Nel caso in cui vi siate imbattuti nella "Manca la politica MTA-STS: STSFetchResult.NONE "durante l'utilizzo di strumenti online, siete venuti nel posto giusto. Oggi parleremo di come risolvere questo messaggio di errore e sbarazzarsi di esso incorporando una politica MTA-STS per il vostro dominio.

Simple Mail Transfer Protocol, alias SMTP, è il protocollo standard di trasferimento della posta elettronica utilizzato dalla maggior parte dei fornitori di servizi e-mail. Non è un concetto estraneo che SMTP ha affrontato sfide di sicurezza fin dall'alba dei tempi, sfide che non sono stati in grado di risolvere fino ad ora. Questo perché, al fine di rendere le e-mail compatibili all'indietro, SMTP ha introdotto la crittografia opportunistica sotto forma di un comando STARTTLS. Questo significa essenzialmente che, nel caso in cui una connessione criptata non possa essere negoziata tra due server SMTP comunicanti, la connessione viene riportata ad una non criptata, e i messaggi vengono inviati in chiaro. 

Questo rende le e-mail trasferite via SMTP vulnerabili al monitoraggio pervasivo e agli attacchi di intercettazione informatica come il Man-in-the-middle. Questo è rischioso sia per il mittente che per il destinatario e può portare alla violazione di dati sensibili. È qui che MTA-STS entra in gioco e rende la crittografia TLS obbligatoria in SMTP per impedire che le e-mail vengano consegnate su connessioni non sicure. 

Cos'è una politica MTA-STS?

Per migliorare la sicurezza delle e-mail SMTP e sfruttare al massimo i protocolli di autenticazione come MTA-STS, il server di invio dovrebbe avere il supporto per il protocollo e il server di ricezione delle e-mail dovrebbe avere una politica MTA-STS definita nel proprio DNS. Una modalità di politica forzata è anche incoraggiata per amplificare ulteriormente gli standard di sicurezza. La politica MTA-STS definisce i server di posta elettronica che usano MTA-STS nel dominio del destinatario. 

Per abilitare MTA-STS per il tuo dominio come destinatario di email, devi ospitare un file di policy MTA-STS nel tuo DNS. Questo permette ai mittenti di e-mail esterni di inviare e-mail al tuo dominio che sono autenticate e criptate TLS con una versione aggiornata di TLS (1.2 o superiore). 

Non avere un file di policy pubblicato o aggiornato per il vostro dominio può essere la ragione principale per imbattersi in messaggi di errore come "Manca la policy MTA-STS: STSFetchResult.NONE", che implica che il server del mittente non ha potuto recuperare il file di policy MTA-STS quando ha interrogato il DNS del destinatario, trovandolo mancante.

Prerequisiti per MTA-STS:

I server di posta elettronica per i quali MTA-STS sarà abilitato dovrebbero usare una versione TLS di 1.2 o più, e dovrebbero avere certificati TLS in atto che aderiscono agli attuali standard e specifiche RFC, non sono scaduti, e certificati di server che sono firmati da un'autorità di certificazione root affidabile.

Passi per risolvere "La politica MTA-STS è mancante".

1. Creazione e pubblicazione di un record TXT di MTA-STS DNS 

Il primo passo è quello di creare un record MTA-STS per il tuo dominio. Potete creare un record istantaneamente usando un generatore di record MTA-STS, fornendovi un record DNS su misura per il vostro dominio. 

2. Definire una modalità di politica MTA-STS

MTA-STS offre due modalità di politica con cui gli utenti possono lavorare.

  • Modalità di test: Questa modalità è ideale per i principianti che non hanno configurato il protocollo prima. La modalità di test MTA-STS permette di ricevere rapporti SMTP TLS su problemi nelle politiche MTA-STS, problemi nello stabilire connessioni SMTP criptate, o fallimento nella consegna delle e-mail. Questo ti aiuta a rispondere ai problemi di sicurezza esistenti relativi ai tuoi domini e server senza applicare la crittografia TLS.
  • Applicare la modalità: Mentre si ricevono ancora i rapporti TLS, nel corso del tempo è ottimale per gli utenti applicare la loro politica MTA-STS per rendere obbligatoria la crittografia durante la ricezione di e-mail utilizzando SMTP. Questo impedisce che i messaggi vengano modificati o manomessi durante il transito.

