2. Создайте политику MTA-STS.

Настройте MTA-STS для ваших доменов, создав и опубликовав политику для каждого домена. Политика определяет почтовые серверы в домене, использующие MTA-STS.

Для каждого домена необходим отдельный файл политик. Политики могут быть одинаковыми, но для каждого домена они должны размещаться отдельно с использованием MTA-STS.

Требования к серверу для MTA-STS

Проверьте следующие параметры на ваших почтовых серверах, принимающих входящие сообщения:

Подробнее о сертификатах TLS можно узнать в статье «Используйте сертификаты Google Workspace для безопасной передачи данных (TLS)» .

Режимы политики MTA-STS

Политику MTA-STS можно настроить в тестовом режиме или в режиме принудительного применения .

Режим тестирования

В тестовом режиме внешние почтовые серверы отправляют вам ежедневные отчеты. Отчеты содержат информацию об обнаруженных проблемах при подключении к вашему домену. Отчеты включают в себя обнаруженные политики MTA-STS, статистику трафика, неудачные подключения и подробную информацию о неотправленных сообщениях.

В тестовом режиме ваш домен только запрашивает отчеты. В этом режиме не применяются никакие меры безопасности соединения, требуемые MTA-STS. Мы рекомендуем начать с тестового режима на 2 недели. Двух недель данных отчетов достаточно, чтобы изучить и устранить любые проблемы с вашим доменом.

Используйте информацию из ежедневных отчетов для устранения проблем с шифрованием или других проблем безопасности вашего сервера или домена. Затем переведите политику в режим принудительного применения.

Принудительное применение режима

Когда политика находится в режиме принудительного применения, ваш домен запрашивает у внешних серверов проверку того, что SMTP-соединение зашифровано и аутентифицировано.

Если соединение не зашифровано и не аутентифицировано одновременно:

  • Серверы, поддерживающие MTA-STS, не будут отправлять почту на ваш домен.
  • Серверы, не поддерживающие MTA-STS, продолжают отправлять сообщения на ваш домен по SMTP-соединениям, как обычно. Эти SMTP-соединения могут быть не зашифрованы.

В режиме принудительного применения вы продолжаете получать ежедневные отчеты с внешних серверов.

Создайте файл политики.

Файл политики представляет собой текстовый файл, содержащий пары ключ-значение. Каждая пара должна располагаться на отдельной строке в текстовом файле, как показано в примере ниже. Размер текстового файла политики может достигать 64 КБ.

Имя файла политики: текстовый файл должен иметь имя mta-sts.txt.

Обновление файлов политик: Обновляйте файл политик каждый раз, когда добавляете или изменяете почтовые серверы или меняете домен.

Формат файла политики: Поле «Версия» должно находиться в первой строке политики. Остальные поля могут располагаться в любом порядке. Вот пример файла политики:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Содержимое файла политики: Политика должна включать все эти пары ключ-значение. Чтобы получить политику, настроенную для вашего домена, выполните действия, описанные в разделе «Проверка состояния MTA-STS и получение предлагаемых конфигураций» .

Ключ Ценить
версия Версия протокола. Должна быть STSv1.
режим

Режим политики:

  • Тестирование: Внешние серверы отправляют вам отчеты о проблемах с шифрованием и других проблемах, обнаруженных при подключении к вашему домену. Требования MTA-STS к шифрованию и аутентификации не применяются.

  • Принудительное действие: Если SMTP-соединение не включает аутентификацию и шифрование, почтовые серверы, настроенные для MTA-STS, не будут отправлять сообщения в ваш домен. Вы также будете получать отчеты от внешних серверов о проблемах с подключением, как и в тестовом режиме.

  • none: Сообщает внешним серверам, что ваш домен больше не поддерживает MTA-STS. Используйте это значение, если вы прекратили использовать MTA-STS. Подробнее об удалении MTA-STS (RFC 8461) .

мкс

MX-запись для домена.

  • Политика должна содержать запись MX для каждой записи MX, добавленной в домен.
  • Каждая запись MX должна находиться на отдельной строке в файле политики, как показано в примере.
  • Имя почтового сервера должно быть в стандартном формате Subject Alternative Name (SAN) .
  • Значение mx должно быть в одном из форматов, показанных в этих примерах:

    Укажите один сервер в стандартном формате MX: alt1.aspmx.solarmora.com

    Для указания серверов, соответствующих шаблону именования, используйте подстановочный символ. Подстановочный символ заменяет только одну метку слева, например: *.solarmora.com

Узнайте больше о записях MX и значениях записей MX .

максимальный_возраст

Максимальное время действия политики указано в секундах. Параметр max_age сбрасывается для внешнего сервера каждый раз, когда сервер проверяет политику. Таким образом, внешние серверы могут иметь разные даты истечения срока действия одной и той же политики.

Значение должно находиться в диапазоне от 86400 (1 день) до 31557600 (примерно 1 год).

Для тестового режима мы рекомендуем интервал от 604800 до 1209600 (1–2 недели).

Следующие шаги

Опубликуйте свою политику MTA-STS.