השבתה של MTA-STS

איך מגבירים את אבטחת האימיילים באמצעות אימות והצפנה

יכול להיות שתרצו להשבית את MTA-STS בדומיין שלכם. לדוגמה, יכול להיות שאתם מנסים לפתור בעיות בהגדרות של שרת האימייל או שאתם מחליפים ספק אימייל. הפעלת MTA-STS מתבצעת לכל דומיין בנפרד. אם יש לכם יותר מדומיין אחד, צריך להשבית את MTA-STS בכל דומיין בנפרד.

אפשרות 1: שינוי המצב של מדיניות MTA-STS

MTA-STS מושבת תוך 24 שעות או פחות.

למדיניות MTA-STS יש 3 מצבים. מדיניות פעילה משתמשת במצב אכיפה או במצב בדיקה. אפשר להשבית את MTA-STS באמצעות מדיניות במצב none. מידע נוסף על קובצי מדיניות ומצבים של MTA-STS זמין במאמר יצירת מדיניות MTA-STS.

שלב 1: מעדכנים את קובץ המדיניות במחשב המקומי

מעדכנים את קובץ המדיניות שיצרתם כשהפעלתם את MTA-STS בדומיין. אם אין לכם עותק של הקובץ, אתם יכולים להוריד אותו משרת האינטרנט הציבורי של הדומיין במיקום הזה. מחליפים את הדומיין שבדוגמה בדומיין שלכם:

https://mta-sts.solarmora.com/.well-known/mta-sts.txt

מעדכנים את הקובץ:

  • משנים את ערך המצב ל-none.
  • משנים את הערך של max_age ל-86400 (בערך יום אחד).
  • מסירים את כל צמדי המפתח/ערך mx (כל השורות שמתחילות ב-mx).

בהמשך מופיעה דוגמה לקובץ מדיניות. העמודה השמאלית היא מדיניות MTA-STS פעילה. בעמודה השמאלית מוצגת אותה מדיניות אחרי העדכון, שבו MTA-STS מושבת. הדומיין במדיניות הפעילה הוא דומיין לדוגמה.

מדיניות MTA-STS פעילה מדיניות MTA-STS במצב none
version: STSv1
mode: enforced
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800		 version: STSv1
mode: none
max_age: 86400

שלב 2: מעלים את קובץ המדיניות המעודכן לשרת הציבורי של הדומיין

הערה: אם אף פעם לא פרסמתם קובץ מדיניות MTA-STS, כדאי לעיין בשלבים המפורטים במאמר פרסום מדיניות MTA-STS.

מעלים את קובץ המדיניות המעודכן לאותו שרת אינטרנט ולאותה ספרייה שבהם נמצא קובץ המדיניות הנוכחי. הקובץ החדש צריך להחליף את הקובץ הנוכחי במיקום:

https://mta-sts.solarmora.com/.well-known/mta-sts.txt

שלב 3: שינוי המזהה ברשומת ה-TXT ב-DNS של MTA-STS

הערה: שלבים מפורטים לעדכון רשומות TXT של DNS מופיעים במאמר הפעלת MTA-STS ודיווח TLS. אפשר גם לפנות לספק הדומיין כדי לקבל הוראות לניהול רשומות TXT של DNS בדומיין.

  1. נכנסים למסוף ניהול הדומיין ומוצאים את הדף שבו מנהלים את רשומות ה-DNS של הדומיין.
  2. מחפשים את רשומת ה-TXT של MTA-STS בדומיין. התווית תהיה _mta-sts: או משהו דומה.
  3. משנים את ערך המזהה בשדה של ערך רשומת ה-TXT. בדרך כלל זה השדה השני. ערך המזהה חייב להיות שונה מהערך הנוכחי, והוא יכול לכלול עד 32 אותיות וספרות. לדוגמה:
    id=20200425085700
  4. שומרים את השינויים.

רשומת TXT מעודכנת ב-DNS נכנסת לתוקף על סמך הערך של Time To Live (TTL) של הרשומה. לכל רשומת TXT בדומיין יש TTL.

בהתאם ל-TTL, יכול להיות שיחלפו עד 24 שעות לפני שהשינויים ברשומת ה-DNS ייכנסו לתוקף. מידע נוסף על TTL ועל ערכים מומלצים

אפשרות 2: מחיקה של רשומת ה-TXT של DNS ל-MTA-STS

מערכת MTA-STS מושבתת כשתוקף המדיניות פג, החל מיום אחד ועד שנה.

בשיטה הזו, פרוטוקול MTA-STS מושבת אחרי שתוקף המדיניות הנוכחית והקודמת פג.

יכול להיות שאתרים מרוחקים מסוימים שמרו במטמון גרסה קודמת של המדיניות. יכול להיות שלמדיניות קודמת יש תאריך תפוגה מאוחר יותר מהמדיניות הנוכחית.

שלב 1: בודקים את זמן התפוגה של המדיניות

כשיוצרים קובץ מדיניות, מגדירים את זמן התפוגה של המדיניות באמצעות הערך max_age. זמן התפוגה יכול להיות מיום אחד ועד כשנה, והוא מתאפס בכל פעם ששרת דואר חיצוני בודק את המדיניות.

אפשר לבדוק את תאריך התפוגה הנוכחי של המדיניות בקובץ המדיניות. צופים בקובץ בשרת האינטרנט במיקום הזה (מחליפים את הדומיין לדוגמה בדומיין שלכם):

https://mta-sts.solarmora.com/.well-known/mta-sts.txt

הערך של max_age הוא בשניות.

אם תוקף המדיניות ארוך מדי, צריך להשתמש בשיטה הראשונה במאמר הזה, אפשרות 1: שינוי המצב של מדיניות MTA-STS.

שלב 2: מוחקים את רשומת MTA-STS של הדומיין

את השלב הזה צריך לבצע במסוף שבו מנהלים את הדומיין. אפשר גם לבדוק מול ספק הדומיין איך למחוק רשומות TXT.

  1. נכנסים למסוף ניהול הדומיין ומוצאים את הדף שבו מנהלים את רשומות ה-DNS של הדומיין.
  2. מחפשים את רשומת ה-TXT של MTA-STS בדומיין. התווית תהיה _mta-sts: או משהו דומה.
  3. מוחקים את רשומת ה-TXT.
  4. שומרים את השינויים.

מערכת MTA-STS מושבתת בדומיין כשתוקף המדיניות עם תאריך התפוגה הארוך ביותר פג.