您可以針對每個網域建立及發布政策,為網域設定 MTA-STS。這項政策是用來定義網域中使用 MTA-STS 的郵件伺服器。
您必須為每個網域分別建立政策檔案。政策可以相同,但每個使用 MTA-STS 的網域必須分別代管政策。
MTA-STS 伺服器需求
針對接收內送郵件的郵件伺服器確認下列事項:
- 伺服器要求系統透過安全 (TLS) 連線傳送郵件。
- 伺服器使用傳輸層安全標準 (TLS) 1.2 以上版本。
- 伺服器 TLS 憑證:
- 須符合內送郵件伺服器 (即 MX 記錄中的伺服器) 所使用的網域名稱。
- 必須取得根憑證授權單位的簽署和信任。
- 不得超過效期。
如要進一步瞭解傳輸層安全標準 (TLS) 憑證,請參閱使用 Google Workspace 安全傳輸 (TLS) 憑證一文。
MTA-STS 政策模式
您可以在「測試」模式或「強制執行」模式下設定 MTA-STS 政策。
測試模式
測試模式會要求外部郵件伺服器傳送每日報告給您,提供連線到您網域時偵測到的問題。這些報告包含伺服器偵測到的 MTA-STS 政策、流量統計資料、連線失敗次數以及傳送失敗郵件的詳細資訊。
在測試模式中,您的網域只會要求提供報告,不會強制執行 MTA-STS 所要求的任何連線安全性機制。建議您先從測試模式著手,並執行 2 週。2 週的報告資料足以讓您瞭解網域的問題所在並進行修正。
請使用每日報告中的資訊解決伺服器或網域的加密問題或其他安全性問題,然後將政策變更為強制執行模式。
強制執行模式
當政策為強制執行模式時,您的網域會要求外部伺服器確認 SMTP 連線已經過加密及驗證。
如果連線未經過加密及驗證,就會發生以下情形:
- 支援 MTA-STS 的伺服器將不會傳送郵件到您的網域。
- 不支援 MTA-STS 的伺服器會繼續按照以往方式 (透過 SMTP 連線) 傳送郵件到您的網域。這些 SMTP 連線可能並未經過加密。
在強制模式下,您會持續收到外部伺服器傳送的每日報告。
建立政策檔案
政策檔案為純文字檔案,內含鍵和值的組合。文字檔中的每個組合必須獨立為一行,如下方範例所示;檔案大小上限則為 64 KB。
政策檔案名稱:文字檔的檔案名稱必須為 mta-sts.txt。
更新政策檔案:每次新增或變更郵件伺服器,或是變更網域時,您都必須更新政策檔案。
政策檔案格式:[version] (版本) 欄位必須位於政策的第一行,其他欄位不限順序。以下為政策檔案範例:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
政策檔案內容:政策必須包含以下所有鍵和值組合。如要取得專為您的網域所制定的政策,請按照「檢查 MTA-STS 狀態並取得建議設定」的步驟操作。
| 鍵 | 值 |
|---|---|
| 版本 | 通訊協定版本。必須為 STSv1 |
| mode |
政策模式:
|
| mx |
網域的 MX 記錄。
進一步瞭解 MX 記錄和 MX 記錄值。 |
| max_age |
政策的有效時間上限 (以秒為單位)。外部伺服器每次存取政策,系統就會為該伺服器重設 max_age。因此,外部伺服器存取相同政策的有效時間可能會有所不同。 這個值必須介於 86400 (1 天) 和 31557600 (大約 1 年) 之間。 在測試模式下,建議將這個值設定在 604800 和 1209600 (1-2 週) 之間。 |