3. Creare il file di policy MTA-STS

Il passo successivo è quello di ospitare i file di policy MTA-STS per i vostri domini. Notate che mentre il contenuto di ogni file può essere lo stesso, è obbligatorio ospitare le policy separatamente per domini separati, e un singolo dominio può avere solo un singolo file di policy MTA-STS. Più file di policy MTA-STS ospitati per un singolo dominio possono portare a configurazioni errate del protocollo. 

Il formato standard per un file di policy MTA-STS è dato di seguito: 

Nome del file: mta-sts.txt

Dimensione massima del file: 64 KB

versione: STSv1

modo: test

mx: mail.yourdomain.com

mx: *.yourdomain.com

max_age: 806400 

Nota: Il file di policy mostrato sopra è semplicemente un esempio.

4. Pubblicare il file di policy MTA-STS

Successivamente, dovete pubblicare il vostro file di policy MTA-STS su un server web pubblico che sia accessibile ai server esterni. Assicuratevi che il server su cui ospitate il vostro file supporti HTTPS o SSL. La procedura per questo è semplice. Supponendo che il vostro dominio sia preconfigurato con un server web pubblico:

  • Aggiungi un sottodominio al tuo dominio esistente che dovrebbe iniziare con il testo: mta-sts (per esempio mta-sts.domain.com) 
  • Il tuo file di policy punterà a questo sottodominio che hai creato e deve essere memorizzato in un .well-known
  • L'URL per il file di policy è aggiunto alla voce DNS durante la pubblicazione del record DNS MTA-STS in modo che il server possa interrogare il DNS per recuperare il file di policy durante il trasferimento della posta elettronica

5. Attivare MTA-STS e TLS-RPT

Infine, dovete pubblicare i vostri MTA-STS e TLS-RPT nel DNS del vostro dominio, usando TXT come tipo di risorsa, posizionati su due sottodomini separati (_smtp._tls e _mta-sts). Questo permetterà solo ai messaggi criptati TLS di raggiungere la tua casella di posta, che sono verificati e non manomessi. Inoltre, riceverai quotidianamente dei rapporti sui problemi di consegna e crittografia su un indirizzo e-mail o un server web configurato da te, da server esterni.

Potete verificare la validità dei vostri record DNS eseguendo una ricerca di record MTA-STS dopo che il vostro record è pubblicato e attivo.  

Nota: Ogni volta che fate delle modifiche al contenuto dei vostri file di policy MTA-STS, dovete aggiornarlo sia sul server web pubblico su cui ospitate il vostro file, sia sulla voce DNS che contiene il vostro URL di policy. Lo stesso vale per ogni volta che aggiornate o aggiungete ai vostri domini o server.

Come possono i servizi MTA-STS ospitati aiutare a risolvere il problema "La politica MTA-STS è mancante"?

L'implementazione manuale di MTA-STS può essere ardua e impegnativa e lasciare spazio agli errori. PowerDMARC MTA-STS in hosting aiutano a catapultare il processo per i proprietari di domini, rendendo l'implementazione del protocollo facile e veloce. Voi potete:

  • Pubblica i tuoi record CNAME per MTA-STS con pochi clic
  • Esternalizzare il duro lavoro coinvolto nel mantenimento e nell'hosting dei file delle politiche MTA-STS e dei server web
  • Cambiate la modalità della vostra politica ogni volta che lo desiderate, direttamente dalla vostra dashboard personalizzata, senza dover accedere al vostro DNS
  • Mostriamo i file JSON dei rapporti SMTP TLS in un formato organizzato e leggibile dall'uomo che è comodo e comprensibile sia per le persone tecniche che per quelle non tecniche.

La cosa migliore? Siamo conformi alle RFC e supportiamo gli ultimi standard TLS. Questo ti aiuta a iniziare con una configurazione MTA-STS senza errori per il tuo dominio, e a godere dei suoi benefici lasciando a noi le seccature e le complessità da gestire per tuo conto! 

