2. Stel een MTA-STS-beleid op

Stel MTA-STS in voor uw domeinen door voor elk domein een beleid aan te maken en te publiceren. Het beleid definieert de mailservers in het domein die MTA-STS gebruiken.

Elk domein moet een afzonderlijk beleidsbestand hebben. De beleidsregels kunnen hetzelfde zijn, maar ze moeten voor elk domein afzonderlijk worden gehost met behulp van MTA-STS.

Serververeisten voor MTA-STS

Controleer het volgende voor uw mailservers die inkomende e-mail ontvangen:

  • Ze vereisen dat e-mail via een beveiligde (TLS) verbinding wordt verzonden .
  • Ze gebruiken TLS-versie 1.2 of later.
  • De TLS-certificaten van de server:
    • Zorg ervoor dat de domeinnaam overeenkomt met de domeinnaam die wordt gebruikt door de inkomende mailserver (de server in uw MX-records).
    • Zijn ondertekend en vertrouwd door een root-certificaatinstantie.
    • Zijn niet verlopen.

Lees meer over TLS-certificaten op Google Workspace-certificaten gebruiken voor beveiligd transport (TLS) .

MTA-STS beleidsmodi

Je kunt een MTA-STS-beleid instellen in testmodus of in handhavingsmodus .

Testmodus

In de testmodus worden externe mailservers verzocht dagelijks rapporten naar u te verzenden. Deze rapporten bevatten informatie over problemen die zijn gedetecteerd tijdens het verbinden met uw domein. De rapporten omvatten gedetecteerde MTA-STS-beleidsregels, verkeersstatistieken, mislukte verbindingen en details over niet-verzonden berichten.

In de testmodus vraagt ​​uw domein alleen rapporten op. Deze modus dwingt geen verbindingsbeveiliging af die vereist is door MTA-STS. We raden aan om te beginnen met de testmodus gedurende 2 weken. 2 weken aan rapportgegevens is voldoende om eventuele problemen met uw domein te leren kennen en op te lossen.

Gebruik de informatie in de dagelijkse rapporten om versleutelings- of andere beveiligingsproblemen met uw server of domein op te lossen. Wijzig vervolgens het beleid naar de handhavingsmodus.

Handhavingsmodus

Wanneer het beleid is ingesteld op 'afdwingen', vraagt ​​uw domein externe servers om te controleren of de SMTP-verbinding zowel versleuteld als geauthenticeerd is.

Als de verbinding niet zowel versleuteld als geauthenticeerd is:

  • Servers die MTA-STS ondersteunen, verzenden geen e-mail naar uw domein.
  • Servers die MTA-STS niet ondersteunen, blijven berichten naar uw domein verzenden via SMTP-verbindingen zoals gebruikelijk. Deze SMTP-verbindingen zijn mogelijk niet versleuteld.

In de handhavingsmodus blijft u de dagelijkse rapporten van externe servers ontvangen.

Maak een beleidsbestand aan

Het beleidsbestand is een tekstbestand met sleutel-waardeparen. Elk paar moet op een aparte regel in het tekstbestand staan, zoals in het onderstaande voorbeeld. De maximale grootte van het beleidsbestand is 64 KB.

Bestandsnaam van het beleid: De bestandsnaam voor het tekstbestand moet mta-sts.txt zijn.

Beleidsbestanden bijwerken: Werk het beleidsbestand bij telkens wanneer u mailservers toevoegt of wijzigt, of wanneer u het domein wijzigt.

Formaat van het beleidsbestand: Het veld 'versie' moet op de eerste regel van het beleid staan. De andere velden mogen in willekeurige volgorde staan. Hier is een voorbeeld van een beleidsbestand:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Inhoud van het beleidsbestand: Het beleid moet al deze sleutel-waardeparen bevatten. Volg de stappen in ' MTA-STS-status controleren en voorgestelde configuraties verkrijgen ' om een ​​beleid te verkrijgen dat is aangepast aan uw domein.

Sleutel Waarde
versie Protocolversie. Moet STSv1 zijn.
modus

Beleidsmodus:

  • Testen: Externe servers sturen u rapporten over versleuteling en andere problemen die zijn gedetecteerd bij het verbinden met uw domein. De versleutelings- en authenticatievereisten van MTA-STS worden niet afgedwongen.

  • Handhaving: Als de SMTP-verbinding niet zowel authenticatie als versleuteling heeft, verzenden mailservers die zijn geconfigureerd voor MTA-STS geen berichten naar uw domein. U ontvangt ook meldingen van externe servers over verbindingsproblemen, net als in de testmodus.

  • geen: Geeft aan dat uw domein geen ondersteuning meer biedt voor MTA-STS op externe servers. Gebruik deze waarde als u stopt met het gebruik van MTA-STS. Lees meer over het verwijderen van MTA-STS (RFC 8461) .

mx

MX-record voor het domein.

  • Het beleid moet een MX- record bevatten voor elk MX-record dat aan het domein wordt toegevoegd.
  • Elke MX- vermelding moet op een aparte regel in het beleidsbestand staan, zoals in het voorbeeld wordt getoond.
  • De naam van de mailserver moet voldoen aan de standaard Subject Alternative Name (SAN) -indeling.
  • De mx -waarde moet een van de in deze voorbeelden getoonde formaten hebben:

    Geef één server op in de standaard MX-vorm: alt1.aspmx.solarmora.com

    Om servers te specificeren die aan een naamgevingspatroon voldoen, gebruikt u een jokerteken. Het jokerteken vervangt slechts één van de meest linkse labels, bijvoorbeeld: *.solarmora.com

Leer meer over MX-records en MX-recordwaarden .

max_age

Maximale geldigheidsduur van het beleid in seconden. De max_age wordt voor een externe server elke keer gereset wanneer de server het beleid controleert. Externe servers kunnen dus verschillende vervaldatums hebben voor hetzelfde beleid.

De waarde moet tussen 86400 (1 dag) en 31557600 (ongeveer 1 jaar) liggen.

Voor de testmodus adviseren we een periode tussen 604800 en 1209600 (1-2 weken).

Volgende stappen

Publiceer uw MTA-STS-beleid