Skonfiguruj MTA-STS dla swoich domen. W tym celu utwórz i opublikuj zasadę dla każdej domeny. Zasady definiują serwery poczty w domenie, które używają MTA-STS.
Każda domena musi mieć osobny plik zasady. Zasady mogą być takie same, ale muszą być hostowane osobno dla każdej domeny używającej MTA-STS.
Wymagania MTA-STS dotyczące serwera
Sprawdź, czy serwery poczty przychodzącej spełniają następujące warunki:
- Wymagają przesyłania poczty przez bezpieczne połączenie TLS.
- Używają TLS w wersji 1.2 lub nowszej.
- Certyfikaty TLS serwera:
- zawierają nazwę domeny używaną przez serwer poczty przychodzącej (serwer w rekordach MX),
- są podpisane przez zaufany główny urząd certyfikacji,
- nie utraciły ważności;
Więcej informacji o certyfikatach TLS znajdziesz w artykule Używanie certyfikatów Google Workspace do zabezpieczania korespondencji (TLS).
Tryby zasady MTA-STS
Zasadę MTA-STS możesz skonfigurować w trybie testowym lub w trybie wymuszania.
Tryb testowy
W trybie testowym zewnętrzne serwery poczty wysyłają Ci raporty dzienne. Te raporty zawierają informacje o problemach wykrytych podczas nawiązywania połączeń z domeną. Raporty zawierają informacje o wykrytych zasadach MTA-STS, statystykach ruchu, nieudanych połączeniach i wiadomościach, których nie udało się wysłać.
W trybie testowym domena tylko żąda raportów. Ten tryb nie wymusza żadnych zabezpieczeń połączenia wymaganych przez MTA-STS. Zalecamy korzystanie z trybu testowego przez 2 tygodnie. Dane zawarte w raportach z tego okresu wystarczą, by wykryć ewentualne problemy z domeną i je rozwiązać.
Informacje z raportów dziennych wykorzystaj, by rozwiązać problemy z szyfrowaniem lub inne problemy z zabezpieczeniami dotyczące serwera lub domeny. Następnie zmień tryb zasady na tryb wymuszania.
Tryb wymuszania
Gdy zasada jest w trybie wymuszania, Twoja domena żąda, aby serwery zewnętrzne sprawdzały, czy połączenie SMTP jest zaszyfrowane i uwierzytelnione.
Jeśli połączenie nie jest jednocześnie zaszyfrowane i uwierzytelnione:
- Serwery obsługujące MTA-STS nie będą wysyłać wiadomości do Twojej domeny.
- Serwery, które nie obsługują MTA-STS, nadal wysyłają wiadomości do Twojej domeny przez połączenia SMTP w normalny sposób. Te połączenia SMTP mogą nie być szyfrowane.
W trybie wymuszania nadal otrzymujesz raporty dzienne z serwerów zewnętrznych.
Tworzenie pliku zasad
Plik zasady to zwykły plik tekstowy zawierający pary klucz-wartość. Każda para musi znajdować się w osobnym wierszu pliku tekstowego (tak jak pokazano w przykładzie poniżej). Rozmiar pliku tekstowego zasady może wynosić maksymalnie 64 KB.
Nazwa pliku zasady: plik tekstowy musi mieć nazwę mta-sts.txt.
Aktualizowanie plików zasady: za każdym razem, gdy dodajesz lub zmieniasz serwery poczty albo zmieniasz domenę, musisz zaktualizować plik zasady.
Format pliku zasady: pole version (wersja) musi znajdować się w pierwszym wierszu zasady. Pozostałe pola mogą mieć dowolną kolejność. Przykładowy plik zasad:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
Zawartość pliku zasady: zasada musi zawierać wszystkie poniższe pary klucz-wartość. Aby uzyskać zasadę dostosowaną do Twojej domeny, wykonaj czynności opisane w artykule Sprawdzanie stanu MTA-STS i ustawianie sugerowanych konfiguracji.
| Klucz | Wartość |
|---|---|
| wersja | Wersja protokołu. Musi to być wersja STSv1. |
| mode |
Tryb zasady:
|
| mx |
Rekord MX domeny.
Dowiedz się więcej o rekordach MX i wartościach rekordów MX. |
| max_age |
Maksymalny czas ważności zasady (w sekundach). Wartość max_age jest resetowana na serwerze zewnętrznym za każdym razem, gdy serwer sprawdza zasadę. Z tego powodu serwery zewnętrzne mogą mieć tę samą zasadę z różnymi datami ważności. Wartość musi należeć do zakresu od 86400 (jeden dzień) do 31557600 (około jednego roku). W trybie testowania zalecamy używanie wartości z przedziału od 604800 do 1209600 (1–2 tygodnie). |