Spero che questo articolo vi abbia aiutato a sbarazzarvi del messaggio "Manca la policy MTA-STS: STSFetchResult.NONE", e a configurare correttamente i protocolli per il vostro dominio per mitigare le lacune e le sfide della sicurezza SMTP. 

Abilita MTA-STS per le tue email oggi stesso prendendo un autenticazione e-mail prova DMARCper migliorare le tue difese contro il MITM e altri attacchi di intercettazione informatica!

Sia le imprese che le startup spesso preferiscono esternalizzare le loro email commerciali e di marketing. Questo comporta servizi di terze parti che gestiscono tutto, dalla gestione delle liste al monitoraggio degli eventi fino al monitoraggio della deliverability. Ma questi servizi di terze parti aumentano anche il rischio aprendo l'opportunità ad attori malintenzionati di impersonare i marchi attraverso lo spoofing del dominio e distribuire attacchi di phishing a destinatari ignari.

È stato riferito che circa un terzo di tutti i messaggi di spam che circolano su Internet contengono contenuti relativi alle imprese. Le aziende e le organizzazioni possono cadere vittime di questi messaggi se non implementano le opportune misure di sicurezza, e l'uso di fornitori terzi per l'invio di messaggi e-mail può essere un fattore significativo che contribuisce.

Integrare DMARC con tutte le vostre terze parti può aiutarvi a prevenire attacchi di spoofing, phishing e malware che si infiltrano nel vostro dominio.

Perché è importante allineare le fonti di invio delle e-mail?

L'e-mail è fondamentale per il successo di qualsiasi azienda, perché permette alle imprese di rimanere in contatto con i loro clienti e potenziali clienti. È ampiamente utilizzata come mezzo primario di comunicazione e di ricerca di mercato, e la sua importanza non potrà che aumentare con il passare del tempo. Qualunque sia il fornitore di posta elettronica che usi per inviare le tue e-mail, assicurati di controllare se supportano l'invio di e-mail conformi a DMARC per tuo conto. 

DMARC è un protocollo di sicurezza e-mail per aiutare a prevenire gli attacchi di phishing, lo spoofing del dominio e il BEC. Ma per essere veramente efficace, un'azienda deve lavorare a stretto contatto con tutte le sue terze parti, in modo che tutte le e-mail siano conformi a DMARC.

Rendere i vostri fornitori di terze parti conformi a DMARC

Per stabilire una politica DMARC efficace, dovreste contattare i vostri fornitori di terze parti per lavorare insieme a voi sul modo migliore di gestire le e-mail che non vengono convalidate. Può rivelarsi utile spiegare i vantaggi di DMARC, rispondere alle domande su come funziona e raccomandare soluzioni che li aiutino a implementare pienamente DMARC.

Ogni terza parte è diversa, con il proprio processo di configurazione SPF e DKIM che dovrete pianificare. Per determinare la migliore strategia, è necessario essere consapevoli di come ogni partner invia campagne di email marketing, oltre alle loro capacità tecniche di monitoraggio, le caratteristiche di reporting e le capacità di integrazione. Mentre il processo potrebbe sembrare ingombrante e noioso, ci sono alcuni modi semplici per accelerare le cose dalla vostra parte:

  • Puoi impostare un sottodominio personalizzato per ciascuno dei tuoi fornitori di posta elettronica e lasciare che gestiscano l'autenticazione SPF e DKIM per quel dominio. In questo caso, il fornitore di e-mail utilizza il suo server di posta per inviare le tue e-mail. Il fornitore pubblica i suoi record SPF e DKIM nel DNS del tuo sottodominio. Se non configuri una policy DMARC separata per questo sottodominio consegnato, la policy DMARC per il tuo dominio principale viene automaticamente applicata al tuo sottodominio.
  • In alternativa, il fornitore di terze parti può utilizzare i tuoi server di posta mentre invia e-mail ai tuoi clienti dal tuo dominio. Questo per impostazione predefinita assicura che se avete una politica DMARC per il vostro dominio in atto, le e-mail in uscita sarebbero automaticamente conformi a DMARC. Assicurati di aggiornare i tuoi record SPF e DKIM per includere le suddette terze parti per assicurarti che siano arruolate come fonte di invio autorizzata. 

