Cải thiện bảo mật email trong Gmail với TLS theo mặc định

Tính năng mới:

Gần đây, blog Google Security đã phác thảo cách sử dụng Bảo mật tầng giao vận (TLS) đã tăng lên hơn 96% tổng lưu lượng truy cập được nhìn thấy bởi trình duyệt Chrome trên Chrome OS. Bài đăng trên blog cũng nêu bật một mục tiêu quan trọng: bật TLS theo mặc định cho các sản phẩm và dịch vụ của Google để đảm bảo rằng TLS vận hành tốt.

Gmail đã hỗ trợ TLS, do đó, nếu kết nối thư Giao thức chuyển thư đơn giản (SMTP) có thể được bảo mật thông qua TLS. Tuy nhiên, để khuyến khích nhiều tổ chức tăng khả năng bảo mật email và để tiếp tục mục tiêu trên là bật TLS theo mặc định, Google đã thực hiện các thay đổi sau:.

TLS đối với các kết nối thư bây giờ sẽ được bật theo mặc định
Quản trị viên hiện có thể kiểm tra cấu hình TLS của định tuyến ngoài SMTP trong Admin console trước khi triển khai. Quản trị viên không còn cần phải chờ thông báo.

Mặc dù quản trị viên luôn có khả năng yêu cầu mã hóa TLS cho các định tuyến thư, nhưng trước đây chức năng này đã bị tắt theo mặc định. Lưu ý rằng các định tuyến thư hiện tại sẽ không bị ảnh hưởng bởi những thay đổi này.

Ảnh hưởng:

Quản trị viên.

Tại sao điều này lại quan trọng?

Google khuyến nghị quản trị viên kích hoạt các tính năng bảo mật thư hiện có, bao gồm SPF, DKIM và DMARC, để giúp bảo vệ người dùng cuối. Quản trị viên nên bật MTA Strict Transport Security (MTA-STS) giúp cải thiện bảo mật Gmail bằng cách yêu cầu kiểm tra xác thực và mã hóa đối với email được gửi đến miền. Việc bật TLS theo mặc định trên các định tuyến thư SMTP mới giúp tăng cường khả năng bảo mật của khách hàng đồng thời cho phép quản trị viên kiểm tra các kết nối trước khi thực thi TLS trên các định tuyến hiện có giúp dễ dàng triển khai các chính sách bảo mật thực tiễn tốt nhất.

Thay đổi này sẽ không ảnh hưởng đến các định tuyến thư đã được tạo trước đó.

Thông tin bổ sung:

TLS được bật theo mặc định trên các định tuyến thư mới

Với TLS được bật theo mặc định đối với định các tuyến thư mới, tất cả các yêu cầu xác thực chứng chỉ cũng được bật theo mặc định. Điều này đảm bảo rằng máy chủ người nhận có chứng chỉ được cấp cho máy chủ chính xác đã được ký bởi Nhà cấp chứng thực số (CA) tin cậy. Xem thêm chi tiết về thay đổi các yêu cầu đối với các CA đáng tin cậy sau đây.

Quản trị viên vẫn có thể tùy chỉnh cài đặt bảo mật TLS chỉ trên các định tuyến thư mới được tạo. Ví dụ: nếu thư được chuyển tiếp đến máy chủ thư của bên thứ ba hoặc máy chủ tại chỗ bằng chứng chỉ CA nội bộ, quản trị viên có thể cần phải tắt xác thực chứng chỉ CA. Không nên vô hiệu hóa xác thực chứng chỉ CA hoặc thậm chí không nên vô hiệu hóa hoàn toàn TLS. Quản trị viên nên kiểm tra cấu hình TLS SMTP trong Admin console để xác thực kết nối TLS với các máy chủ thư bên ngoài trước khi vô hiệu hóa mọi xác nhận được đề xuất. Xem thêm chi tiết về cách kiểm tra kết nối TLS trong Admin console.

Tổ chức chứng nhận không tin tưởng vào Gmail

Trước đây, Blog Bảo mật của Google đã nhấn mạnh các trường hợp Chrome không còn tin tưởng các chứng chỉ CA được sử dụng để chặn lưu lượng truy cập trên internet công cộng và các chứng chỉ CA cụ thể không đáng tin cậy.

Nếu các kịch bản này xảy ra trong tương lai, các chứng chỉ này cũng sẽ bị Gmail đưa vào danh sách không đáng tin cậy. Khi điều này xảy ra, thư được gửi bằng các định tuyến yêu cầu TLS có thực thi chứng chỉ do CA ký có thể bị trả lại nếu CA đó không còn trong danh sách đáng tin cậy. Mặc dù danh sách chứng chỉ gốc được Gmail tin cậy có thể được truy xuất từ kho lưu trữ của Google Trust Services, quản trị viên nên sử dụng tính năng Kiểm tra kết nối TLS trong Admin console để xác nhận xem chứng chỉ có đáng tin cậy hay không.

Kiểm tra kết nối TLS trong Admin console

Quản trị viên hiện có thể sử dụng tính năng Kiểm tra kết nối TLS mới để xác minh xem liệu định tuyến thư có thể thiết lập thành công kết nối TLS với xác thực đầy đủ đến bất kỳ đích đến nào không, chẳng hạn như máy chủ thư tại chỗ hoặc chuyển tiếp thư của bên thứ ba, trước khi thực thi TLS đối với đích đến đó.

Làm thế nào để bắt đầu?

Quản trị viên:

Cài đặt TLS

TLS sẽ được BẬT theo mặc định đối với tất cả các định tuyến thư mới. Quản trị viên nên xem xét tất cả các định tuyến hiện có và cũng cho phép tất cả các tùy chọn bảo mật TLS được đề xuất đối với các định tuyến này.

Kiểm tra kết nối TLS

Quản trị viên muốn yêu cầu kết nối TLS an toàn đối với email giờ đây có thể xác minh rằng kết nối đến máy chủ thư của người nhận là hợp lệ chỉ bằng cách nhấp vào nút “Kiểm tra kết nối TLS” trong Admin console và không cần phải đợi email bị trả lại.

Tìm hiểu thêm về việc yêu cầu thư được truyền qua kết nối (TLS) an toàn và thêm các định tuyến thư trong Trung tâm trợ giúp.

Tất cả các xác nhận chứng chỉ hiện được bật theo mặc định khi tạo cài đặt tuân thủ TLS mới.

TLS và tất cả các xác nhận chứng chỉ hiện được bật theo mặc định khi tạo định tuyến thư mới.

Người dùng cuối: không có cài đặt dành cho người dùng cuối đối với các tính năng này.

Thời gian triển khai:

Bản phát hành nhanh và bản phát hành theo định kỳ: đang mở rộng triển khai (có thể lâu hơn 15 ngày để hiển thị tính năng) bắt đầu từ ngày 2/4/2020.

Phiên bản phát hành:

Khả dụng đối với tất cả khách hàng G Suite.

Nguồn: LVtech