Как повысить безопасность электронной почты с помощью стандарта MTA-STS и отчетов TLS

4. Включите MTA-STS и отчеты TLS

Как повысить безопасность электронной почты с помощью аутентификации и шифрования

Чтобы включить MTA-STS и отчеты TLS, обновите записи TXT в настройках DNS домена. Записи DNS сигнализируют внешним серверам о том, что:

  • в вашем домене требуются аутентификация и шифрование для SMTP-соединений;
  • вы можете получать отчеты TLS от серверов из других доменов.

Запись TXT – это тип записи DNS, который содержит текстовую информацию для источников за пределами домена. Подробнее о работе с записями TXT

Как создать почтовый ящик для получения отчетов

Если для домена включены поддержка протокола MTA-STS и отчеты TLS, внешние серверы будут отправлять отчеты о подключении к вашим серверам. В отчетах содержатся данные об обнаруженных правилах MTA-STS, статистика трафика, а также сведения об ошибках подключения и неотправленных сообщениях.

Пример отчета TLS

Прежде чем включать отчеты TLS, настройте в домене один или несколько адресов электронной почты для получения этих отчетов. Запись TXT DNS для отчетов TLS включает адрес электронной почты, созданный для получения отчетов.

Вот примеры адресов для получения отчетов TLS:
tls-report@solarmora.com
mta-sts@solarmora.com

Примечание. Вы можете изменить настройки таким образом, чтобы серверы загружали отчеты TLS на веб-сервер, а не отправляли их по электронной почте. Для этого потребуется API, не предоставляемый Google Workspace. Узнайте, как настроить получение отчетов по протоколу HTTPS (RFC 8460).

Как обновить записи DNS

Чтобы включить поддержку протокола MTA-STS и отчеты TLS, добавьте в настройки DNS домена две записи TXT для следующих субдоменов:

  • _smtp._tls
  • _mta-sts

Важно! Это делается на сайте регистратора домена, а не в консоли администратора Google.

Как получить рекомендуемые записи TXT

Чтобы получить записи TXT DNS, настроенные для вашего домена, следуйте этим инструкциям.

Как добавить записи TXT в DNS

Важно! Замените доменное имя в примере (solarmora) на свой домен.

Рекомендуем добавлять записи TXT DNS в указанном ниже порядке, чтобы сначала включить отчеты TLS, а затем – MTA-STS.

  1. Войдите в консоль управления своего регистратора домена.
  2. Перейдите на страницу, на которой можно изменить записи DNS.
  3. Чтобы включить отчеты TLS, добавьте запись для _smtp._tls:

    TXT record name (Название записи TXT). В этом поле в разделе DNS Host name (Название хоста DNS) введите следующее:
    _smtp._tls.solarmora.com

    TXT record value (Значение записи TXT). Во втором поле введите следующее:
    v=TLSRPTv1; rua=mailto:tlsrpt@solarmora.com

    rua – это адрес электронной почты, созданный для получения отчетов. Чтобы получать отчеты на несколько адресов, укажите их через запятую:
    v=TLSRPTv1; rua=mailto:tlsrpt@solarmora.com,mailto:mts-sts@solarmora.com

    Примечание. Синтаксис параметра доставки отчетов по протоколу HTTPS описан в этой статье.

  4. Чтобы включить MTA-STS для своего домена, добавьте запись DNS для _mta-sts:

    TXT record name (Название записи TXT). В этом поле в разделе DNS Host name (Название хоста DNS) введите следующее:
    _mta-sts.solarmora.com

    TXT record value (Значение записи TXT). Во втором поле введите следующее:
    v=STSv1; id=20190425085700

    id (Идентификатор). Должен содержать от 1 до 32 буквенно-цифровых символов. Идентификатор сообщает внешним серверам о том, что в домене поддерживается MTA-STS.

    При каждом изменении правила MTA-STS идентификатору необходимо присваивать новое уникальное значение. Внешние серверы используют обновленный идентификатор для определения времени изменения правила. Рекомендуем указывать в поле id (Идентификатор) текущую дату и время, чтобы зафиксировать момент изменения правила.
  5. Сохраните изменения.

Как убедиться, что MTA-STS и отчеты TLS включены

Чтобы убедиться, что MTA-STS и отчеты TLS настроены корректно, проверьте конфигурацию MTA-STS на странице "Состояние системы безопасности".

Примечание. Время изменения записей DNS зависит от значения TTL, которое присваивается каждой записи DNS домена. Изменения вступают в силу в течение 24 часов. Подробнее о TTL и рекомендуемых значениях

 

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
73010
false