Impostazione dei record SPF, DKIM e DMARC per i vostri fornitori terzi

  • Assicuratevi di aggiornare il vostro record SPF esistente per includere queste fonti di invio email. Per esempio, se usate MailChimp come fornitore di email per inviare email di marketing per conto della vostra organizzazione, dovete aggiornare il vostro record SPF esistente o creare un nuovo record (nel caso non ne abbiate uno in atto) che includa MailChimp come mittente autorizzato. Questo può essere fatto aggiungendo un meccanismo include: o specifici indirizzi IP utilizzati dal fornitore durante l'invio delle tue email.
  • Successivamente, dovrete richiedere al vostro fornitore di generare una coppia di chiavi DKIM per il vostro dominio personalizzato. Userebbero la chiave privata per firmare le vostre e-mail mentre le inviano, e la chiave pubblica deve essere pubblicata da voi sul vostro DNS pubblico. La chiave privata viene confrontata con la chiave pubblica nel vostro DNS dai vostri destinatari, durante la verifica.

Puoi leggere la nostra conoscenza dell'autenticazione e-mail per ottenere istruzioni facili da seguire, passo dopo passo, su come impostare DMARC, SPF e DKIM per vari fornitori di terze parti che potresti usare.

In PowerDMARC, forniamo soluzioni per l'implementazione e il monitoraggio DMARC per aiutarvi a garantire la massima conformità DMARC. Forniamo soluzioni di monitoraggio DMARC scalabili con le capacità più approfondite sul mercato per aiutarvi a gestire le vostre pratiche di invio in coordinamento con quelle dei vostri fornitori. 

Con le nostre risorse e la nostra esperienza, possiamo eliminare le congetture sulla conformità DMARC e fornire rapporti analitici che identificano quelli che sono conformi e quelli che non lo sono. Iscriviti alla tua prova gratuita prova gratuita DMARC oggi stesso!

L'e-mail è uno degli strumenti più efficaci per diffondere il tuo messaggio, sia per il marketing che per il business. Tuttavia, presenta anche delle minacce alla sicurezza se non ci si protegge da esse. DMARC aiuta a risolvere questo problema dandoti il pieno controllo di tutte le email che usano il tuo nome di dominio. DMARC è un enorme passo avanti per garantire che le e-mail oneste rimangano tali e che le e-mail dannose siano protette dal raggiungere le caselle di posta. PowerDMARC ha sempre creduto in questa missione e ha lavorato duramente per assicurarsi che la specifica DMARC sia seguita in tutto il nostro ecosistema.

Perché la tua e-mail non è sicura?

Lo spoofing delle e-mail si verifica quando un attaccante falsifica l'indirizzo "Da" per far sembrare che una mail provenga da una fonte autorizzata e legittima. Il termine può riferirsi sia ai client di posta elettronica che agli attacchi al server. Lo spoofing del client di posta elettronica si riferisce alla falsificazione dell'indirizzo "Da", "A" e/o "Oggetto" della posta che proviene da un client specifico. Lo spoofing del server si riferisce alla falsificazione di questi indirizzi nei messaggi che hanno origine da un server specifico. 

L'email spoofing è un problema serio, specialmente se stai gestendo un sito web legittimo che ha un modulo di iscrizione all'email. Poiché gli indirizzi e-mail sono spesso l'obiettivo principale degli spammer che utilizzano tecniche di spoofing, la tua lista di e-mail può essere rapidamente compromessa. Questo causerà grandi mal di testa lungo la strada, quando avrete bisogno di disabilitare i moduli di registrazione o dovrete cancellare manualmente i membri da ciascuna delle vostre newsletter o altre liste.

Come può aiutare DMARC?

A politica DMARC ti permette di prendere il controllo sullo spoofing delle e-mail, sul phishing e su altre forme di abuso di e-mail e di dominio. Usato in combinazione con SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), questo potente meccanismo rende molto più difficile per i criminali informatici inviare e-mail utilizzando il tuo nome di dominio senza il tuo permesso.

Se non hai un record DMARC in atto, ti consigliamo di usare il nostro generatore di record DMARC per creare un record TXT su misura per il tuo dominio e implementare il protocollo. Ricordatevi di passare a una politica di rifiuto DMARC per ottenere protezione contro le minacce di impersonificazione.

