Aumentar a segurança dos e-mails com os relatórios MTA-STS e TLS

2. Criar uma política do MTA-STS

Crie e publique uma política em cada um dos seus domínios para configurar o MTA-STS neles. A política define os servidores de e-mail no domínio que usam o MTA-STS.

Cada domínio precisa ter um arquivo de política separado. As políticas podem ser as mesmas, mas precisam ser hospedadas separadamente em cada domínio que usar o MTA-STS.

Requisitos do servidor para o MTA-STS

Para os servidores que recebem e-mails, confirme o seguinte:

  • Eles exigem que os e-mails sejam transmitidos por uma conexão segura (TLS).
  • Eles usam a versão 1.2 ou posterior do TLS.
  • Os certificados TLS do servidor:
    • correspondem ao nome de domínio usado pelo servidor de e-mail de entrada (o servidor nos registros MX);
    • são assinados e identificados como confiáveis por uma autoridade de certificação raiz;
    • não expiraram.

Saiba mais sobre os certificados TLS em Usar certificados TLS para o transporte seguro.

Modos da política do MTA-STS

Você pode configurar uma política do MTA-STS no modo testing ou enforce.

Modo "testing"

O modo "testing" exige que os servidores de e-mail externos enviem relatórios diários para você. Os relatórios contêm informações sobre os problemas detectados durante a conexão com seu domínio. Eles incluem as políticas do MTA-STS detectadas, as estatísticas de tráfego, as conexões com falha e os detalhes de mensagens não enviadas.

No modo "testing", seu domínio só exige os relatórios. Esse modo não aplica qualquer segurança de conexão exigida pelo MTA-STS. Recomendamos que você use inicialmente o modo "testing" por duas semanas. Os dados de relatórios de duas semanas são suficientes para detectar e corrigir os problemas no seu domínio.

Use as informações dos relatórios diários para resolver a criptografia ou outros problemas de segurança no servidor ou no domínio. Em seguida, altere a política para o modo "enforce".

Modo "enforce"

Quando a política está no modo "enforce", seu domínio exige que os servidores externos verifiquem se a conexão SMTP está criptografada e autenticada.

Em caso negativo:

  • os servidores compatíveis com o MTA-STS não enviarão e-mails para seu domínio;
  • os servidores incompatíveis com o MTA-STS continuarão enviando as mensagens para seu domínio por conexões SMTP, que talvez não sejam criptografadas.

No modo "enforce", você continua recebendo os relatórios diários dos servidores externos.

Criar um arquivo de política

O arquivo de política é um arquivo de texto simples que tem pares de chave e valor. Cada par precisa estar em uma linha no arquivo de texto, como mostrado no exemplo abaixo. O tamanho do arquivo de texto da política pode ter até 64 KB.

Nome do arquivo de política: o nome do arquivo de texto precisa ser mta-sts.txt.

Atualização dos arquivos de política: atualize o arquivo de política sempre que adicionar ou alterar os servidores de e-mail ou alterar o domínio.

Formato do arquivo de política: o campo version (versão) precisa estar na primeira linha da política. Os outros campos podem estar em qualquer ordem. Este é um exemplo do arquivo de política:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Conteúdo do arquivo de política: a política precisa incluir todos os pares de valor e chave listados abaixo. Se você quiser receber uma política personalizada para seu domínio, siga as etapas em Verificar o status do MTA-STS e as configurações sugeridas.

Chave Valor
version Versão do protocolo. Precisa ser STSv1.
mode

Modo de política:

  • testing: os servidores externos enviam relatórios sobre a criptografia e outros problemas detectados durante a conexão com seu domínio. Os requisitos de criptografia e autenticação do MTA-STS não são aplicados.

  • enforce: se a conexão SMTP não tiver autenticação nem criptografia, os servidores de e-mail configurados para MTA-STS não enviarão mensagens ao seu domínio. Você também recebe os relatórios dos servidores externos sobre problemas de conexão, como no modo "testing".

  • none: informa aos servidores externos que seu domínio não é mais compatível com o MTA-STS. Aplique este valor se você parar de usar o MTA-STS. Saiba mais em Remover o MTA-STS (RFC 8461).

mx

Registro MX do domínio.

  • A política precisa ter uma entrada mx para cada registro MX adicionado ao domínio.
  • Cada entrada mx precisa estar em uma linha separada no arquivo da política, como mostrado no exemplo.
  • O nome do servidor de e-mail precisa estar no formato padrão Nome alternativo do assunto (SAN, na sigla em inglês).
  • O valor mx precisa estar em um dos formatos mostrados nestes exemplos:

    Especifique um único servidor no formato MX padrão: alt1.aspmx.solarmora.com.

    Para especificar servidores que correspondam a um padrão de nomenclatura, use um caractere curinga. O caractere curinga substitui apenas um marcador à esquerda, por exemplo: *.solarmora.com

Saiba mais sobre registros MX e valores de registros MX.

max_age

O tempo máximo em segundos em que a política é válida. O valor max_age é redefinido para um servidor externo sempre que o servidor verifica a política. Por esse motivo, os servidores externos podem ter datas de validade diferentes para a mesma política.

O valor precisa estar entre 86400 (1 dia) e 31557600 (cerca de 1 ano).

No modo "testing", recomendamos que o valor esteja entre 604800 e 1209600 (uma a duas semanas).

Próximas etapas

Publicar sua política do MTA-STS

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
Pesquisar na Central de Ajuda
true
73010
false