Wenn Sie den Standard „Mail Transfer Agent-Strict Transport Security“ (MTA-STS) für Ihre Domains einrichten möchten, müssen Sie für jede Domain eine eigene Richtlinie erstellen und veröffentlichen. Darin sind die Mailserver in der Domain definiert, die MTA-STS verwenden.
Für jede Domain ist eine separate Richtliniendatei erforderlich. Die Richtlinien können zwar identisch sein, müssen aber für jede Domain mit MTA-STS separat gehostet werden.
Serveranforderungen für MTA-STS
Auf die Mailserver für eingehende E-Mails muss Folgendes zutreffen:
- E-Mails werden über eine sichere Verbindung (TLS) übertragen.
- Sie verwenden die TLS-Version 1.2 oder höher.
- Für die TLS-Zertifikate der Server gilt:
- Der enthaltene Domainname entspricht dem des Servers für eingehende E-Mails. Das ist der Server in Ihren MX-Einträgen.
- Sie sind signiert und werden von einer Stammzertifizierungsstelle als vertrauenswürdig eingestuft.
- Sie dürfen nicht abgelaufen sein.
Weitere Informationen zur sicheren Übertragung mit TLS-Zertifikaten
Modi für die MTA-STS-Richtlinien
Sie können MTA-STS-Richtlinien im Testmodus oder im erzwungenen Modus einrichten.
Testmodus
Im Testmodus erhalten Sie von externen Mailservern täglich Berichte mit Informationen zu Problemen, die beim Verbinden mit Ihrer Domain erkannt wurden. Die Berichte enthalten Informationen zu erkannten MTA-STS-Richtlinien, Zugriffsstatistiken, fehlgeschlagenen Verbindungen und Details zu Nachrichten, die nicht gesendet werden konnten.
Im Testmodus fordert Ihre Domain nur Berichte an. Es werden keine laut MTA-STS erforderlichen Sicherheitsmaßnahmen für Verbindungen erzwungen. Wir empfehlen, den Testmodus in den ersten beiden Wochen zu aktivieren. Die in diesem Zeitraum gewonnenen Berichtsdaten genügen, um Probleme mit Ihrer Domain zu erkennen und zu beheben.
Beheben Sie mithilfe der Informationen in den täglichen Berichten die Sicherheitsprobleme mit Ihrem Server oder Ihrer Domain, z. B. Fehler bei der Verschlüsselung. Legen Sie anschließend den erzwungenen Modus für die Richtlinie fest.
Erzwungener Modus
Wenn der erzwungene Modus für die Richtlinie aktiviert ist, müssen externe Server überprüfen, ob die SMTP-Verbindung sowohl verschlüsselt als auch authentifiziert ist.
Falls das nicht auf die Verbindung zutrifft, geschieht Folgendes:
- Server, die MTA-STS unterstützen, senden keine E-Mails an Ihre Domain.
- Server, die MTA-STS nicht unterstützen, senden wie gewohnt Nachrichten über SMTP-Verbindungen an Ihre Domain, wobei diese SMTP-Verbindungen möglicherweise nicht verschlüsselt sind.
Im erzwungenen Modus erhalten Sie weiterhin täglich Berichte von externen Servern.
Richtliniendatei erstellen
Die Richtliniendatei ist eine Nur-Text-Datei mit Schlüssel/Wert-Paaren. Jedes Paar muss sich in der Textdatei in einer separaten Zeile befinden, wie im Beispiel unten gezeigt. Die Richtlinientextdatei darf maximal 64 KB groß sein.
Name der Richtliniendatei: Der Name muss mta-sts.txt lauten.
Richtliniendateien aktualisieren: Sie müssen die Richtliniendatei jedes Mal entsprechend aktualisieren, wenn Sie Mailserver hinzufügen oder bearbeiten oder die Domain wechseln.
Aufbau der Richtliniendatei: Die erste Zeile der Richtlinie muss das Feld version enthalten. Die Reihenfolge aller anderen Felder ist beliebig. Hier sehen Sie ein Beispiel für eine Richtliniendatei:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
Inhalt der Richtliniendatei: Die Richtlinie muss alle dieser Schlüssel/Wert-Paare enthalten. Führen Sie die Schritte unter MTA-STS-Konfiguration überprüfen aus, um eine Richtlinie abzurufen, die für Ihre Domain angepasst wurde.
Schlüssel | Wert |
---|---|
version | Die Protokollversion. Der Wert muss STSv1 lauten. |
mode |
Richtlinienmodus:
|
mx |
MX-Eintrag für die Domain
|
max_age |
Maximale Gültigkeitsdauer der Richtlinie in Sekunden. max_age wird jedes Mal für einen externen Server zurückgesetzt, wenn der Server die Richtlinie prüft. Daher gelten für unterschiedliche externe Server unterschiedliche Gültigkeitszeiträume für dieselbe Richtlinie. Der Wert muss zwischen 86.400 (1 Tag) und 31.557.600 (etwa 1 Jahr) liegen. Für den Testmodus empfehlen wir einen Wert zwischen 604.800 und 1.209.600 (1–2 Wochen). |