Aumentare la sicurezza delle email con MTA-STS e i rapporti TLS

2. Creare un criterio MTA-STS

Successiva: 3. Pubblicare il criterio MTA-STS

Configura MTA-STS per i tuoi domini creando e pubblicando un criterio per ogni dominio. I criteri definiscono i server di posta del dominio che utilizzano MTA-STS.

Ogni dominio deve avere un file di criteri separato. I criteri possono essere gli stessi ma devono essere ospitati separatamente per ogni dominio che utilizza MTA-STS.

Requisiti del server per MTA-STS

Verifica che per i server di posta che ricevono la posta in arrivo sia valido quanto segue:

I server richiedono che la posta venga trasmessa mediante una connessione sicura (TLS).
Utilizzano TLS versione 1.2 o successiva
I certificati TLS del server:
- Corrispondono al nome di dominio utilizzato dal server della posta in entrata (il server dei record MX).
- Sono firmati e dichiarati attendibili da un'autorità di certificazione radice.
- Non sono scaduti.

Per scoprire di più sui certificati TLS, vedi Utilizzare i certificati di Google Workspace per il trasporto sicuro (TLS).

Modalità dei criteri MTA-STS

Puoi impostare un criterio MTA-STS in modalità di prova o applicazione forzata.

Modalità di prova

La modalità di prova richiede che i server di posta esterni inviino rapporti giornalieri. I rapporti contengono informazioni sui problemi rilevati durante la connessione al tuo dominio. Nei rapporti sono incluse informazioni su criteri MTA-STS rilevati, statistiche sul traffico, connessioni non riuscite e messaggi che non è stato possibile inviare.

In modalità di prova, il dominio richiede solo i rapporti. In questa modalità non vengono applicate le funzionalità di sicurezza della connessione richieste da MTA-STS. Consigliamo di impostare inizialmente la modalità di prova per due settimane. Due settimane di dati forniti dai rapporti sono sufficienti per individuare e risolvere eventuali problemi del dominio.

Utilizza le informazioni contenute nei rapporti giornalieri per risolvere problemi riguardanti la crittografia o altri aspetti della sicurezza del server o del dominio. Quindi, modifica il criterio in modalità di applicazione forzata.

Modalità di applicazione forzata

Quando il criterio è in modalità di applicazione forzata, il dominio richiede ai server esterni di verificare che la connessione SMTP sia criptata e autenticata.

Se la connessione non è criptata né autenticata, procedi nel seguente modo:

I server che supportano MTA-STS non invieranno email al tuo dominio.
I server che non supportano MTA-STS continuano a inviare messaggi al tuo dominio tramite connessioni SMTP, come avviene normalmente. Queste connessioni SMTP potrebbero non essere criptate.

In modalità di applicazione forzata, continui a ricevere i rapporti giornalieri dai server esterni.

Creare un file di criteri

Il file di criteri è un semplice file di testo con coppie chiave-valore. Ogni coppia deve trovarsi su una riga separata nel file di testo, come nell'esempio riportato di seguito. La dimensione massima del file di testo dei criteri è 64 kB.

Nome del file di criteri: il nome del file di testo deve essere mta-sts.txt

Aggiornamento dei file di criteri: aggiorna il file di criteri ogni volta che aggiungi o modifichi i server di posta o cambi il dominio.

Formato del file di criteri: il campo della versione deve essere nella prima riga del criterio. Gli altri campi possono essere inseriti in qualsiasi ordine. Ecco un esempio di file di criteri:

version: STSv1 mode: testing mx: mail.solarmora.com mx: *.solarmora.net mx: backupmx.solarmora.com max_age: 604800

Contenuti del file di criteri: il criterio deve includere tutte le coppie chiave-valore seguenti. Per ottenere un criterio personalizzato per il dominio, segui i passaggi riportati nell'articolo che spiega come verificare lo stato di MTA-STS e ricevere le configurazioni suggerite.

Chiave	Valore
version (versione)	Versione del protocollo. Deve essere STSv1
mode (modalità)	Modalità del criterio: testing (prova): i server di posta esterni inviano rapporti sulla crittografia e altri problemi rilevati durante la connessione al tuo dominio. I requisiti di crittografia e autenticazione di MTA-STS non vengono applicati. enforce (applicazione forzata): se la connessione SMTP non dispone sia di autenticazione che di crittografia, i server di posta configurati per MTA-STS non invieranno messaggi al tuo dominio. Ricevi anche rapporti da server esterni riguardo a eventuali problemi di connessione, come nella modalità di prova. none (nessuna): comunica ai server esterni che il dominio non supporta più MTA-STS. Utilizza questo valore se interrompi l'uso di MTA-STS. Ulteriori informazioni sulla rimozione di MTA-STS (RFC 8461).
mx	Record MX per il dominio. Il criterio deve avere una voce mx per ogni record MX aggiunto al dominio. Ogni voce mx deve trovarsi su una riga separata nel file di criteri, come illustrato nell'esempio. Il nome del server di posta deve essere in formato SAN (Subject Alternative Name) standard. Il valore mx deve avere uno dei formati illustrati in questi esempi: Specifica un singolo server in formato MX standard: `alt1.aspmx.solarmora.com` Per specificare i server che corrispondono a un modello di denominazione, utilizza un carattere jolly. Il carattere jolly sostituisce solo un'etichetta all'estrema sinistra, ad esempio `*.solarmora.com` Ulteriori informazioni sui record MX e sui valori dei record MX.
max_age	Periodo di tempo massimo in secondi durante il quale il criterio è valido. Il valore max_age viene reimpostato per un server esterno ogni volta che il server controlla il criterio. Quindi, i server esterni possono avere date di scadenza diverse per lo stesso criterio. Il valore deve essere compreso tra 86.400 (1 giorno) e 31.557.600 (circa 1 anno). Per la modalità di prova, consigliamo di usare un valore compreso tra 604.800 e 1.209.600 (1-2 settimane).

Passaggi successivi

Pubblicare il criterio MTA-STS

È stato utile?

Come possiamo migliorare l'articolo?