Konfigurera MTA-STS för dina domäner genom att skapa och publicera en policy för varje domän. Policyn definierar e-postservrarna på domänen som använder MTA-STS.
Varje domän måste ha en separat policyfil. Policyerna kan vara desamma men måste ha separata värdar för varje domän som använder MTA-STS.
Serverkrav för MTA-STS
Verifiera följande för dina e-postservrar som får inkommande e-post:
- De kräver att e-post skickas via en säker anslutning (TLS).
- De använder TLS version 1.2 eller senare
- TLS-certifikaten för servern:
- matchar domännamnet som används av den inkommande e-postservern (servern i dia MX-poster).
- är signerade och betrodda av en rotcertifikatutfärdare
- har ej förfallit.
Läs mer om TLS-certifikat i Använda Google Workspace-certifikat för säker transport (TLS).
MTA-STS-policylägen
Du kan konfigurera en MTA-STS-policy i testläge eller tvingat läge.
Testläge
Testläge kräver att externa e-postservrar skickar dig dagliga rapporter. Rapporterna har information om problem som identifierats vid anslutning till din domän.Rapporterna innehåller identifierade MTA-STS-policyer, trafikstatistik, anslutningar som inte kunnat slutföras och detaljer om meddelanden som inte har skickats.
I testläge begär din domän endast rapporter. Detta läge tillämpar inte någon anslutningssäkerhet som krävs av MTA-STS. Vi rekommenderar att du börjar med testläget i två veckor. Två veckors rapportdata är tillräckligt för att få information om och åtgärda eventuella problem med domänen.
Använd informationen i de dagliga rapporterna för att lösa krypterings- eller andra säkerhetsproblem med din server eller domän. Ändra sedan policyn till tillämpat läge.
Tillämpat läge
När policyn befinner sig i tillämpat läge begär din domän att externa servrar verifierar att SMTP-anslutningen är krypterad och autentiserad.
Om anslutningen inte är både krypterad och autentiserad:
- Servrar som stöder MTA-STS skickar inte e-post till din domän.
- Servrar som inte stöder MTA-STS fortsätter att skicka meddelanden till din domän över SMTP-anslutningar som de normalt gör. Dessa SMTP-anslutningar är kanske inte krypterade.
I tillämpat läge fortsätter du att ta emot de dagliga rapporterna från externa servrar.
Skapa en policyfil
Policyfilen är en vanlig textfil med nyckel- och värdepar. Varje par måste finnas på en egen rad i textfilen, enligt exemplet nedan. Storleken på textfilfilen kan vara upp till 64 kB.
Namn på policyfil: Filnamnet på textfilen måste vara mta-sts.txt.
Uppdatering av policyfiler: Uppdatera policyfilen varje gång du lägger till eller ändrar e-postservrar eller ändrar domänen.
Format för policyfil: Fältet Version måste finnas på första raden i policyn. De andra fälten kan vara i vilken ordning som helst. Här är ett exempel på en policyfil:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
Policyfilens innehåll: Policyn måste innehålla alla dessa nyckel–värde-par. Du kan anpassa policyn för din domän enligt anvisningarna i Kontrollera MTA-STS-status och få föreslagna konfigurationer.
Nyckel | Värde |
---|---|
version | Protokollversion. Måste vara STSv1 |
läge |
Policyläge:
|
mx |
MX-post för domänen.
Läs mer om MX-poster och MX-postvärden. |
max_age |
Maximal tid i sekunder som policyn är giltig. max_age återställs för en extern server varje gång servern kontrollerar policyn.Externa servrar kan därmed ha olika utgångsdatum för samma policy. Värdet måste vara mellan 86400 (1 dag) och 31557600 (cirka 1 år). För testläge rekommenderar vi mellan 604800 och 1209600 (1–2 veckor). |