Come risolvere il problema "MTA-STS Policy is Missing"?
di
Tempo di lettura: 5 min
Se vi siete imbattuti nel problema "Ilcriterio MTA-STS è mancante: STSFetchResult.NONE " durante l'utilizzo di strumenti online, siete nel posto giusto. Oggi discuteremo come risolvere questo messaggio di errore e come eliminarlo incorporando un criterio MTA-STS per il vostro dominio.
Simple Mail Transfer Protocol, alias SMTP, è il protocollo standard di trasferimento della posta elettronica utilizzato dalla maggior parte dei fornitori di servizi e-mail. Non è un concetto estraneo che SMTP ha affrontato sfide di sicurezza fin dall'alba dei tempi, sfide che non sono stati in grado di risolvere fino ad ora. Questo perché, al fine di rendere le e-mail compatibili all'indietro, SMTP ha introdotto la crittografia opportunistica sotto forma di un comando STARTTLS. Questo significa essenzialmente che, nel caso in cui una connessione criptata non possa essere negoziata tra due server SMTP comunicanti, la connessione viene riportata ad una non criptata, e i messaggi vengono inviati in chiaro.
Ciò rende le e-mail trasferite tramite SMTP vulnerabili al monitoraggio pervasivo e agli attacchi di intercettazione informatica come Man-in-the-middle. Questo è rischioso sia per il mittente che per il destinatario e può portare alla violazione di dati sensibili. È qui che interviene l'MTA-STS, che rende obbligatoria la crittografia TLS nell'SMTP per impedire la consegna delle e-mail su connessioni non protette.
I punti chiave da prendere in considerazione
- MTA-STS è essenziale per applicare la crittografia TLS obbligatoria, riducendo le vulnerabilità delle e-mail durante la trasmissione.
- La creazione e la pubblicazione di un record TXT del DNS MTA-STS è il primo passo per abilitare questo standard per il vostro dominio.
- L'implementazione di un criterio MTA-STS in modalità di test consente di monitorare e risolvere potenziali problemi di connessione SMTP TLS senza che venga applicato immediatamente.
- Ogni dominio deve avere un unico file di criteri MTA-STS, poiché più file possono causare errori e configurazioni errate.
- L'utilizzo di servizi MTA-STS in hosting può semplificare il processo di distribuzione e garantire la conformità agli standard TLS più recenti.
Cos'è una politica MTA-STS?
Per migliorare la sicurezza delle e-mail SMTP e sfruttare al meglio i protocolli di autenticazione come MTA-STS, il server di invio deve supportare il protocollo e il server di ricezione delle e-mail deve avere un criterio MTA-STS definito nel proprio DNS. È incoraggiata anche una modalità di applicazione dei criteri per amplificare ulteriormente gli standard di sicurezza. Il criterio MTA-STS definisce i server di posta elettronica che utilizzano MTA-STS nel dominio del destinatario.
Per abilitare MTA-STS per il tuo dominio come destinatario di email, devi ospitare un file di policy MTA-STS nel tuo DNS. Questo permette ai mittenti di e-mail esterni di inviare e-mail al tuo dominio che sono autenticate e criptate TLS con una versione aggiornata di TLS (1.2 o superiore).
Non avere un file di policy pubblicato o aggiornato per il vostro dominio può essere la ragione principale per imbattersi in messaggi di errore come "Manca la policy MTA-STS: STSFetchResult.NONE", che implica che il server del mittente non ha potuto recuperare il file di policy MTA-STS quando ha interrogato il DNS del destinatario, trovandolo mancante.
Prerequisiti per MTA-STS:
I server di posta elettronica per i quali MTA-STS sarà abilitato dovrebbero usare una versione TLS di 1.2 o più, e dovrebbero avere certificati TLS in atto che aderiscono agli attuali standard e specifiche RFC, non sono scaduti, e certificati di server che sono firmati da un'autorità di certificazione root affidabile.
Semplificate la sicurezza con PowerDMARC!
Passi per risolvere "La politica MTA-STS è mancante".
