4. הפעלה של MTA-STS ודיווח TLS

איך מגבירים את אבטחת האימיילים באמצעות אימות והצפנה

כדי להפעיל MTA-STS ודיווח TLS בדומיין, צריך לעדכן את רשומות ה-TXT של DNS בדומיין. רשומות ה-DNS מאותתות לשרתים חיצוניים ש:

  • בדומיין שלכם נדרשים אימות והצפנה לחיבורי SMTP.
  • אתם יכולים לקבל דוחות TLS משרתים בדומיינים אחרים.

רשומת TXT היא רשומת DNS שמכילה מידע טקסטואלי שמשמש מקורות מחוץ לדומיין שלכם. מידע נוסף על עבודה עם רשומות TXT של DNS

איך יוצרים תיבת דואר כדי לקבל דוחות

כשמפעילים MTA-STS ודיווח TLS בדומיין, שרתים חיצוניים שולחים דוחות על החיבורים לשרתים שלכם. הדוחות כוללים מדיניות MTA-STS שזוהתה, נתוני תנועה, חיבורים לא מוצלחים והודעות שלא נשלחו.

זו דוגמה לדוח TLS.

לפני שמפעילים את הדיווח, צריך להגדיר כתובת אימייל אחת או יותר בדומיין כדי לקבל דוחות. רשומת ה-TXT ב-DNS לדיווח TLS כוללת את כתובת האימייל שיוצרים כדי לקבל דוחות.

דוגמאות לכתובות אימייל לדוחות TLS: tls-report@solarmora.com mta-sts@solarmora.com

הערה: אפשר להגדיר ששרתים יעלו דוחות TLS לשרת אינטרנט, במקום לשלוח את הדוחות באימייל. האפשרות הזו דורשת API שלא מסופק על ידי Google Workspace. מידע נוסף זמין במאמר דיווח באמצעות HTTPS‏ (RFC 8460).

עדכון רשומות ה-DNS

כדי להפעיל את MTA-STS ואת דיווח ה-TLS, צריך לעדכן את הגדרות הדומיין בשתי רשומות TXT של DNS, שנוספות לתת-הדומיינים הבאים:

  • _smtp._tls
  • _mta-sts

חשוב: צריך להוסיף את הרשומות האלה להגדרות הדומיין במארח הדומיינים, ולא במסוף Google Admin.

כדי לקבל רשומות DNS TXT בהתאמה אישית לדומיין שלכם, פועלים לפי השלבים במאמר בדיקת הסטטוס של MTA-STS וקבלת הצעות להגדרות.

הוספת רשומות TXT של DNS

חשוב: צריך להחליף את הדומיין לדוגמה (solarmora) בדומיין שלכם.

מומלץ להוסיף את רשומות ה-TXT של ה-DNS בסדר הזה כדי להפעיל קודם את דיווח ה-TLS ואז את MTA-STS:

  1. נכנסים למסוף הניהול של ספק הדומיין.
  2. מאתרים את הדף שבו מעדכנים רשומות DNS.

  3. כדי להפעיל דיווח TLS, מוסיפים רשומת DNS בכתובת _smtp._tls:

    השם של רשומת ה-TXT: בשדה הראשון, מתחת לשם של מארח ה-DNS, מזינים: _smtp._tls.solarmora.com

    הערך של רשומת ה-TXT: בשדה השני, מזינים: v=TLSRPTv1; rua=mailto:tlsrpt@solarmora.com

    rua: כתובת האימייל שיצרתם כדי לקבל דוחות. כדי לקבל דוחות בכמה כתובות אימייל, מפרידים בין כתובות האימייל באמצעות פסיקים: v=TLSRPTv1; rua=mailto:tlsrpt@solarmora.com,mailto:mts-sts@solarmora.com

    הערה: התחביר של אפשרות המסירה של דוח ה-HTTPS מתואר במאמר דיווח באמצעות HTTPS‏ (RFC 8460).

  4. כדי להפעיל MTA-STS בדומיין, מוסיפים רשומת DNS ב-‎_mta-sts:

    השם של רשומת ה-TXT: בשדה הראשון, מתחת לשם של מארח ה-DNS, מזינים: _mta-sts.solarmora.com

    הערך של רשומת ה-TXT: בשדה השני, מזינים: v=STSv1; id=20190425085700

    מזהה: חייב להכיל 1-32 תווים אלפאנומריים. המזהה מאותת לשרתים חיצוניים שהדומיין שלכם תומך ב-MTA-STS.

    בכל פעם שמשנים את מדיניות MTA-STS, צריך לעדכן את הערך של id לערך חדש וייחודי. שרתים חיצוניים משתמשים בערך המעודכן של id כדי לקבוע מתי המדיניות השתנתה. מומלץ להשתמש בתאריך ובשעה הנוכחיים כערך של המזהה, כדי לדעת מתי המדיניות השתנתה לאחרונה.

  5. שומרים את השינויים.

אימות ההפעלה של MTA-STS ודיווח TLS

כדי לוודא שהגדרתם נכון את MTA-STS ואת דוחות ה-TLS, בדקו את הגדרות ה-MTA-STS בדף 'תקינות האבטחה'.

הערה: הזמן שנדרש עד שהשינויים ברשומות ה-DNS ייכנסו לתוקף מבוסס על הערך של אורך החיים (TTL) של הרשומה. לכל רשומת DNS בדומיין יש TTL. בהתאם ל-TTL, יכול להיות שיחלפו עד 24 שעות לפני שהשינויים ייכנסו לתוקף. מידע נוסף על TTL ועל ערכים מומלצים