Traccia il tuo flusso di e-mail per una consegna coerente

Se volete stare al passo con i vostri aggressori, dovete avvalervi dei vantaggi del rapporto DMARC oggi stesso! Vi fornisce una grande quantità di informazioni sulle fonti di invio delle vostre e-mail e sui tentativi di consegna falliti. È possibile sfruttare le informazioni per rispondere alle minacce più velocemente, così come monitorare le prestazioni delle vostre e-mail per garantire la coerenza nella consegna. 

Per mantenere la salute della sicurezza e-mail del tuo dominio, è imperativo che i tuoi protocolli di autenticazione siano liberi da qualsiasi errore sintattico o di configurazione. Conducete un controllo DMARC di tanto in tanto per assicurarsi che il vostro record DMARC funzioni correttamente.

Domain-based Message Authentication, Reporting, and Conformance(DMARC) è uno standard progettato per allineare i metodi di autenticazione dei messaggi Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) per autenticare il nome di dominio di un mittente di email. Fornisce un quadro coerente per gli autori, gli operatori e i consumatori di questi meccanismi di autenticazione e-mail per lavorare insieme nel ridurre lo spam e-mail. Un analizzatore DMARC vi aiuta a rilevare quando una terza parte non autorizzata sta usando in modo improprio il vostro dominio, sia per spoofing di email legittime che per condurre campagne di phishing.

In termini di vantaggi, DMARC ha qualcosa da offrire sia per il mittente che per il destinatario delle e-mail. Scopriamo quali sono:

Vantaggi per i mittenti di e-mail

Consegnabilità delle e-mail migliorata

Uno dei vantaggi principali che i protocolli di autenticazione e-mail come DMARC presentano ai proprietari di domini (mittenti di e-mail) è un migliore tasso di consegnabilità delle e-mail. DMARC assicura che le email legittime del tuo mittente non vengano inutilmente contrassegnate come spam o bloccate dalla casella di posta del destinatario. Questo fornisce una migliore possibilità che le tue email di marketing vengano lette, permettendo ai tuoi potenziali clienti di notarti di più.

Minacce di impersonificazione ridotte

Gli attacchi di imitazione sono molto comuni per le imprese online, sia che si tratti di un'impresa affermata o di una start-up. Può lasciare un'impressione duratura sui vostri clienti, avere un impatto sulla credibilità del vostro marchio e portare alla perdita di clienti. DMARC protegge il vostro marchio dall'essere usato per scopi malevoli, attraverso il processo di verifica dell'identità. Questo sostiene la vostra buona volontà e reputazione a lungo termine.

Segnalazione e monitoraggio DMARC

Oltre alla protezione dell'identità, DMARC offre anche un meccanismo di segnalazione che aiuta i proprietari di domini a stare al passo con qualsiasi tentativo di impersonificazione fatto sul loro dominio. Possono tenere traccia delle e-mail che non vengono consegnate a causa di fallimenti nei controlli di autenticazione, permettendo loro di ridurre il tempo di risposta alle minacce. Tutto quello che devono fare è configurare un analizzatore di rapporti DMARC per visualizzare facilmente i loro rapporti in un unico pannello di vetro.

Vantaggi per i ricevitori di e-mail

Protezione contro gli attacchi di phishing

DMARC non è solo una partita di sicurezza per il mittente dell'e-mail, ma anche per il ricevitore. Sappiamo già che un attacco di spoofing di solito finisce con il phishing. Il destinatario di un'email falsa è ad alto rischio di cadere preda di attacchi di phishing che mirano a rubare le sue credenziali bancarie, e/o altre informazioni sensibili. DMARC aiuta a ridurre drasticamente il rischio di phishing via email.

Protezione contro il ransomware

A volte le email false contengono link per scaricare ransomware nel sistema del destinatario. Questo può portare i destinatari delle e-mail ad essere tenuti in ostaggio alla mercé degli attori delle minacce che chiedono riscatti pesanti. Quando il destinatario è un dipendente dell'organizzazione impersonata, la posta in gioco per l'azienda è ancora più alta. DMARC agisce come una linea primaria di difesa contro il ransomware, impedendo che i destinatari delle e-mail siano tenuti in ostaggio.

