Thiết lập MTA-STS cho các miền của bạn bằng cách tạo và phát hành một chính sách cho từng miền. Chính sách này xác định các máy chủ thư trong miền sử dụng MTA-STS.
Mỗi miền phải có một tệp chính sách riêng. Các chính sách có thể giống nhau nhưng phải được lưu trữ riêng cho từng miền sử dụng MTA-STS.
Yêu cầu về máy chủ đối với MTA-STS
Xác minh những điều sau đây cho các máy chủ thư nhận thư đến:
- Các máy chủ này yêu cầu thư được truyền qua một kết nối an toàn (TLS) kết nối.
- Các máy chủ này sử dụng TLS phiên bản 1.2 trở lên
- Chứng chỉ TLS của máy chủ:
- Khớp với tên miền do máy chủ thư đến sử dụng (máy chủ trong bản ghi MX của bạn).
- Được ký và tin cậy bởi một tổ chức phát hành chứng chỉ gốc.
- Còn hiệu lực.
Tìm hiểu thêm về chứng chỉ TLS tại bài viết Sử dụng chứng chỉ Google Workspace để truyền tải an toàn (TLS).
Các chế độ chính sách MTA-STS
Bạn có thể thiết lập chính sách MTA-STS ở chế độ thử nghiệm hoặc chế độ thực thi.
Chế độ thử nghiệm
Chế độ thử nghiệm yêu cầu các máy chủ thư bên ngoài gửi cho bạn báo cáo hằng ngày. Báo cáo có thông tin về các vấn đề được phát hiện khi kết nối với miền của bạn. Báo cáo bao gồm các chính sách MTA-STS được phát hiện, số liệu thống kê lưu lượng truy cập, các kết nối không thành công và thông tin chi tiết về thư chưa gửi.
Ở chế độ thử nghiệm, miền của bạn chỉ yêu cầu báo cáo. Chế độ này không thực thi bất kỳ biện pháp bảo mật kết nối nào mà MTA-STS yêu cầu. Bạn nên bắt đầu với chế độ thử nghiệm trong 2 tuần. Dữ liệu báo cáo trong 2 tuần là đủ để tìm hiểu và khắc phục mọi vấn đề với miền của bạn.
Sử dụng thông tin trong báo cáo hằng ngày để giải quyết vấn đề mã hoá hoặc các vấn đề bảo mật khác với máy chủ hoặc miền của bạn. Sau đó, hãy thay đổi chính sách sang chế độ thực thi.
Chế độ thực thi
Khi chính sách ở chế độ thực thi, miền của bạn sẽ yêu cầu các máy chủ bên ngoài xác minh rằng kết nối SMTP vừa được mã hoá vừa được xác thực.
Nếu kết nối không vừa được mã hoá vừa được xác thực:
- Các máy chủ hỗ trợ MTA-STS sẽ không gửi thư đến miền của bạn.
- Các máy chủ không hỗ trợ MTA-STS sẽ tiếp tục gửi thư đến miền của bạn qua kết nối SMTP như bình thường. Các kết nối SMTP này có thể không được mã hoá.
Ở chế độ thực thi, bạn vẫn tiếp tục nhận báo cáo hằng ngày từ các máy chủ bên ngoài.
Tạo tệp chính sách
Tệp chính sách là một tệp văn bản thuần tuý có các cặp khoá và giá trị. Mỗi cặp phải nằm trên một dòng riêng trong tệp văn bản, như minh hoạ trong ví dụ bên dưới. Kích thước tệp văn bản chính sách có thể lên đến 64 KB.
Tên tệp chính sách: Tên tệp cho tệp văn bản phải là mta-sts.txt
Cập nhật tệp chính sách: Cập nhật tệp chính sách mỗi khi bạn thêm hoặc thay đổi máy chủ thư hoặc thay đổi miền.
Định dạng tệp chính sách: Trường version phải nằm ở dòng đầu tiên của chính sách. Các trường khác có thể theo bất kỳ thứ tự nào. Dưới đây là tệp chính sách mẫu:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
Nội dung tệp chính sách: Chính sách phải bao gồm tất cả các cặp khoá và giá trị này. Để nhận chính sách được tuỳ chỉnh cho miền của bạn, hãy làm theo các bước trong bài viết Kiểm tra trạng thái MTA-STS và nhận cấu hình được đề xuất.
| Khoá | Giá trị |
|---|---|
| version | Phiên bản giao thức. Phải là STSv1 |
| mode |
Chế độ chính sách:
|
| mx |
Bản ghi MX cho miền.
Tìm hiểu thêm về bản ghi MX và giá trị bản ghi MX. |
| max_age |
Thời gian tối đa tính bằng giây mà chính sách có hiệu lực. Giá trị max_age được đặt lại cho một máy chủ bên ngoài mỗi khi máy chủ kiểm tra chính sách. Do đó, các máy chủ bên ngoài có thể có ngày hết hạn khác nhau cho cùng một chính sách. Giá trị phải nằm trong khoảng từ 86400 (1 ngày) đến 31557600 (khoảng 1 năm). Đối với chế độ thử nghiệm, bạn nên đặt giá trị trong khoảng từ 604800 đến 1209600 (1–2 tuần). |