Skonfiguruj MTA-STS dla swoich domen. W tym celu utwórz i opublikuj zasadę dla każdej domeny. Zasada definiuje serwery poczty w domenie używającej MTA-STS.
Każda domena musi mieć osobny plik zasady. Zasady mogą być takie same, ale muszą być hostowane osobno dla każdej domeny używającej MTA-STS.
Wymagania MTA-STS dotyczące serwera
Sprawdź, czy serwery poczty przychodzącej spełniają następujące warunki:
- Wymagają przesyłania poczty przez bezpieczne połączenie TLS.
- Używają TLS w wersji 1.2 lub nowszej.
- Certyfikaty TLS serwera:
- zawierają nazwę domeny używaną przez serwer poczty przychodzącej (serwer w rekordach MX),
- są podpisane przez zaufany główny urząd certyfikacji,
- nie utraciły ważności.
Więcej informacji o certyfikatach TLS znajdziesz w artykule Używanie certyfikatów Google Workspace do zabezpieczania korespondencji (TLS).
Tryby zasady MTA-STS
Zasadę MTA-STS możesz skonfigurować w trybie testowym lub w trybie wymuszania.
Tryb testowy
W trybie testowym zewnętrzne serwery poczty wysyłają Ci raporty dzienne. Te raporty zawierają informacje o problemach wykrytych podczas nawiązywania połączeń z domeną. Raporty zawierają informacje o wykrytych zasadach MTA-STS, statystykach ruchu, nieudanych połączeniach i wiadomościach, których nie udało się wysłać.
W trybie testowym domena tylko żąda raportów. Ten tryb nie wymusza żadnych zabezpieczeń połączenia wymaganych przez MTA-STS. Zalecamy korzystanie z trybu testowego przez dwa tygodnie. Dane zawarte w raportach z tego okresu wystarczą, by wykryć ewentualne problemy z domeną i je rozwiązać.
Informacje z raportów dziennych wykorzystaj, by rozwiązać problemy z szyfrowaniem lub inne problemy z zabezpieczeniami dotyczące serwera lub domeny. Następnie zmień tryb zasady na tryb wymuszania.
Tryb wymuszania
Gdy zasada jest w trybie wymuszania, Twoja domena żąda, by serwery zewnętrzne sprawdzały, czy połączenie SMTP jest zaszyfrowane i uwierzytelnione.
Jeśli połączenie nie jest jednocześnie zaszyfrowane i uwierzytelnione:
- Serwery obsługujące MTA-STS nie będą wysyłać wiadomości do Twojej domeny.
- Serwery, które nie obsługują MTA-STS, nadal wysyłają wiadomości do Twojej domeny przez połączenia SMTP w normalny sposób. Te połączenia SMTP mogą nie być szyfrowane.
W trybie wymuszania też będziesz otrzymywać dzienne raporty z serwerów zewnętrznych.
Tworzenie pliku zasady
Plik zasady to zwykły plik tekstowy zawierający pary klucz-wartość. Każda para musi znajdować się w osobnym wierszu pliku tekstowego (tak jak pokazano w przykładzie poniżej). Rozmiar pliku tekstowego zasady może wynosić maksymalnie 64 KB.
Nazwa pliku zasady: plik tekstowy musi mieć nazwę mta-sts.txt.
Aktualizowanie plików zasady: za każdym razem, gdy dodajesz lub zmieniasz serwery poczty albo zmieniasz domenę, musisz zaktualizować plik zasady.
Format pliku zasady: pole version (wersja) musi znajdować się w pierwszym wierszu zasady. Pozostałe pola mogą mieć dowolną kolejność. Przykładowy plik zasady:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
Zawartość pliku zasady: zasada musi zawiera wszystkie poniższe pary klucz-wartość. Aby uzyskać zasadę dostosowaną do Twojej domeny, wykonaj czynności opisane w artykule Sprawdzanie konfiguracji MTA-STS i otrzymywanie sugerowanych konfiguracji.
Klucz | Wartość |
---|---|
version | Wersja protokołu. Musi to być wersja STSv1. |
mode |
Tryb zasady:
|
mx |
Rekord MX domeny.
Dowiedz się więcej o rekordach MX i wartościach rekordów MX. |
max_age |
Maksymalny czas ważności zasady (w sekundach). Wartość max_age jest resetowana na serwerze zewnętrznym za każdym razem, gdy serwer sprawdza zasadę. Z tego powodu serwery zewnętrzne mogą mieć tę samą zasadę z różnymi datami ważności. Wartość musi należeć do zakresu od 86400 (jeden dzień) do 31557600 (około jednego roku). W trybie testowania zalecamy wartość od 604800 do 1209600 (1–2 tygodnie). |