Aumentare la sicurezza delle email con MTA-STS e i rapporti TLS

2. Creare un criterio MTA-STS

Configura MTA-STS per i tuoi domini creando e pubblicando un criterio per ogni dominio. I criteri definiscono i server di posta del dominio che utilizzano MTA-STS.

Ogni dominio deve avere un file di criteri separato. I criteri possono essere gli stessi ma devono essere ospitati separatamente per ogni dominio che utilizza MTA-STS.

Requisiti del server per MTA-STS

Verifica che per i server di posta che ricevono la posta in arrivo sia valido quanto segue:

Per scoprire di più sui certificati TLS, vedi Utilizzare i certificati di Google Workspace per il trasporto sicuro (TLS).

Modalità dei criteri MTA-STS

Puoi impostare un criterio MTA-STS in modalità di prova o applicazione forzata.

Modalità di prova

La modalità di prova richiede che i server di posta esterni inviino rapporti giornalieri. I rapporti contengono informazioni sui problemi rilevati durante la connessione al tuo dominio. Nei rapporti sono incluse informazioni su criteri MTA-STS rilevati, statistiche sul traffico, connessioni non riuscite e messaggi che non è stato possibile inviare.

In modalità di prova, il dominio richiede solo i rapporti. In questa modalità non vengono applicate le funzionalità di sicurezza della connessione richieste da MTA-STS. Consigliamo di impostare inizialmente la modalità di prova per due settimane. Due settimane di dati forniti dai rapporti sono sufficienti per individuare e risolvere eventuali problemi del dominio.

Utilizza le informazioni contenute nei rapporti giornalieri per risolvere problemi riguardanti la crittografia o altri aspetti della sicurezza del server o del dominio. Quindi, modifica il criterio in modalità di applicazione forzata.

Modalità di applicazione forzata

Quando il criterio è in modalità di applicazione forzata, il dominio richiede ai server esterni di verificare che la connessione SMTP sia criptata e autenticata.

Se la connessione non è criptata né autenticata, procedi nel seguente modo:

  • I server che supportano MTA-STS non invieranno email al tuo dominio.
  • I server che non supportano MTA-STS continuano a inviare messaggi al tuo dominio tramite connessioni SMTP, come avviene normalmente. Queste connessioni SMTP potrebbero non essere criptate.

In modalità di applicazione forzata, continui a ricevere i rapporti giornalieri dai server esterni.

Creare un file di criteri

Il file di criteri è un semplice file di testo con coppie chiave-valore. Ogni coppia deve trovarsi su una riga separata nel file di testo, come nell'esempio riportato di seguito. La dimensione massima del file di testo dei criteri è 64 kB.

Nome del file di criteri: il nome del file di testo deve essere mta-sts.txt

Aggiornamento dei file di criteri: aggiorna il file di criteri ogni volta che aggiungi o modifichi i server di posta o cambi il dominio.

Formato del file di criteri: il campo della versione deve essere nella prima riga del criterio. Gli altri campi possono essere inseriti in qualsiasi ordine. Ecco un esempio di file di criteri:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Contenuti del file di criteri: il criterio deve includere tutte le coppie chiave-valore seguenti. Per ottenere un criterio personalizzato per il dominio, segui i passaggi riportati nell'articolo che spiega come verificare lo stato di MTA-STS e ricevere le configurazioni suggerite.

Chiave Valore
version (versione) Versione del protocollo. Deve essere STSv1
mode (modalità)

Modalità del criterio:

  • testing (prova): i server di posta esterni inviano rapporti sulla crittografia e altri problemi rilevati durante la connessione al tuo dominio. I requisiti di crittografia e autenticazione di MTA-STS non vengono applicati.

  • enforce (applicazione forzata): se la connessione SMTP non dispone sia di autenticazione che di crittografia, i server di posta configurati per MTA-STS non invieranno messaggi al tuo dominio. Ricevi anche rapporti da server esterni riguardo a eventuali problemi di connessione, come nella modalità di prova.

  • none (nessuna): comunica ai server esterni che il dominio non supporta più MTA-STS. Utilizza questo valore se interrompi l'uso di MTA-STS. Ulteriori informazioni sulla rimozione di MTA-STS (RFC 8461).

mx

Record MX per il dominio.

  • Il criterio deve avere una voce mx per ogni record MX aggiunto al dominio.
  • Ogni voce mx deve trovarsi su una riga separata nel file di criteri, come illustrato nell'esempio.
  • Il nome del server di posta deve essere in formato SAN (Subject Alternative Name) standard.
  • Il valore mx deve avere uno dei formati illustrati in questi esempi:

    Specifica un singolo server in formato MX standard: alt1.aspmx.solarmora.com

    Per specificare i server che corrispondono a un modello di denominazione, utilizza un carattere jolly. Il carattere jolly sostituisce solo un'etichetta all'estrema sinistra, ad esempio *.solarmora.com

Ulteriori informazioni sui record MX e sui valori dei record MX.

max_age

Periodo di tempo massimo in secondi durante il quale il criterio è valido. Il valore max_age viene reimpostato per un server esterno ogni volta che il server controlla il criterio. Quindi, i server esterni possono avere date di scadenza diverse per lo stesso criterio.

Il valore deve essere compreso tra 86.400 (1 giorno) e 31.557.600 (circa 1 anno).

Per la modalità di prova, consigliamo di usare un valore compreso tra 604.800 e 1.209.600 (1-2 settimane).

Passaggi successivi

Pubblicare il criterio MTA-STS

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale
13423493022091332290