Promuove un'esperienza e-mail sicura

DMARC aiuta a promuovere un'esperienza di posta elettronica sicura sia per il mittente che per il destinatario. Aiuta entrambe le parti a impegnarsi in uno scambio di informazioni lucido e senza ostacoli, senza la paura di essere ingannati o impersonati da cyberattaccanti.

Per usufruire dei servizi DMARC, ottenete la vostra prova gratuita DMARC oggi stesso!

 

Siamo qui per chiarire una volta per tutte una delle preoccupazioni più comuni sollevate dai proprietari di domini. Una politica di rifiuto DMARC può danneggiare la tua deliverability delle email? Una politica di rifiuto DMARC può solo danneggiare la tua deliverability delle email quando hai configurato DMARC in modo errato per il tuo dominio, o hai preso una politica DMARC applicata con troppa disinvoltura per non abilitare il reporting DMARC per il tuo dominio. Idealmente, DMARC è progettato per migliorare i vostri tassi di deliverability delle email nel tempo .

Cos'è una politica di rifiuto DMARC?

Una politica di rifiuto DMARC è uno stato di massima applicazione di DMARC. Questo significa che se un'email viene inviata da una fonte che non supera l'autenticazione DMARC, quell'email verrà rifiutata dal server del destinatario e non gli verrà consegnata. Una politica di rifiuto DMARC è vantaggiosa per le organizzazioni in quanto aiuta i proprietari dei domini a porre fine agli attacchi di phishing, allo spoofing del dominio diretto e alla compromissione delle e-mail aziendali.

Quando si dovrebbe configurare questa politica?

Come esperti di DMARC, PowerDMARC raccomanda che, se sei un novizio dell'autenticazione e-mail, DMARC al solo monitoraggio è l'opzione migliore per te. Questo vi aiuterebbe a prendere confidenza con il protocollo mentre tenete traccia delle prestazioni e della deliverability della vostra email. Scoprite come potete monitorare facilmente i vostri domini nella prossima sezione.

Quando sarete abbastanza sicuri da adottare una politica più severa, potrete impostare il vostro dominio con p=reject/quarantine. Come utente DMARC, il vostro obiettivo principale dovrebbe essere quello di impedire agli aggressori di impersonarvi con successo e ingannare i vostri clienti, cosa che non può essere ottenuta con una "nessuna politica". Applicare la vostra politica è imperativo per ottenere protezione contro gli aggressori.

Dove si può sbagliare?

DMARC si basa su protocolli come SPF e DKIM che devono essere preconfigurati perché il primo funzioni correttamente. Un record DNS SPF memorizza una lista di indirizzi IP autorizzati che sono autorizzati a inviare e-mail per vostro conto. I proprietari di domini possono erroneamente mancare di registrare un dominio di invio come mittente autorizzato per SPF. Questo è un fenomeno relativamente comune tra le organizzazioni che utilizzano diversi fornitori di e-mail di terze parti. Questo può portare al fallimento di SPF per quel particolare dominio. Altri errori includono errori nei record DNS e nelle configurazioni del protocollo. Tutto questo può essere evitato avvalendosi di servizi di autenticazione e-mail in hosting.

Come monitorare le tue e-mail con un analizzatore di rapporti DMARC

Un analizzatore di rapporti DMARC è uno strumento all-in-one che vi aiuta a monitorare i vostri domini attraverso una singola interfaccia. Questo può beneficiare la vostra organizzazione in più di un modo:

  • Ottenere visibilità e chiarezza complete sul vostro flusso di e-mail
  • Passare a una politica di rifiuto senza la paura di problemi di deliverability
  • Leggere i rapporti DMARC XML in un formato semplificato e leggibile dall'uomo
  • Apporta modifiche ai tuoi record DNS in tempo reale utilizzando pulsanti attivabili senza accedere al tuo DNS

Configura DMARC in modo sicuro e corretto nella tua organizzazione utilizzando un analizzatore DMARC oggi stesso, ed elimina definitivamente tutte le paure relative ai problemi di deliverability!