Как повысить безопасность электронной почты с помощью стандарта MTA-STS и отчетов TLS

2. Создайте правило MTA-STS

Чтобы внедрить стандарт MTA-STS в используемых вами доменах, создайте и опубликуйте правило для каждого из них. Правило определяет, к каким почтовым серверам в домене применяется стандарт MTA-STS.

Для каждого домена нужно создать отдельный файл. Правила могут быть одинаковыми, но соответствующий файл должен быть загружен в каждый из доменов, где используется стандарт MTA-STS.

Требования к серверу для стандарта MTA-STS

Убедитесь, что серверы для входящей почты соответствуют следующим требованиям:

  • Серверы настроены на использование протокола TLS.
  • Они используют TLS 1.2 или более поздней версии.
  • Сертификаты TLS на сервере соответствуют следующим требованиям:
    • Указанное в них доменное имя используется сервером входящей почты (указан в записях MX).
    • Они подписаны доверенным сторонним корневым центром сертификации.
    • Срок их действия не истек.

Подробнее о сертификатах Google Workspace для протокола TLS

Режимы правила MTA-STS

Вы можете включить правило MTA-STS в режиме тестирования или принудительного применения.

Режим тестирования

Включив правило в режиме тестирования, вы начнете получать от внешних почтовых серверов ежедневные отчеты об ошибках при подключении к домену.В отчетах содержатся данные об обнаруженных правилах MTA-STS, статистика трафика, а также сведения об ошибках подключения и неотправленных сообщениях.

В этом режиме ваш домен только запрашивает отчеты. Настройки безопасности в соответствии со стандартом MTA-STS не применяются принудительно. Рекомендуем использовать режим тестирования в течение двух недель. Этого времени достаточно, чтобы выявить и устранить любые возникшие проблемы.

Информация, доступная в ежедневных отчетах, поможет устранить проблемы, связанные с шифрованием, а также любые другие проблемы с безопасностью на сервере или в домене. После этого включите режим принудительного применения.

Режим принудительного применения

После включения режима принудительного применения внешние почтовые серверы начнут получать запросы на подтверждение того, что подключение по протоколу SMTP зашифровано и прошло аутентификацию.

Если оно не соответствует этим требованиям:

  • Удаленные серверы, которые поддерживают стандарт MTA-STS, не будут отправлять письма в ваш домен.
  • Серверы, которые не поддерживают стандарт MTA-STS, продолжат отправлять письма в ваш домен по протоколу SMTP. Эти SMTP-подключения могут быть не зашифрованы.

В принудительном режиме вы по-прежнему будете получать ежедневные отчеты от внешних почтовых серверов.

Создание файла правила

Файл правила – это обычный текстовый файл, содержащий пары "ключ/значение". Каждую пару нужно разместить в отдельной строке, как показано в примере ниже. Размер текстового файла правила должен быть не более 64 КБ.

Имя файла правила. Файл должен обязательно называться mta-sts.txt.

Обновление файлов правила. Обновляйте файл правила каждый раз, когда вы добавляете и меняете почтовые серверы или меняете домен.

Формат файла правила. В первой строке файла должна быть указана версия. Другие строки могут быть расположены в произвольном порядке. Вот пример содержимого файла:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Содержимое файла правила. Файл должен обязательно содержать все перечисленные ниже пары ключ-значение. Чтобы создать правило, настроенное для вашего домена, следуйте этим инструкциям.

Ключ Значение
version Версия протокола. Укажите STSv1.
mode

Режим правила:

  • testing. Вы ежедневно будете получать от внешних почтовых серверов отчеты о шифровании и ошибках при подключении к домену. Аутентификация и шифрование MTA-STS не будут применяться принудительно.

  • enforce. Если подключение по протоколу SMTP не зашифровано и не прошло аутентификацию, то почтовые серверы, настроенные в соответствии с MTA-STS, не будут отправлять письма в ваш домен. Как и в тестовом режиме, вы будете получать ежедневные отчеты от внешних почтовых серверов с информацией о состоянии подключений.

  • none. Используйте это значение, чтобы сообщить почтовым серверам, что ваш домен больше не поддерживает стандарт MTA-STS. Подробнее о прекращении использования стандарта MTA-STS (RFC 8461)

mx

Запись MX для домена.

  • Количество строк mx в файле правила должно соответствовать количеству записей MX в настройках домена.
  • Каждую запись mx нужно разместить в отдельной строке, как показано в примере выше.
  • Имя почтового сервера должно быть указано в стандартном формате SAN.
  • Значение mx должно быть указано в одном из приведенных ниже форматов.

    Если у вас один сервер, используйте стандартную запись MX: alt1.aspmx.solarmora.com

    Чтобы указать серверы, которые соответствуют шаблону именования, используйте подстановочный знак. Подстановочный знак заменяет только одну крайнюю левую часть записи, например: *.solarmora.com.

Подробнее о записях MX и их значениях

max_age

Максимальная продолжительность действия правила в секундах. Параметр max_age для удаленного сервера сбрасывается каждый раз, когда сервер обращается к правилу.Таким образом, продолжительность действия одного и того же правила для разных серверов может отличаться.

Значение параметра должно быть в диапазоне от 86400 (1 день) до 31557600 (примерно 1 год).

В режиме тестирования рекомендуем использовать значения от 604800 до 1209600 (1–2 недели).

Дальнейшие действия

Опубликуйте правило MTA-STS

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
73010
false