiler içerir. Raporlar şu tür bilgiler içerir: algılanan MTA-STS politikaları, trafik istatistikleri, başarısız bağlantılar ve gönderilemeyen iletiler.
Bu raporlar, harici sunucuların alanınıza ileti gönderirken karşılaşmış olabileceği sorunları öğrenmenize yardımcı olur. Politikanızı test moduna alarak, alanınız MTA-STS şifrelemesini ve kimlik doğrulamasını zorunlu hale getirmeden önce raporları almaya başlayabilirsiniz. Politikanızı zorunlu moda geçirmeden önce alanınızla ilgili tüm bağlantı sorunlarını düzeltin. MTA-STS politikası modları hakkında daha fazla bilgi edinin.
TLS raporlaması posta sağlayıcıları tarafından daha yaygın bir şekilde kullanılıncaya kadar pek fazla rapor almayabilirsiniz.
RFC 8460'ta TLS raporları hakkında daha fazla bilgi bulabilirsiniz.
