Erhöhen Sie die E-Mail-Sicherheit mit MTA-STS- und TLS-Berichten
Über MTA-STS- und TLS-Berichte
Erhöhen Sie die Gmail-Sicherheit, indem Sie MTA Strict Transport Security (MTA-STS) für Ihre Domain aktivieren. MTA-STS verbessert die Gmail-Sicherheit, indem es Authentifizierungsprüfungen und Verschlüsselung für E-Mails erfordert, die an Ihre Domain gesendet werden. Verwenden Sie TLS-Berichte (Transport Layer Security), um Informationen über externe Serververbindungen zu Ihrer Domäne abzurufen.
Wie alle E-Mail-Anbieter verwendet Gmail das Simple Mail Transfer Protocol (SMTP) zum Senden und Empfangen von Nachrichten. SMTP allein bietet keine Sicherheit, und viele SMTP-Server verfügen nicht über zusätzliche Sicherheit, um böswillige Angriffe zu verhindern.
SMTP ist beispielsweise anfällig für Man-in-the-Middle-Angriffe. Man-in-the-Middle ist ein Angriff, bei dem die Kommunikation zwischen zwei Servern abgefangen und möglicherweise unbemerkt verändert wird. Die Verwendung von MTA-STS zum Sichern von Mailserververbindungen hilft, diese Art von Angriffen zu verhindern.
Erfahren Sie mehr über MTA-STS (RFC 8461) und TLS Reporting (RFC 8460) .
MTA-STS-E-Mail-Sicherheit
SMTP-Verbindungen für E-Mails sind sicherer, wenn der sendende Server MTA-STS unterstützt und der empfangende Server über eine MTA-STS-Richtlinie im erzwungenen Modus verfügt.
Empfangen von E-Mails: Wenn Sie MTA-STS für Ihre Domain aktivieren, fordern Sie externe Mailserver nur dann auf, Nachrichten an Ihre Domain zu senden, wenn die SMTP-Verbindung beides ist:
- Authentifiziert mit einem gültigen öffentlichen Zertifikat
- Verschlüsselt mit TLS 1.2 oder höher
Mailserver, die MTA-STS unterstützen, senden Nachrichten nur über Verbindungen an Ihre Domain, die sowohl über Authentifizierung als auch Verschlüsselung verfügen.
Senden von E-Mails: Gmail-Nachrichten von Ihrer Domain entsprechen MTA-STS, wenn sie an externe Server mit einer MTA-STS-Richtlinie im erzwungenen Modus gesendet werden.
TLS-Berichte
Wenn Sie die TLS-Berichterstellung aktivieren, fordern Sie tägliche Berichte von externen Mailservern an, die eine Verbindung zu Ihrer Domain herstellen. Die Berichte enthalten Informationen zu Verbindungsproblemen, die die externen Server beim Senden von E-Mails an Ihre Domain feststellen. Verwenden Sie Berichtsdaten, um Sicherheitsprobleme mit Ihrem Mailserver zu identifizieren und zu beheben.
Weitere Sicherheitsfunktionen von Gmail
Best Practices für die E-Mail-Authentifizierung
Wir empfehlen Ihnen, immer diese E-Mail-Authentifizierungsmethoden für Ihre Domain einzurichten:
- Mit SPF können Server überprüfen, ob Nachrichten, die scheinbar von einer bestimmten Domäne stammen, von Servern gesendet werden, die vom Domänenbesitzer autorisiert wurden.
- DKIM fügt jeder Nachricht eine digitale Signatur hinzu. Dadurch können empfangende Server überprüfen, ob Nachrichten nicht gefälscht sind und während der Übertragung nicht verändert wurden.
- DMARC erzwingt die SPF- und DKIM-Authentifizierung und ermöglicht Administratoren das Abrufen von Berichten über die Authentifizierung und Zustellung von Nachrichten.
