4. הפעלה של MTA-STS ודיווח TLS

איך מגבירים את אבטחת האימיילים באמצעות אימות והצפנה

כדי להפעיל MTA-STS ודיווח TLS בדומיין, צריך לעדכן את רשומות ה-TXT של DNS בדומיין. רשומות ה-DNS מאותתות לשרתים חיצוניים ש:

בדומיין שלכם נדרשים אימות והצפנה לחיבורי SMTP.
אפשר לקבל דוחות TLS משרתים בדומיינים אחרים.

רשומת TXT היא רשומת DNS שמכילה מידע בצורת טקסט שמשמש מקורות מחוץ לדומיין שלכם. מידע נוסף על עבודה עם רשומות TXT של DNS

איך יוצרים תיבת דואר כדי לקבל דוחות

כשמפעילים MTA-STS ודיווח TLS בדומיין, שרתים חיצוניים שולחים לכם דוחות על החיבורים לשרתים שלכם. הדוחות כוללים מדיניות MTA-STS שזוהתה, נתונים סטטיסטיים על תנועת נתונים, חיבורים שלא הצליחו והודעות שלא נשלחו.

זו דוגמה לדוח TLS.

לפני שמפעילים את הדיווח, צריך להגדיר כתובת אימייל אחת או יותר בדומיין כדי לקבל דוחות. רשומת ה-TXT ב-DNS לדיווח TLS כוללת את כתובת האימייל שיוצרים כדי לקבל דוחות.

דוגמאות לכתובות אימייל לדוחות TLS: tls-report@solarmora.com mta-sts@solarmora.com

הערה: אפשר להגדיר שהשרתים יעלו את דוחות ה-TLS לשרת אינטרנט, במקום לשלוח את הדוחות באימייל. האפשרות הזו דורשת API שלא מסופק על ידי Google Workspace. מידע נוסף זמין במאמר דיווח באמצעות HTTPS‏ (RFC 8460).

עדכון רשומות ה-DNS

כדי להפעיל MTA-STS ודיווח TLS, צריך לעדכן את הגדרות הדומיין בשתי רשומות TXT של DNS, שנוספו לתת-הדומיינים הבאים:

_smtp._tls
_mta-sts

חשוב: מוסיפים את הרשומות האלה להגדרות הדומיין במארח הדומיינים, ולא במסוף Google Admin.

קבלת המלצות לרשומות TXT של DNS

כדי לקבל רשומות TXT של DNS שמותאמות לדומיין שלכם, פועלים לפי השלבים במאמר בדיקת הסטטוס של MTA-STS וקבלת הצעות להגדרות.

הוספת רשומות TXT של DNS

חשוב: צריך להחליף את הדומיין לדוגמה (solarmora) בשלבים האלה בדומיין שלכם.

מומלץ להוסיף את רשומות ה-TXT של DNS בסדר הזה כדי להפעיל קודם דיווח TLS ואז להפעיל MTA-STS:

נכנסים למסוף הניהול של ספק הדומיין.
מאתרים את הדף שבו מעדכנים רשומות DNS.
כדי להפעיל דיווח TLS, מוסיפים רשומת DNS בכתובת _smtp._tls:

השם של רשומת ה-TXT: בשדה הראשון, מתחת לשם של מארח ה-DNS, מזינים: _smtp._tls.solarmora.com

הערך של רשומת ה-TXT: בשדה השני, מזינים: v=TLSRPTv1; rua=mailto:tlsrpt@solarmora.com

‫rua: כתובת האימייל שיצרתם כדי לקבל דוחות. כדי לקבל דוחות לכמה כתובות אימייל, מפרידים בין כתובות האימייל באמצעות פסיקים: v=TLSRPTv1; rua=mailto:tlsrpt@solarmora.com,mailto:mts-sts@solarmora.com

הערה: התחביר של אפשרות המסירה של דוח ה-HTTPS מתואר במאמר Report using HTTPS (RFC 8460).
כדי להפעיל MTA-STS בדומיין, מוסיפים רשומת DNS ב-‎_mta-sts:

השם של רשומת ה-TXT: בשדה הראשון, מתחת לשם של מארח ה-DNS, מזינים: _mta-sts.solarmora.com

הערך של רשומת ה-TXT: בשדה השני, מזינים: v=STSv1; id=20190425085700

‫id: חייב להכיל 1-32 תווים אלפאנומריים. המזהה מאותת לשרתים חיצוניים שהדומיין שלכם תומך ב-MTA-STS.

בכל פעם שמשנים את מדיניות MTA-STS, צריך לעדכן את הערך של id לערך חדש וייחודי. שרתים חיצוניים משתמשים בערך המעודכן של id כדי לקבוע מתי המדיניות השתנתה. מומלץ להשתמש בתאריך ובשעה הנוכחיים לערך המזהה כדי לדעת מתי חל השינוי האחרון במדיניות.
שומרים את השינויים.

אימות ההפעלה של MTA-STS ודיווח TLS

כדי לוודא שהגדרתם נכון את MTA-STS ואת דוחות ה-TLS, בדקו את הגדרות ה-MTA-STS בדף 'רמת האבטחה'.

הערה: הזמן שנדרש כדי שרשומות DNS שהשתנו ייכנסו לתוקף מבוסס על הערך של Time To Live (זמן החיים, TTL) של הרשומה. לכל רשומת DNS בדומיין יש TTL. בהתאם ל-TTL, יכול להיות שיחלפו עד 24 שעות לפני שהשינויים ייכנסו לתוקף. מידע נוסף על TTL ועל ערכים מומלצים

4. הפעלה של MTA-STS ודיווח TLS קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.