Configurez le protocole MTA-STS pour vos domaines en créant et en publiant une règle pour chacun d'entre eux. La règle définit les serveurs de messagerie du domaine utilisant le protocole MTA-STS.
Chaque domaine doit être associé à un fichier de règles distinct. Les règles peuvent être identiques, mais elles doivent être hébergées séparément pour chacun des domaines utilisant le protocole MTA-STS.
Configuration serveur requise pour le protocole MTA-STS
Vérifiez les points suivants concernant les serveurs de messagerie recevant des messages entrants :
- Ils exigent que les messages soient transmis par le biais d'une connexion sécurisée (TLS).
- Ils utilisent le protocole TLS 1.2 ou une version ultérieure.
- Les certificats TLS du serveur :
- correspondent au nom de domaine utilisé par le serveur de messagerie entrant (ce serveur est indiqué dans vos enregistrements MX) ;
- sont signés et approuvés par une autorité de certification racine ;
- ne sont pas arrivés à expiration.
Pour en savoir plus sur les certificats TLS, consultez Utiliser les certificats Google Workspace pour le transfert sécurisé (TLS).
Modes des règles MTA-STS
Vous pouvez configurer une règle MTA-STS en mode test ou en mode application forcée.
Mode test
Le mode test demande aux serveurs de messagerie externes de vous envoyer des rapports quotidiens. Ces rapports contiennent des informations concernant les problèmes détectés lorsque vous vous connectez à votre domaine. Ces rapports incluent des informations sur les règles MTA-STS détectées, les statistiques liées au trafic, les connexions ayant échoué et les messages n'ayant pas pu être envoyés.
En mode test, votre domaine demande uniquement des rapports. Ce mode ne permet l'application d'aucune mesure de sécurité des connexions requise par le protocole MTA-STS. Nous vous recommandons de commencer par utiliser le mode test pendant deux semaines. Ce laps de temps permet d'obtenir suffisamment de données de rapport pour identifier et résoudre les problèmes liés à votre domaine.
Les informations fournies dans les rapports quotidiens vous permettent de résoudre les problèmes de chiffrement ou de sécurité de votre serveur ou de votre domaine. Passez ensuite au mode application forcée.
Mode application forcée
Lorsque la règle est en mode application forcée, votre domaine demande aux serveurs externes de vérifier que la connexion SMTP est chiffrée et authentifiée.
Si tel n'est pas le cas :
- les serveurs compatibles avec le protocole MTA-STS n'enverront pas de messages à votre domaine ;
- les serveurs non compatibles avec le protocole MTA-STS continuent d'envoyer des messages à votre domaine via des connexions SMTP comme ils le font habituellement. Ces connexions ne sont peut-être pas chiffrées.
En mode application forcée, vous continuez de recevoir les rapports quotidiens des serveurs externes.
Créer un fichier de règles
Le fichier de règles est un fichier au format texte brut contenant des paires clé/valeur. Chaque paire doit apparaître sur sa propre ligne dans le fichier texte, comme illustré dans l'exemple ci-dessous. La taille du fichier ne doit pas dépasser 64 Ko.
Nom du fichier de règles : le nom du fichier texte doit être mta-sts.txt.
Mise à jour des fichiers de règles : mettez à jour le fichier de règles chaque fois que vous ajoutez un serveur de messagerie ou que vous en changez, et chaque fois que vous changez de domaine.
Format du fichier de règles : le champ version doit apparaître sur la première ligne de la règle. L'ordre des autres champs n'a pas d'importance. Voici un exemple de fichier de règles :
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
Contenu du fichier de règles : la règle doit inclure l'ensemble des paires de clés et de valeurs énumérées ci-dessous. Pour personnaliser une règle pour votre domaine, suivez la procédure décrite dans Vérifier l'état du protocole MTA-STS et obtenir des suggestions de configuration.
Clé | Valeur |
---|---|
version | Version du protocole. Doit être STSv1. |
mode |
Mode des règles :
|
mx |
Enregistrement MX pour le domaine :
En savoir plus sur les enregistrements MX et leurs valeurs |
max_age |
Durée maximale, en secondes, pendant laquelle la règle est valide. La valeur max_age est réinitialisée pour un serveur externe chaque fois que ce serveur vérifie la règle. Par conséquent, les serveurs externes ont des dates d'expiration différentes pour la même règle. La valeur doit être comprise entre 86400 (un jour) et 31557600 (environ un an). En mode test, nous vous recommandons une valeur comprise entre 604800 et 1209600 (une à deux semaines). |