为您的网域启用 MTA 严格传输安全协议 (MTA-STS) 可提高 Gmail 的安全性。MTA-STS 要求对发送到您网域的电子邮件进行身份验证检查和加密,从而提高 Gmail 的安全性。此外,您还可以使用传输层安全协议 (TLS) 报告来获取有关连接到您网域的外部服务器的信息。
与所有邮件服务提供商一样,Gmail 使用简单邮件传输协议 (SMTP) 来发送和接收邮件。SMTP 本身并不能提供安全保障,而且许多 SMTP 服务器并没有增添安全保障来防止某些类型的恶意攻击。
例如,SMTP 很容易遭受中间人攻击。中间人攻击是指两个服务器之间的通信被截取,并且可能在未被察觉的情况下被更改。使用 MTA-STS 可增强邮件服务器连接的安全性,从而帮助防止这类攻击。
详细了解 MTA-STS (RFC 8461) 和 TLS 报告 (RFC 8460)。
MTA-STS 电子邮件安全性
如果发送邮件的服务器支持 MTA-STS,且接收邮件的服务器强制执行 MTA-STS 政策,则传输电子邮件的 SMTP 连接将会变得更加安全。
接收邮件:为您的网域启用 MTA-STS 后,您将要求外部邮件服务器仅在 SMTP 连接同时满足以下条件时,才向您的网域发送邮件:
- 使用有效的公共证书通过身份验证
- 使用 TLS 1.2 或更高版本进行加密
如果 SMTP 连接未通过身份验证且未经加密,则支持 MTA-STS 的邮件服务器不会向您的网域发送邮件。
发送邮件:默认情况下,如果接收邮件的外部服务器强制执行 MTA-STS 政策,则从您网域发送的邮件会遵循 MTA-STS 协议要求。
TLS 报告
为您的网域启用 TLS 报告后,您会向连接到您网域的外部邮件服务器请求每日报告。这些报告中包含外部服务器在向您的网域发送邮件时发现的任何连接问题。您可以使用报告数据来识别并解决您的邮件服务器的安全问题。
其他 Gmail 安全功能
电子邮件身份验证的最佳做法
我们建议您始终为您的网域设置以下电子邮件身份验证方法:
- SPF:帮助服务器验证显示为来自特定网域的邮件是否由该域名所有者授权的服务器发送。
- DKIM:会为每封邮件添加数字签名。这样可以让接收服务器验证邮件是否为假冒,以及在传输过程中是否被更改。
- DMARC:使用 SPF 和 DKIM 对邮件进行身份验证,并管理可疑的传入邮件。
MTA-STS 和 TLS 报告的设置步骤
- 检查您网域的 MTA-STS 配置。
- 创建 MTA-STS 政策。
- 发布 MTA-STS 政策。
- 添加 DNS TXT 记录以启用 MTA-STS 和 TLS 报告。
详细了解 MTA-STS 和 TLS 报告
SMTP 的安全性是可选择的,且协议标准要求 SMTP 接受纯文本连接。SMTP 自身只能全力支持邮件递送,无法保证邮件递送成功或最低服务质量。虽然 SMTP 支持 TLS,但许多 SMTP 服务器并不使用 TLS,因此无法确保安全。
SMTP 服务器常见的安全问题包括:
- TLS 证书过期
- 证书与服务器域名不匹配
- 证书不是由可靠的第三方签发的
- 不支持安全协议
缺乏安全性意味着 SMTP 连接可能遭受中间人攻击和其他类型的恶意攻击。大多数邮件服务提供商尝试通过使用 TLS 的 SMTP 连接发送邮件。但是,如果无法创建 TLS 连接,服务器通常仍会发送邮件。
MTA-STS 会告知发送邮件的服务器,如果未能满足以下条件,不要发送邮件:
- 发送邮件的服务器支持 MTA-STS。
- 接收邮件的服务器强制执行已发布的 MTA-STS 政策。
相关信息
- 了解如何配置 TLS 设置,要求与您所指定的网域或电子邮件地址收发邮件时使用安全连接。
- 参阅 RFC 3207 以详细了解 SMTP。
TLS 报告会请求外部邮件服务器向发送请求的网域发送每日报告。报告可通过电子邮件发送或上传到网络服务器。这些报告中包含网域的 MTA-STS 和连接状态的相关信息。报告信息包括:检测到的 MTA-STS 政策、流量统计信息、失败的连接以及无法发送的邮件。
这些报告可帮助您了解外部服务器在向您的网域发送邮件时可能遇到的任何问题。将您的政策设置为测试模式后,您就可以在为网域强制执行 MTA-STS 加密和身份验证之前获取报告。在将政策更改为强制模式之前,请先解决网域的所有连接问题。详细了解 MTA-STS 政策模式。
在更多邮件服务提供商开始使用 TLS 报告之前,您可能不会收到很多报告。
请参阅 RFC 8460 详细了解 TLS 报告。
