Avisering

Duet AI heter nu Gemini for Google Workspace. Läs mer

Öka e-postsäkerheten med MTA-STS och TLS-rapportering

2. Skapa en MTA-STS-policy

Konfigurera MTA-STS för dina domäner genom att skapa och publicera en policy för varje domän. Policyn definierar e-postservrarna på domänen som använder MTA-STS.

Varje domän måste ha en separat policyfil. Policyerna kan vara desamma men måste ha separata värdar för varje domän som använder MTA-STS.

Serverkrav för MTA-STS

Verifiera följande för dina e-postservrar som får inkommande e-post:

  • De kräver att e-post skickas via en säker anslutning (TLS).
  • De använder TLS version 1.2 eller senare
  • TLS-certifikaten för servern:
    • matchar domännamnet som används av den inkommande e-postservern (servern i dia MX-poster).
    • är signerade och betrodda av en rotcertifikatutfärdare
    • har ej förfallit.

Läs mer om TLS-certifikat i Använda Google Workspace-certifikat för säker transport (TLS).

MTA-STS-policylägen

Du kan konfigurera en MTA-STS-policy i testläge eller tvingat läge.

Testläge

Testläge kräver att externa e-postservrar skickar dig dagliga rapporter. Rapporterna har information om problem som identifierats vid anslutning till din domän.Rapporterna innehåller identifierade MTA-STS-policyer, trafikstatistik, anslutningar som inte kunnat slutföras och detaljer om meddelanden som inte har skickats.

I testläge begär din domän endast rapporter. Detta läge tillämpar inte någon anslutningssäkerhet som krävs av MTA-STS. Vi rekommenderar att du börjar med testläget i två veckor. Två veckors rapportdata är tillräckligt för att få information om och åtgärda eventuella problem med domänen.

Använd informationen i de dagliga rapporterna för att lösa krypterings- eller andra säkerhetsproblem med din server eller domän. Ändra sedan policyn till tillämpat läge.

Tillämpat läge

När policyn befinner sig i tillämpat läge begär din domän att externa servrar verifierar att SMTP-anslutningen är krypterad och autentiserad.

Om anslutningen inte är både krypterad och autentiserad:

  • Servrar som stöder MTA-STS skickar inte e-post till din domän.
  • Servrar som inte stöder MTA-STS fortsätter att skicka meddelanden till din domän över SMTP-anslutningar som de normalt gör. Dessa SMTP-anslutningar är kanske inte krypterade.

I tillämpat läge fortsätter du att ta emot de dagliga rapporterna från externa servrar.

Skapa en policyfil

Policyfilen är en vanlig textfil med nyckel- och värdepar. Varje par måste finnas på en egen rad i textfilen, enligt exemplet nedan. Storleken på textfilfilen kan vara upp till 64 kB.

Namn på policyfil: Filnamnet på textfilen måste vara mta-sts.txt.

Uppdatering av policyfiler: Uppdatera policyfilen varje gång du lägger till eller ändrar e-postservrar eller ändrar domänen.

Format för policyfil: Fältet Version måste finnas på första raden i policyn. De andra fälten kan vara i vilken ordning som helst. Här är ett exempel på en policyfil:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Policyfilens innehåll: Policyn måste innehålla alla dessa nyckel–värde-par. Du kan anpassa policyn för din domän enligt anvisningarna i Kontrollera MTA-STS-status och få föreslagna konfigurationer.

Nyckel Värde
version Protokollversion. Måste vara STSv1
läge

Policyläge:

  • testning: Externa servrar skickar rapporter om kryptering och andra problem som identifieras vid anslutning till din domän. MTA-STS-kryptering och autentiseringskrav tillämpas inte.

  • tillämpa: Om SMTP-anslutningen inte har både autentisering och kryptering skickar e-postservrar som är konfigurerade för MTA-STS inte meddelanden till din domän. Du får även rapporter från externa servrar om anslutningsproblem som i testläge.

  • inget: Anger för externa servrar att din domän inte längre stöder MTA-STS. Använd det här värdet om du slutar använda MTA-STS. Läs mer om att ta bort MTA-STS (RFC 8461).
mx

MX-post för domänen.

  • Policyn måste ha en mx-post för varje MX-post som läggs till på domänen.
  • Varje mx-post måste finnas på egen rad i policyfilen, enligt exemplet.
  • E-postserverns namn måste vara i standardformatet SAN (Subject Alternative Name).
  • Värdet för mx måste vara i något av de format som visas i följande exempel:

    Ange en enskild server i MX-standardform:  alt1.aspmx.solarmora.com

    Om du vill ange servrar som matchar ett namnmönster använder du ett jokertecken. Jokertecknet ersätter enbart en etikett längst till vänster, exempelvis: *solamora.com

Läs mer om MX-poster och MX-postvärden.
max_age

Maximal tid i sekunder som policyn är giltig. max_age återställs för en extern server varje gång servern kontrollerar policyn.Externa servrar kan därmed ha olika utgångsdatum för samma policy.

Värdet måste vara mellan 86400 (1 dag) och 31557600 (cirka 1 år).

För testläge rekommenderar vi mellan 604800 och 1209600 (1–2 veckor).

Nästa steg

Publicera MTA-STS-policyn

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
14814029454379973626
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false