Schritte zum Einrichten der MTA-STS- und TLS-Berichterstellung
- Überprüfen Sie die MTA-STS-Konfiguration für Ihre Domain.
- Erstellen Sie eine MTA-STS-Richtlinie.
- Veröffentlichen Sie die MTA-STS-Richtlinie.
- Fügen Sie DNS-TXT-Einträge hinzu, um MTA-STS- und TLS-Berichte zu aktivieren.
Erfahren Sie mehr über MTA-STS- und TLS-Berichte
Die SMTP-Sicherheit ist optional und Internetstandards erfordern, dass SMTP Nur-Text-Verbindungen akzeptiert. SMTP allein unterstützt die bestmögliche E-Mail-Zustellung. Es gibt keine Garantie für die Nachrichtenzustellung oder die Mindestdienstqualität. SMTP unterstützt TLS, aber viele SMTP-Server verwenden kein TLS und sind nicht sicher.
Zu den häufigsten Sicherheitsproblemen bei SMTP-Servern gehören:
- Abgelaufene TLS-Zertifikate
- Zertifikate, die nicht mit Serverdomänennamen übereinstimmen
- Zertifikate, die nicht von vertrauenswürdigen Dritten ausgestellt wurden
- Keine Unterstützung für sichere Protokolle
Mangelnde Sicherheit bedeutet, dass SMTP-Verbindungen dem Risiko von Man-in-the-Middle- und anderen Arten böswilliger Angriffe ausgesetzt sind. Die meisten E-Mail-Anbieter versuchen, Nachrichten über SMTP-Verbindungen zu senden, die TLS verwenden. Wenn jedoch keine TLS-Verbindung hergestellt werden kann, senden Server die Nachricht oft trotzdem.
MTA-STS weist sendende Server an, keine Nachrichten zu senden, es sei denn, diese Bedingungen sind erfüllt:
- Der sendende Server unterstützt MTA-STS.
- Der empfangende Server verfügt über eine veröffentlichte MTA-STS-Richtlinie im erzwungenen Modus.
Verwandte Informationen
- Erfahren Sie, wie Sie Ihre TLS-Einstellung so einrichten, dass eine sichere Verbindung für E-Mails zu (oder von) bestimmten von Ihnen aufgelisteten Domänen oder E-Mail-Adressen erforderlich ist .
- Erfahren Sie mehr über SMTP in RFC 3207 .
TLS-Reporting fordert an, dass externe Mailserver Ihnen täglich Berichte über die Verbindungen mit den Mailservern Ihrer Domain senden. Berichte können per E-Mail gesendet oder auf einen Webserver hochgeladen werden. Verwenden Sie die Berichte, um Probleme zu verstehen, die externe Server beim Senden von Nachrichten an Ihre Domain haben könnten.
Berichte enthalten Informationen zum MTA-STS-Status und Verbindungsstatus für die Mailserver Ihrer Domain, einschließlich:
- Alle erkannten MTA-STS-Richtlinien
- Verkehrsstatistik
- Fehlgeschlagene Verbindungen
- Nachrichten, die nicht gesendet werden konnten.
Bevor Ihre Domäne die MTA-STS-Verschlüsselung und -Authentifizierung erzwingt, stellen Sie Ihre Richtlinie auf den Testmodus ein. Überprüfen Sie die täglichen Berichte, um etwaige Verbindungsprobleme mit Ihrer Domain zu identifizieren und zu beheben. Ändern Sie dann Ihre Richtlinie in den Erzwingungsmodus . Erfahren Sie mehr über MTA-STS-Richtlinienmodi .
Möglicherweise erhalten Sie nicht viele Berichte, bis TLS-Berichte von E-Mail-Anbietern häufiger verwendet werden.
Verwandte Informationen
- Aktivieren Sie die TLS-Berichterstellung mit diesen Schritten .
- Weitere Informationen zu TLS-Berichten finden Sie in RFC 8460 .
No comments:
Post a Comment