Stel MTA-STS in voor uw domeinen door voor elk domein een beleid te maken en te publiceren. Het beleid definieert de e-mailservers in het domein waarin MTA-STS wordt gebruikt.
Elk domein moet een eigen beleidsbestand hebben. Het beleid kan hetzelfde zijn, maar moet apart worden gehost voor elk domein waarin MTA-STS wordt gebruikt.
Serververeisten voor MTA-STS
Controleer het volgende voor uw e-mailservers die binnenkomende e-mail ontvangen:
- Ze vereisen dat e-mail wordt verzonden via een beveiligde verbinding (TLS).
- Ze gebruiken TLS-versie 1.2 of hoger
- De TLS-certificaten van de server:
- komen overeen met de domeinnaam die wordt gebruikt door de server voor binnenkomende e-mail (de server in uw MX-records),
- zijn ondertekend en worden vertrouwd door een rootcertificeringsinstantie,
- zijn niet verlopen.
Zie Google Workspace-certificaten voor beveiligd transport (TLS) gebruiken voor meer informatie over TLS-certificaten.
Beleidsmodi voor MTA-STS
U kunt een MTA-STS-beleid instellen in de testmodus of de modus Afdwingen.
Testmodus
In de testmodus wordt externe e-mailservers gevraagd u dagelijkse rapporten te sturen. De rapporten bevatten informatie over problemen die zijn gedetecteerd bij het maken van verbinding met uw domein. Ze bevatten bijvoorbeeld gedetecteerd MTA-STS-beleid, verkeersstatistieken, mislukte verbindingen en gegevens over niet-verzonden berichten.
In de testmodus vraagt uw domein alleen om rapporten. In deze modus wordt geen verbindingsbeveiliging afgedwongen door MTA-STS. We raden u aan met de testmodus te beginnen gedurende twee weken. Twee weken aan rapportgegevens is voldoende om problemen met uw domein te verzamelen en op te lossen.
Gebruik de informatie in de dagelijkse rapporten om versleutelings- of andere beveiligingsproblemen met uw server of domein op te lossen. Wijzig het beleid vervolgens in de modus Afdwingen.
Modus Afdwingen
Wanneer het beleid de modus Afdwingen heeft, vraagt uw domein externe servers te controleren of de SMTP-verbinding is versleuteld en geverifieerd.
Als de verbinding niet is versleuteld en geverifieerd, gebeurt het volgende:
- Servers waarop MTA-STS wordt ondersteund, verzenden geen e-mails naar uw domein.
- Servers waarop MTA-STS niet wordt ondersteund, blijven berichten verzenden naar uw domein via SMTP-verbindingen, zoals altijd. Deze SMTP-verbindingen zijn wellicht niet versleuteld.
In de modus Afdwingen blijft u de dagelijkse rapporten van externe servers ontvangen.
Een beleidsbestand maken
Het beleidsbestand is een plattetekstbestand dat sleutel- en waardeparen bevat. Elk paar moet in het beleidsbestand op een eigen regel staan, zoals in het voorbeeld hieronder. Het bestand mag maximaal 64 KB groot zijn.
Naam van het beleidsbestand: De bestandsnaam van het tekstbestand moet mta-sts.txt zijn.
Beleidsbestanden updaten: U moet het beleidsbestand updaten elke keer dat u e-mailservers toevoegt of wijzigt of wanneer u het domein wijzigt.
Indeling van het beleidsbestand: Het versieveld moet in de eerste regel van het beleid staan. De andere velden kunnen in willekeurige volgorde staan. Hier volgt een voorbeeld van een beleidsbestand:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
Inhoud van het beleidsbestand: Het beleid moet al deze sleutel- en waardeparen bevatten. Volg de stappen in De MTA-STS-status controleren en voorgestelde instellingen bekijken om beleid te maken dat is aangepast voor uw domein.
Sleutel | Waarde |
---|---|
version | Protocolversie. Deze moet STSv1 zijn. |
mode |
Beleidsmodus:
|
mx |
MX-record voor het domein.
Meer informatie over MX-records en MX-recordwaarden. |
max_age |
Maximale duur in seconden dat het beleid geldig is. De max_age wordt gereset voor een externe server elke keer dat het beleid wordt gecontroleerd door die server. Externe servers kunnen dus verschillende vervaldatums hebben voor hetzelfde beleid. De waarde moet tussen 86400 (1 dag) en 31557600 (ongeveer 1 jaar) liggen. Voor de testmodus raden we u aan een waarde tussen604800 en 1209600 (1-2 weken) in te stellen. |