מגדירים MTA-STS לדומיינים על ידי יצירה ופרסום של מדיניות לכל דומיין. המדיניות מגדירה את שרתי האימייל בדומיין שמשתמשים ב-MTA-STS.
לכל דומיין צריך להיות קובץ מדיניות נפרד. כללי המדיניות יכולים להיות זהים, אבל צריך לארח אותם בנפרד לכל דומיין באמצעות MTA-STS.
דרישות השרת ל-MTA-STS
בודקים את הדברים הבאים בשרתי הדואר שמקבלים דואר נכנס:
- הם דורשים שהאימייל יישלח דרך חיבור מאובטח (TLS).
- הם משתמשים ב-TLS בגרסה 1.2 ומעלה
- האישורים לשרתי TLS:
- התאמה של שם הדומיין שמשמש את שרת הדואר הנכנס (השרת ברשומות ה-MX).
- חתומים ומאושרים על ידי רשות אישורי בסיס.
- בתוקף.
מידע נוסף על אישורי TLS ב-שימוש באישור Google Workspace להעברה מאובטחת (TLS).
מצבי מדיניות MTA-STS
אפשר להגדיר מדיניות MTA-STS במצב בדיקה או במצב אכיפה.
מצב בדיקה
במצב בדיקה, שרתי אימייל חיצוניים נדרשים לשלוח לכם דוחות יומיים. בדוחות יש מידע על בעיות שזוהו במהלך ההתחברות לדומיין. הדוחות כוללים מדיניות MTA-STS שזוהתה, נתונים סטטיסטיים על תנועת נתונים, חיבורים שנכשלו ופרטים על הודעות שלא נשלחו.
במצב בדיקה, הדומיין שלכם מבקש רק דוחות. במצב הזה לא נאכפת אבטחת חיבורים שנדרשת על ידי MTA-STS. מומלץ להתחיל עם מצב בדיקה למשך שבועיים. נתונים של שבועיים בדוחות מספיקים כדי ללמוד על בעיות בדומיין ולפתור אותן.
אפשר להשתמש במידע בדוחות היומיים כדי לפתור בעיות בהצפנה או בעיות אבטחה אחרות בשרת או בדומיין. לאחר מכן, משנים את המדיניות למצב אכיפה.
מצב אכיפה
כשמדיניות MTA-STS מוגדרת למצב אכיפה, הדומיין שלכם מבקש משרתים חיצוניים לאמת שחיבור ה-SMTP מוצפן ומאומת.
אם החיבור לא מוצפן ומאומת:
- שרתים שתומכים ב-MTA-STS לא ישלחו אימייל לדומיין שלכם.
- שרתים שלא תומכים ב-MTA-STS ממשיכים לשלוח הודעות לדומיין שלכם דרך חיבורי SMTP, כמו שהם עושים בדרך כלל. יכול להיות שחיבורי ה-SMTP האלה לא מוצפנים.
במצב אכיפה, אתם ממשיכים לקבל את הדוחות היומיים משרתים חיצוניים.
יצירת קובץ מדיניות
קובץ המדיניות הוא קובץ טקסט פשוט שמכיל צמדי מפתח/ערך. כל זוג צריך להיות בשורה משלו בקובץ הטקסט, כמו בדוגמה שלמטה. גודל קובץ הטקסט של המדיניות יכול להיות עד 64KB.
שם קובץ המדיניות: שם קובץ הטקסט חייב להיות mta-sts.txt
עדכון קובצי מדיניות: צריך לעדכן את קובץ המדיניות בכל פעם שמוסיפים או משנים שרתי דואר, או משנים את הדומיין.
פורמט קובץ המדיניות: השדה version חייב להיות בשורה הראשונה של המדיניות. הסדר של שאר השדות לא משנה. דוגמה לקובץ מדיניות:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
תוכן קובץ המדיניות: המדיניות צריכה לכלול את כל צמדי המפתח והערך האלה. כדי לקבל מדיניות מותאמת לדומיין שלכם, פועלים לפי השלבים במאמר בנושא בדיקת הסטטוס של MTA-STS וקבלת הצעות להגדרות.
| מפתח | ערך |
|---|---|
| גרסה | גרסת הפרוטוקול. הערך חייב להיות STSv1 |
| mode |
מצב המדיניות:
|
| mx |
רשומת MX של הדומיין.
|
| max_age |
הזמן המקסימלי בשניות שהמדיניות תקפה. הערך של max_age מאופס עבור שרת חיצוני בכל פעם שהשרת בודק את המדיניות. לכן, לשרתים חיצוניים יכולים להיות תאריכי תפוגה שונים לאותה מדיניות. הערך צריך להיות בין 86,400 (יום אחד) לבין 31,557,600 (בערך שנה אחת). למצב בדיקה, מומלץ להגדיר ערך בין 604800 לבין 1209600 (שבוע עד שבועיים). |