2. Skapa en MTA-STS-policy

Konfigurera MTA-STS för dina domäner genom att skapa och publicera en policy för varje domän. Policyn definierar de e-postservrar i domänen som använder MTA-STS.

Varje domän måste ha en separat policyfil. Policyerna kan vara desamma men de måste hostas separat för varje domän med MTA-STS.

Serverkrav för MTA-STS

Verifiera följande för dina e-postservrar som tar emot inkommande e-post:

  • De kräver att e-post skickas via en säker (TLS) anslutning .
  • De använder TLS version 1.2 eller senare
  • Serverns TLS-certifikat:
    • Matcha domännamnet som används av servern för inkommande e-post (servern i dina MX-poster).
    • Är signerade och betrodda av en rotcertifikatutfärdare.
    • Är inte utgångna.

Läs mer om TLS-certifikat på Använd Google Workspace-certifikat för säker transport (TLS) .

MTA-STS-policylägen

Du kan konfigurera en MTA-STS-policy i testläge eller tillämpningsläge .

Testläge

Testläget begär att externa e-postservrar skickar dagliga rapporter till dig. Rapporterna innehåller information om problem som upptäckts vid anslutning till din domän. Rapporterna inkluderar upptäckta MTA-STS-policyer, trafikstatistik, misslyckade anslutningar och information om osända meddelanden.

I testläge begär din domän endast rapporter. Det här läget tillämpar inte någon anslutningssäkerhet som krävs av MTA-STS. Vi rekommenderar att du börjar med testläge i två veckor. Två veckors rapportdata räcker för att lära dig mer om och åtgärda eventuella problem med din domän.

Använd informationen i de dagliga rapporterna för att lösa krypterings- eller andra säkerhetsproblem med din server eller domän. Ändra sedan policyn till tvingande läge.

Tillämpningsläge

När policyn är i tillämpningsläge begär din domän att externa servrar verifierar att SMTP-anslutningen är både krypterad och autentiserad.

Om anslutningen inte är både krypterad och autentiserad:

  • Servrar som stöder MTA-STS skickar inte e-post till din domän.
  • Servrar som inte stöder MTA-STS fortsätter att skicka meddelanden till din domän via SMTP-anslutningar som vanligt. Dessa SMTP-anslutningar kanske inte är krypterade.

I tvingande läge fortsätter du att ta emot dagliga rapporter från externa servrar.

Skapa en policyfil

Policyfilen är en vanlig textfil som innehåller nyckel- och värdepar. Varje par måste finnas på en egen rad i textfilen, som visas i exemplet nedan. Policytextfilens storlek kan vara upp till 64 kB.

Policyfilnamn: Filnamnet för textfilen måste vara mta-sts.txt

Uppdatera policyfiler: Uppdatera policyfilen varje gång du lägger till eller ändrar e-postservrar, eller ändrar domänen.

Filformat för policy: Versionsfältet måste finnas på den första raden i policyn. De andra fälten kan vara i valfri ordning. Här är ett exempel på en policyfil:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Innehåll i policyfilen: Policyn måste innehålla alla dessa nyckel- och värdepar. För att få en policy som är anpassad för din domän följer du stegen i Kontrollera MTA-STS-status och få föreslagna konfigurationer .

Nyckel Värde
version Protokollversion. Måste vara STSv1.
läge

Policyläge:

  • testning: Externa servrar skickar rapporter om kryptering och andra problem som upptäcks vid anslutning till din domän. MTA-STS-kryptering och autentiseringskrav tillämpas inte.

  • tvinga: Om SMTP-anslutningen inte har både autentisering och kryptering kommer e-postservrar som är konfigurerade för MTA-STS inte att skicka meddelanden till din domän. Du får också rapporter från externa servrar om anslutningsproblem, som i testläge.

  • ingen: Informerar externa servrar om att din domän inte längre stöder MTA-STS. Använd det här värdet om du slutar använda MTA-STS. Läs mer om att ta bort MTA-STS (RFC 8461) .

mx

MX-posten för domänen.

  • Policyn måste ha en mx -post för varje MX-post som läggs till i domänen.
  • Varje mx- post måste finnas på en egen rad i policyfilen, som visas i exemplet.
  • E-postservernamnet måste vara i standardformatet för alternativt ämnesnamn (SAN) .
  • MX- värdet måste vara i ett av formaten som visas i dessa exempel:

    Ange en enda server i standard MX-format: alt1.aspmx.solarmora.com

    För att ange servrar som matchar ett namngivningsmönster, använd ett jokertecken. Jokertecknet ersätter endast en etikett längst till vänster, till exempel: *.solarmora.com

Läs mer om MX-poster och MX-postvärden .

max_ålder

Maximal tid i sekunder som policyn är giltig. Max_age återställs för en extern server varje gång servern kontrollerar policyn. Således kan externa servrar ha olika utgångsdatum för samma policy.

Värdet måste vara mellan 86400 (1 dag) och 31557600 (ungefär 1 år).

För testläge rekommenderar vi mellan 604800 och 1209600 (1–2 veckor).

Nästa steg

Publicera din MTA-STS-policy