Melding

Duet AI heet nu Gemini voor Google Workspace. Meer informatie

Verbeterde e-mailbeveiliging met MTA-STS en TLS-rapportage

2. Een MTA-STS-beleid maken

Stel MTA-STS in voor uw domeinen door voor elk domein een beleid te maken en te publiceren. Het beleid definieert de e-mailservers in het domein waarin MTA-STS wordt gebruikt.

Elk domein moet een eigen beleidsbestand hebben. Het beleid kan hetzelfde zijn, maar moet apart worden gehost voor elk domein waarin MTA-STS wordt gebruikt.

Serververeisten voor MTA-STS

Controleer het volgende voor uw e-mailservers die binnenkomende e-mail ontvangen:

  • Ze vereisen dat e-mail wordt verzonden via een beveiligde verbinding (TLS).
  • Ze gebruiken TLS-versie 1.2 of hoger
  • De TLS-certificaten van de server:
    • komen overeen met de domeinnaam die wordt gebruikt door de server voor binnenkomende e-mail (de server in uw MX-records),
    • zijn ondertekend en worden vertrouwd door een rootcertificeringsinstantie,
    • zijn niet verlopen.

Zie Google Workspace-certificaten voor beveiligd transport (TLS) gebruiken voor meer informatie over TLS-certificaten.

Beleidsmodi voor MTA-STS

U kunt een MTA-STS-beleid instellen in de testmodus of de modus Afdwingen.

Testmodus

In de testmodus wordt externe e-mailservers gevraagd u dagelijkse rapporten te sturen. De rapporten bevatten informatie over problemen die zijn gedetecteerd bij het maken van verbinding met uw domein. Ze bevatten bijvoorbeeld gedetecteerd MTA-STS-beleid, verkeersstatistieken, mislukte verbindingen en gegevens over niet-verzonden berichten.

In de testmodus vraagt uw domein alleen om rapporten. In deze modus wordt geen verbindingsbeveiliging afgedwongen door MTA-STS. We raden u aan met de testmodus te beginnen gedurende twee weken. Twee weken aan rapportgegevens is voldoende om problemen met uw domein te verzamelen en op te lossen.

Gebruik de informatie in de dagelijkse rapporten om versleutelings- of andere beveiligingsproblemen met uw server of domein op te lossen. Wijzig het beleid vervolgens in de modus Afdwingen.

Modus Afdwingen

Wanneer het beleid de modus Afdwingen heeft, vraagt uw domein externe servers te controleren of de SMTP-verbinding is versleuteld en geverifieerd.

Als de verbinding niet is versleuteld en geverifieerd, gebeurt het volgende:

  • Servers waarop MTA-STS wordt ondersteund, verzenden geen e-mails naar uw domein.
  • Servers waarop MTA-STS niet wordt ondersteund, blijven berichten verzenden naar uw domein via SMTP-verbindingen, zoals altijd. Deze SMTP-verbindingen zijn wellicht niet versleuteld.

In de modus Afdwingen blijft u de dagelijkse rapporten van externe servers ontvangen.

Een beleidsbestand maken

Het beleidsbestand is een plattetekstbestand dat sleutel- en waardeparen bevat. Elk paar moet in het beleidsbestand op een eigen regel staan, zoals in het voorbeeld hieronder. Het bestand mag maximaal 64 KB groot zijn.

Naam van het beleidsbestand: De bestandsnaam van het tekstbestand moet mta-sts.txt zijn.

Beleidsbestanden updaten: U moet het beleidsbestand updaten elke keer dat u e-mailservers toevoegt of wijzigt of wanneer u het domein wijzigt.

Indeling van het beleidsbestand: Het versieveld moet in de eerste regel van het beleid staan. De andere velden kunnen in willekeurige volgorde staan. Hier volgt een voorbeeld van een beleidsbestand:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Inhoud van het beleidsbestand: Het beleid moet al deze sleutel- en waardeparen bevatten. Volg de stappen in De MTA-STS-status controleren en voorgestelde instellingen bekijken om beleid te maken dat is aangepast voor uw domein.

Sleutel Waarde
version Protocolversie. Deze moet STSv1 zijn.
mode

Beleidsmodus:

  • testing: Externe servers sturen u rapporten over versleutelings- en andere problemen die worden gedetecteerd wanneer u verbinding maakt met uw domein. Vereisten voor MTA-STS-versleuteling en -verificatie worden niet afgedwongen.

  • enforce: Als de SMTP-verbinding niet verifieert en versleutelt, sturen e-mailservers die zijn ingesteld voor MTA-STS geen berichten naar uw domein. U ontvangt ook rapporten van externe servers over verbindingsproblemen, net als in de testmodus.

  • none: Vertelt externe servers dat MTA-STS niet meer wordt ondersteund door uw domein. Gebruik deze waarde als u stopt met het gebruik van MTA-STS. Meer informatie over het verwijderen van MTA-STS (RFC 8461).
mx

MX-record voor het domein.

  • Het beleid moet de invoer mx hebben voor elke MX-record die aan het domein is toegevoegd.
  • Elke invoer met mx moet in het beleidsbestand op een eigen regel staan, zoals in het voorbeeld.
  • De naam van de e-mailserver moet de standaard Subject Alternative Name-indeling (SAN) hebben.
  • De waarde mx moet een van de indelingen hebben uit de volgende voorbeelden:

    Geef één server op in standaard-MX-indeling: alt1.aspmx.solarmora.com

    Gebruik een jokerteken om servers op te geven die voldoen aan een naampatroon. Het jokerteken vervangt alleen het meest linkse label, bijvoorbeeld: *.solarmora.com

Meer informatie over MX-records en MX-recordwaarden.
max_age

Maximale duur in seconden dat het beleid geldig is. De max_age wordt gereset voor een externe server elke keer dat het beleid wordt gecontroleerd door die server. Externe servers kunnen dus verschillende vervaldatums hebben voor hetzelfde beleid.

De waarde moet tussen 86400 (1 dag) en 31557600 (ongeveer 1 jaar) liggen.

Voor de testmodus raden we u aan een waarde tussen604800 en 1209600 (1-2 weken) in te stellen.

Volgende stappen

Uw MTA-STS-beleid publiceren

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
9328779939640883899
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false