您可以為網域開啟 MTA Strict Transport Security (MTA-STS),藉此提升 Gmail 安全性。MTA-STS 可針對傳送到您網域的電子郵件要求進行驗證檢查和加密作業,讓 Gmail 的安全性更加完善。此外,透過傳輸層安全標準 (TLS) 報告,您也能取得外部伺服器與網域間連線的相關資訊。
Gmail 和其他所有郵件服務供應商一樣,都會利用簡單郵件傳輸協定 (SMTP) 收發郵件。不過,SMTP 本身無法確保安全性,許多 SMTP 伺服器也無法提升安全性,因此難以防範特定類型的惡意攻擊。
舉例來說,SMTP 相當容易遭受中間人攻擊。這種攻擊會攔截兩個伺服器之間的通訊,也可能在系統無法偵測的情況下竄改通訊。如要防範這類攻擊,您可以利用 MTA-STS 強化郵件伺服器連線的安全性。
進一步瞭解 MTA-STS (RFC 8461) 和傳輸層安全標準 (TLS) 報告 (RFC 8460)。
MTA-STS 電子郵件安全性
如果寄件伺服器支援 MTA-STS,並且收件伺服器在強制執行模式下設有 MTA-STS 政策,就能讓電子郵件的 SMTP 連線更加安全。
接收郵件:為網域開啟 MTA-STS 後,您會要求外部郵件伺服器必須確認 SMTP 連線同時符合下列兩種情況,才能將郵件傳送到您的網域:
- 透過有效的公開憑證進行驗證
- 透過 TLS 1.2 以上版本進行加密
支援 MTA-STS 的郵件伺服器只會經由驗證和加密機制「皆」符合上述情況的連線,將郵件傳送至您的網域。
傳送郵件:根據預設,如果郵件是從您的網域傳送到在強制執行模式下設有 MTA-STS 政策的外部伺服器,這類郵件就會符合 MTA-STS 的規範。
傳輸層安全標準 (TLS) 報告
開啟傳輸層安全標準 (TLS) 報告後,您會要求連線至您網域的外部郵件伺服器按日提供報告。這類報告中的資訊涉及外部伺服器在傳送郵件到網域時發現的連線問題。透過報告資料,您可以找出與郵件伺服器相關的安全性問題並加以修正。
其他 Gmail 安全性功能
電子郵件驗證的最佳做法
建議您一律為網域設定下列電子郵件驗證方法:
- SPF 可協助伺服器確認看似來自特定網域的郵件是否確實是透過網域擁有者所授權的伺服器傳送。
- DKIM 會為每一封郵件加上數位簽名,幫助收件伺服器確認郵件並非偽造,而且在傳輸過程中未遭到竄改。
- DMARC 會使用 SPF 和 DKIM 驗證郵件並控管可疑的內送郵件。
MTA-STS 和傳輸層安全標準 (TLS) 報告的設定步驟
- 檢查網域的 MTA-STS 設定。
- 建立 MTA-STS 政策。
- 發布 MTA-STS 政策。
- 新增 DNS TXT 記錄,開啟 MTA-STS 和傳輸層安全標準 (TLS) 報告。
進一步瞭解 MTA-STS 和傳輸層安全標準 (TLS) 報告
SMTP 安全性可依需求調整,相關標準僅規範 SMTP 必須接受純文字連線。SMTP 本身只會儘可能傳送郵件,無法保證郵件一定能夠送達,對於服務品質也沒有最低限度的要求。雖然 SMTP 支援傳輸層安全標準 (TLS),但許多 SMTP 伺服器並不會採用這項標準,因此無法提供安全保障。
常見的 SMTP 伺服器安全性問題包括:
- 傳輸層安全標準 (TLS) 憑證過期
- 憑證與伺服器網域名稱不符
- 憑證不是由可信任的第三方核發
- 不支援安全通訊協定
缺乏安全性會導致 SMTP 連線面臨中間人攻擊和其他類型惡意攻擊的風險。大多數的郵件服務供應商都會嘗試透過採用傳輸層安全標準 (TLS) 的 SMTP 連線傳送郵件。不過,即使無法建立傳輸層安全標準 (TLS) 連線,伺服器通常仍會直接傳送郵件。
只有在符合下列情況時,MTA-STS 才會要求寄件伺服器傳送郵件:
- 寄件伺服器支援 MTA-STS。
- 收件伺服器在強制執行模式下設有已發布的 MTA-STS 政策。
相關資訊
傳輸層安全標準 (TLS) 報告會要求外部郵件伺服器按日傳送報告到提出要求的網域。報告可透過電子郵件傳送,或上傳至網路伺服器。這類報告會針對網域的 MTA-STS 和連線狀態列出相關資訊,包括:伺服器偵測到的 MTA-STS 政策、流量統計資料、連線失敗次數以及傳送失敗的郵件等資訊。
這類報告有助於您瞭解外部伺服器在傳送郵件到網域時可能遇到的問題。在網域強制執行 MTA-STS 加密和驗證機制前,您可將政策設為測試模式,以便開始接收報告。如要將政策變更為強制執行模式,請先修正所有與網域相關的連線問題。進一步瞭解 MTA-STS 政策模式。
在郵件服務供應商廣泛採用傳輸層安全標準 (TLS) 報告前,您可能只會收到少量報告。
參閱 RFC 8460 文件,進一步瞭解傳輸層安全標準 (TLS) 報告。
