Configura MTA-STS per i tuoi domini creando e pubblicando un criterio per ogni dominio. I criteri definiscono i server di posta del dominio che utilizzano MTA-STS.
Ogni dominio deve avere un file di criteri separato. I criteri possono essere gli stessi ma devono essere ospitati separatamente per ogni dominio che utilizza MTA-STS.
Requisiti del server per MTA-STS
Verifica che per i server di posta che ricevono la posta in arrivo sia valido quanto segue:
- I server richiedono che la posta venga trasmessa mediante una connessione sicura (TLS).
- Utilizzano TLS versione 1.2 o successiva
- I certificati TLS del server:
- Corrispondono al nome di dominio utilizzato dal server della posta in entrata (il server dei record MX).
- Sono firmati e dichiarati attendibili da un'autorità di certificazione radice.
- Non sono scaduti.
Per scoprire di più sui certificati TLS, vedi Utilizzare i certificati di Google Workspace per il trasporto sicuro (TLS).
Modalità dei criteri MTA-STS
Puoi impostare un criterio MTA-STS in modalità di prova o applicazione forzata.
Modalità di prova
La modalità di prova richiede che i server di posta esterni inviino rapporti giornalieri. I rapporti contengono informazioni sui problemi rilevati durante la connessione al tuo dominio. Nei rapporti sono incluse informazioni su criteri MTA-STS rilevati, statistiche sul traffico, connessioni non riuscite e messaggi che non è stato possibile inviare.
In modalità di prova, il dominio richiede solo i rapporti. In questa modalità non vengono applicate le funzionalità di sicurezza della connessione richieste da MTA-STS. Consigliamo di impostare inizialmente la modalità di prova per due settimane. Due settimane di dati forniti dai rapporti sono sufficienti per individuare e risolvere eventuali problemi del dominio.
Utilizza le informazioni contenute nei rapporti giornalieri per risolvere problemi riguardanti la crittografia o altri aspetti della sicurezza del server o del dominio. Quindi, modifica il criterio in modalità di applicazione forzata.
Modalità di applicazione forzata
Quando il criterio è in modalità di applicazione forzata, il dominio richiede ai server esterni di verificare che la connessione SMTP sia criptata e autenticata.
Se la connessione non è criptata né autenticata, procedi nel seguente modo:
- I server che supportano MTA-STS non invieranno email al tuo dominio.
- I server che non supportano MTA-STS continuano a inviare messaggi al tuo dominio tramite connessioni SMTP, come avviene normalmente. Queste connessioni SMTP potrebbero non essere criptate.
In modalità di applicazione forzata, continui a ricevere i rapporti giornalieri dai server esterni.
Creare un file di criteri
Il file di criteri è un semplice file di testo con coppie chiave-valore. Ogni coppia deve trovarsi su una riga separata nel file di testo, come nell'esempio riportato di seguito. La dimensione massima del file di testo dei criteri è 64 kB.
Nome del file di criteri: il nome del file di testo deve essere mta-sts.txt
Aggiornamento dei file di criteri: aggiorna il file di criteri ogni volta che aggiungi o modifichi i server di posta o cambi il dominio.
Formato del file di criteri: il campo della versione deve essere nella prima riga del criterio. Gli altri campi possono essere inseriti in qualsiasi ordine. Ecco un esempio di file di criteri:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
Contenuti del file di criteri: il criterio deve includere tutte le coppie chiave-valore seguenti. Per ottenere un criterio personalizzato per il dominio, segui i passaggi riportati nell'articolo che spiega come verificare lo stato di MTA-STS e ricevere le configurazioni suggerite.
Chiave | Valore |
---|---|
version (versione) | Versione del protocollo. Deve essere STSv1 |
mode (modalità) |
Modalità del criterio:
|
mx |
Record MX per il dominio.
Ulteriori informazioni sui record MX e sui valori dei record MX. |
max_age |
Periodo di tempo massimo in secondi durante il quale il criterio è valido. Il valore max_age viene reimpostato per un server esterno ogni volta che il server controlla il criterio. Quindi, i server esterni possono avere date di scadenza diverse per lo stesso criterio. Il valore deve essere compreso tra 86.400 (1 giorno) e 31.557.600 (circa 1 anno). Per la modalità di prova, consigliamo di usare un valore compreso tra 604.800 e 1.209.600 (1-2 settimane). |