ตั้งค่า MTA-STS ของโดเมนโดยสร้างและเผยแพร่นโยบายสำหรับแต่ละโดเมน นโยบายนี้จะกำหนดเซิร์ฟเวอร์อีเมลในโดเมนที่ใช้ MTA-STS
โดเมนแต่ละรายการจะต้องมีไฟล์นโยบายแยกต่างหาก นโยบายจะเหมือนกันได้ แต่ต้องโฮสต์แยกต่างหากสำหรับแต่ละโดเมนโดยใช้ MTA-STS
ข้อกำหนดของเซิร์ฟเวอร์สำหรับ MTA-STS
ตรวจสอบข้อมูลต่อไปนี้สำหรับเซิร์ฟเวอร์อีเมลที่รับอีเมลขาเข้า
- กำหนดให้ส่งอีเมลผ่านการเชื่อมต่อที่ปลอดภัย (TLS)
- โดยใช้ TLS เวอร์ชัน 1.2 หรือใหม่กว่า
- ใบรับรอง TLS ของเซิร์ฟเวอร์:
- ตรงกับชื่อโดเมนที่ใช้โดยเซิร์ฟเวอร์อีเมลขาเข้า (เซิร์ฟเวอร์ในระเบียน MX)
- มีการลงชื่อและได้รับความเชื่อถือจากผู้ออกใบรับรองหลัก
- ยังไม่หมดอายุ
ดูข้อมูลเพิ่มเติมเกี่ยวกับใบรับรอง TLS ที่หัวข้อใช้ใบรับรอง Google Workspace สำหรับการส่งที่ปลอดภัย (TLS)
โหมดนโยบาย MTA-STS
คุณจะตั้งค่านโยบาย MTA-STS ในโหมดทดสอบหรือบังคับใช้ได้
โหมดทดสอบ
โหมดทดสอบจะขอให้เซิร์ฟเวอร์อีเมลภายนอกส่งรายงานรายวันให้คุณ รายงานมีข้อมูลเกี่ยวกับปัญหาที่ตรวจพบขณะเชื่อมต่อกับโดเมนของคุณรายงานต่างๆ รวมถึงนโยบาย MTA-STS ที่ตรวจพบ สถิติการเข้าชม การเชื่อมต่อที่ไม่สำเร็จ และรายละเอียดข้อความที่ยังไม่ได้ส่ง
โดเมนจะขอเฉพาะรายงานในโหมดทดสอบเท่านั้น โหมดนี้ไม่บังคับใช้การรักษาความปลอดภัยการเชื่อมต่อที่ MTA-STS กำหนด เราขอแนะนำให้เริ่มต้นด้วยโหมดทดสอบเป็นเวลา 2 สัปดาห์ ซึ่งขอมูลดังกล่าวก็เพียงพอสำหรับการเรียนรู้และแก้ไขปัญหาต่างๆ เกี่ยวกับโดเมนของคุณ
ใช้ข้อมูลในรายงานประจำวันเพื่อแก้ไขปัญหาการเข้ารหัสหรือปัญหาด้านความปลอดภัยอื่นๆ ของเซิร์ฟเวอร์หรือโดเมน จากนั้นจึงเปลี่ยนนโยบายเป็นโหมดบังคับใช้
โหมดบังคับใช้
เมื่อนโยบายอยู่ในโหมดบังคับใช้ โดเมนของคุณจะขอให้เซิร์ฟเวอร์ภายนอกตรวจสอบว่าการเชื่อมต่อ SMTP มีการเข้ารหัสและตรวจสอบสิทธิ์แล้ว
หากการเชื่อมต่อไม่ได้มีทั้งการเข้ารหัสและตรวจสอบสิทธิ์ จะมีผลดังนี้
- เซิร์ฟเวอร์ที่ไม่รองรับ MTA-STS จะไม่ส่งอีเมลไปยังโดเมน
- เซิร์ฟเวอร์ที่ไม่รองรับMTA-STS จะส่งข้อความไปยังโดเมนของคุณผ่านการเชื่อมต่อ SMTP ต่อไปตามปกติ โดยการเชื่อมต่อ SMTP นี้อาจไม่ได้รับการเข้ารหัส
ในโหมดบังคับใช้ คุณจะยังคงได้รับรายงานประจำวันจากเซิร์ฟเวอร์ภายนอกต่อไป
สร้างไฟล์นโยบาย
ไฟล์นโยบายคือไฟล์ข้อความธรรมดาที่มีคู่คีย์และค่า แต่ละคู่ต้องอยู่ในบรรทัดของตัวเองในไฟล์ข้อความดังที่แสดงไว้ในตัวอย่างด้านล่าง ไฟล์ข้อความของนโยบายต้องมีขนาดไม่เกิน 64 KB.
ชื่อไฟล์นโยบาย: ชื่อไฟล์สำหรับไฟล์ข้อความต้องเป็น mta-sts.txt
กำลังอัปเดตไฟล์นโยบาย: อัปเดตไฟล์นโยบายทุกครั้งที่คุณเพิ่มหรือเปลี่ยนเซิร์ฟเวอร์อีเมล หรือเปลี่ยนโดเมน
รูปแบบไฟล์นโยบาย: ช่องเวอร์ชันต้องอยู่ในบรรทัดแรกของนโยบาย แต่ช่องอื่นๆ นั้นจะอยู่ในลำดับใดก็ได้ ต่อไปนี้คือตัวอย่างไฟล์นโยบาย
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
เนื้อหาในไฟล์นโยบาย: นโยบายต้องมีคู่คีย์และค่าต่อไปนี้ทั้งหมด หากต้องการใช้นโยบายที่ปรับแต่งให้เหมาะกับโดเมน ให้ทำตามขั้นตอนในหัวข้อตรวจสอบสถานะ MTA-STS และใช้การกำหนดค่าที่แนะนำ
คีย์ | ค่า |
---|---|
เวอร์ชัน | เวอร์ชันของโปรโตคอล ต้องเป็น STSv1 |
โหมด |
โหมดนโยบาย
|
mx |
ระเบียน MX สำหรับโดเมน
ดูข้อมูลเพิ่มเติมเกี่ยวกับระเบียน MX และค่าระเบียน MX |
max_age |
เวลาสูงสุดเป็นวินาทีที่นโยบายใช้ได้ max_age ถูกรีเซ็ตสำหรับเซิร์ฟเวอร์ภายนอกทุกครั้งที่เซิร์ฟเวอร์ตรวจสอบนโยบายดังนั้นเซิร์ฟเวอร์ภายนอกอาจมีวันที่หมดอายุแตกต่างกันสำหรับนโยบายเดียวกัน ค่าต้องอยู่ระหว่าง 86400 (1 วัน) และ 31557600 (ประมาณ 1 ปี) เราขอแนะนำให้ใช้ระหว่าง 604800 และ 1209600 (1-2 สัปดาห์) สำหรับโหมดการทดสอบ |