您可以为自己的每个网域创建和发布政策,从而设置 MTA-STS。该政策用于定义网域中使用 MTA-STS 的邮件服务器。
必须为每个网域单独创建政策文件。这些政策可以相同,但必须由使用 MTA-STS 的各个网域分别托管。
MTA-STS 的服务器要求
请检查用于接收邮件的邮件服务器是否符合以下条件:
- 服务器要求通过安全 (TLS) 连接传送邮件。
- 服务器使用 TLS 1.2 版本或更高版本。
- 服务器 TLS 证书:
- 与入站邮件服务器(MX 记录中的服务器)使用的域名相匹配。
- 由根证书授权机构签名并受其信任。
- 尚未过期。
要详细了解传输层安全协议 (TLS) 证书,请参阅使用 TLS 证书确保安全传输。
MTA-STS 政策模式
您可以在测试模式或强制模式下设置 MTA-STS 政策。
测试模式
测试模式下,网域会请求外部邮件服务器向您发送每日报告,其中会显示服务器连接到您网域时检测到的相关问题信息。每日报告包含以下详细信息:检测到的 MTA-STS 政策、流量统计信息、失败的连接以及无法发送的邮件。
在测试模式下,您的网域只会请求提供报告。此模式不会强制执行 MTA-STS 要求的任何安全连接机制。我们建议先从测试模式入手,使用两周时间。两周的报告数据足以让您了解您网域的问题所在并加以解决。
使用每日报告中的信息解决服务器或网域的加密问题或其他安全问题。然后,再将政策更改为强制模式。
强制模式
在强制模式下执行政策时,您的网域会请求外部服务器验证 SMTP 连接是否已经过加密并通过了身份验证。
如果连接既未经过加密,也未通过身份验证,则情况如下:
- 支持 MTA-STS 的服务器将不会向您的网域发送邮件。
- 不支持 MTA-STS 的服务器会继续照常通过 SMTP 连接向您的网域发送邮件,而这些 SMTP 连接可能未经过加密。
在强制模式下,您每天会继续收到来自外部服务器的报告。
创建政策文件
政策文件是包含键值对的纯文本文件。在该文本文件中,每个键值对必须独占一行(如下例中所示)。政策文本文件的大小上限为 64 KB。
政策文件名:该文本文件的文件名必须为 mta-sts.txt
更新政策文件:每次添加或更改邮件服务器或者更改网域后,请更新政策文件。
政策文件格式:version 字段必须位于政策文件的第一行。其他字段可按任意顺序排列。以下是政策文件的示例:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
政策文件内容:此政策必须包含以下所有键值对。要获取针对您网域的自定义政策,请按照检查 MTA-STS 状态并获取建议配置中的步骤操作。
| 键 | 值 |
|---|---|
| version | 协议版本。必须为 STSv1 |
| mode |
政策模式:
|
| mx |
网域的 MX 记录。
详细了解 MX 记录和 MX 记录值。 |
| max_age |
政策的最长有效时间(以秒为单位)。每当外部服务器检查政策时,系统均会重置该服务器的 max_age。因此,对于同一政策,不同的外部服务器上会有不同的失效日期。 该值必须介于 86400(1 天)到 31557600(大约 1 年)之间。 对于测试模式,建议此值介于 604800 到 1209600(1 -2 周)之间。 |
