Thiết lập MTA-STS cho các miền của bạn bằng cách tạo và xuất bản một chính sách cho từng miền. Chính sách này xác định những máy chủ thư trong miền sử dụng MTA-STS.
Mỗi miền phải có một tệp chính sách riêng. Các chính sách có thể giống nhau nhưng bạn phải lưu trữ riêng cho từng miền bằng MTA-STS.
Yêu cầu về máy chủ đối với MTA-STS
Xác minh những thông tin sau cho các máy chủ thư nhận thư đến:
- Họ yêu cầu gửi thư qua đường kết nối an toàn (TLS).
- Họ sử dụng TLS phiên bản 1.2 trở lên
- Chứng chỉ TLS của máy chủ:
- Khớp tên miền mà máy chủ thư đến sử dụng (máy chủ trong bản ghi MX).
- Được một tổ chức phát hành chứng chỉ gốc ký và tin cậy.
- Chưa hết hạn.
Tìm hiểu thêm về chứng chỉ TLS tại Sử dụng chứng chỉ Google Workspace để truyền tải an toàn (TLS).
Các chế độ chính sách MTA-STS
Bạn có thể thiết lập chính sách MTA-STS ở chế độ kiểm thử hoặc chế độ thực thi.
Chế độ thử nghiệm
Chế độ thử nghiệm yêu cầu các máy chủ thư bên ngoài gửi cho bạn báo cáo hằng ngày. Báo cáo này có thông tin về các vấn đề được phát hiện khi kết nối với miền của bạn. Báo cáo bao gồm các chính sách MTA-STS được phát hiện, số liệu thống kê về lưu lượng truy cập, các kết nối không thành công và thông tin chi tiết về những thư chưa gửi.
Ở chế độ thử nghiệm, miền của bạn chỉ yêu cầu báo cáo. Chế độ này không thực thi bất kỳ biện pháp bảo mật kết nối nào mà MTA-STS yêu cầu. Bạn nên bắt đầu với chế độ thử nghiệm trong 2 tuần. 2 tuần dữ liệu báo cáo là đủ để bạn tìm hiểu và khắc phục mọi vấn đề với miền của mình.
Hãy sử dụng thông tin trong báo cáo hằng ngày để giải quyết các vấn đề về việc mã hoá hoặc các vấn đề bảo mật khác với máy chủ hoặc miền của bạn. Sau đó, hãy thay đổi chính sách thành chế độ thực thi.
Chế độ thực thi
Khi chính sách ở chế độ thực thi, miền của bạn sẽ yêu cầu các máy chủ bên ngoài xác minh rằng cả kết nối SMTP đều được mã hoá và xác thực.
Nếu kết nối không được mã hoá và xác thực:
- Những máy chủ hỗ trợ MTA-STS sẽ không gửi thư đến miền của bạn.
- Những máy chủ không hỗ trợ MTA-STS sẽ tiếp tục gửi thư đến miền của bạn qua các kết nối SMTP như bình thường. Các kết nối SMTP này có thể không được mã hoá.
Ở chế độ thực thi, bạn vẫn tiếp tục nhận được báo cáo hằng ngày từ các máy chủ bên ngoài.
Tạo tệp chính sách
Tệp chính sách là một tệp văn bản thuần tuý có các cặp khoá và giá trị. Mỗi cặp phải nằm trên một dòng riêng trong tệp văn bản, như minh hoạ trong ví dụ bên dưới. Kích thước tối đa cho phép của tệp văn bản chính sách là 64 KB.
Tên tệp chính sách: Tên tệp của tệp văn bản phải là mta-sts.txt
Cập nhật tệp chính sách: Cập nhật tệp chính sách mỗi khi bạn thêm hoặc thay đổi máy chủ thư hoặc thay đổi miền.
Định dạng tệp chính sách: Trường version phải nằm ở dòng đầu tiên của chính sách. Các trường khác có thể ở bất kỳ thứ tự nào. Sau đây là một ví dụ về tệp chính sách:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
Nội dung tệp chính sách: Chính sách phải bao gồm tất cả các cặp khoá và giá trị này. Để nhận được một chính sách phù hợp với miền của bạn, hãy làm theo các bước trong phần Kiểm tra trạng thái MTA-STS và nhận cấu hình được đề xuất.
| Khoá | Giá trị |
|---|---|
| version | Phiên bản giao thức. Phải là STSv1 |
| mode |
Chế độ chính sách:
|
| mx |
Bản ghi MX cho miền.
Tìm hiểu thêm về bản ghi MX và giá trị bản ghi MX. |
| max_age |
Thời gian tối đa (tính bằng giây) mà chính sách này có hiệu lực. max_age được đặt lại cho một máy chủ bên ngoài mỗi khi máy chủ kiểm tra chính sách. Do đó, các máy chủ bên ngoài có thể có ngày hết hạn khác nhau cho cùng một chính sách. Giá trị phải nằm trong khoảng từ 86400 (1 ngày) đến 31557600 (khoảng 1 năm). Đối với chế độ thử nghiệm, bạn nên chọn thời gian từ 604800 đến 1209600 (1–2 tuần). |