1. Creazione e pubblicazione di un record TXT di MTA-STS DNS
Il primo passo è quello di creare un record MTA-STS per il tuo dominio. Potete creare un record istantaneamente usando un generatore di record MTA-STS, fornendovi un record DNS su misura per il vostro dominio.
2. Definire una modalità di politica MTA-STS
MTA-STS offre due modalità di politica con cui gli utenti possono lavorare.
- Modalità di test: Questa modalità è ideale per i principianti che non hanno configurato il protocollo prima. La modalità di test MTA-STS permette di ricevere rapporti SMTP TLS su problemi nelle politiche MTA-STS, problemi nello stabilire connessioni SMTP criptate, o fallimento nella consegna delle e-mail. Questo ti aiuta a rispondere ai problemi di sicurezza esistenti relativi ai tuoi domini e server senza applicare la crittografia TLS.
- Applicare la modalità: Mentre si ricevono ancora i rapporti TLS, nel corso del tempo è ottimale per gli utenti applicare la loro politica MTA-STS per rendere obbligatoria la crittografia durante la ricezione di e-mail utilizzando SMTP. Questo impedisce che i messaggi vengano modificati o manomessi durante il transito.
3. Creare il file di policy MTA-STS
Il passo successivo è quello di ospitare i file di policy MTA-STS per i vostri domini. Notate che mentre il contenuto di ogni file può essere lo stesso, è obbligatorio ospitare le policy separatamente per domini separati, e un singolo dominio può avere solo un singolo file di policy MTA-STS. Più file di policy MTA-STS ospitati per un singolo dominio possono portare a configurazioni errate del protocollo.
Il formato standard per un file di policy MTA-STS è dato di seguito:
Nome del file: mta-sts.txt
Dimensione massima del file: 64 KB
versione: STSv1
modo: test
mx: mail.yourdomain.com
mx: *.yourdomain.com
max_age: 806400
Nota: Il file di policy mostrato sopra è semplicemente un esempio.
4. Pubblicare il file di policy MTA-STS
Successivamente, è necessario pubblicare il file dei criteri MTA-STS su un server web pubblico accessibile ai server esterni. Assicurarsi che il server su cui si ospita il file supporti HTTPS o SSL. La procedura è semplice. Supponendo che il dominio sia preconfigurato con un server web pubblico:
- Aggiungi un sottodominio al tuo dominio esistente che dovrebbe iniziare con il testo: mta-sts (per esempio mta-sts.domain.com)
- Il tuo file di policy punterà a questo sottodominio che hai creato e deve essere memorizzato in un .well-known
- L'URL per il file di policy è aggiunto alla voce DNS durante la pubblicazione del record DNS MTA-STS in modo che il server possa interrogare il DNS per recuperare il file di policy durante il trasferimento della posta elettronica
5. Attivare MTA-STS e TLS-RPT
Infine, dovete pubblicare i vostri MTA-STS e TLS-RPT nel DNS del vostro dominio, usando TXT come tipo di risorsa, posizionati su due sottodomini separati (_smtp._tls e _mta-sts). Questo permetterà solo ai messaggi criptati TLS di raggiungere la tua casella di posta, che sono verificati e non manomessi. Inoltre, riceverai quotidianamente dei rapporti sui problemi di consegna e crittografia su un indirizzo e-mail o un server web configurato da te, da server esterni.
Potete verificare la validità dei vostri record DNS eseguendo una ricerca di record MTA-STS dopo che il vostro record è pubblicato e attivo.
Nota: Ogni volta che fate delle modifiche al contenuto dei vostri file di policy MTA-STS, dovete aggiornarlo sia sul server web pubblico su cui ospitate il vostro file, sia sulla voce DNS che contiene il vostro URL di policy. Lo stesso vale per ogni volta che aggiornate o aggiungete ai vostri domini o server.
Come possono i servizi MTA-STS ospitati aiutare a risolvere il problema "La politica MTA-STS è mancante"?
L'implementazione manuale di MTA-STS può essere ardua e impegnativa e lasciare spazio agli errori. PowerDMARC MTA-STS in hosting aiutano a catapultare il processo per i proprietari di domini, rendendo l'implementazione del protocollo facile e veloce. Voi potete:
- Pubblica i tuoi record CNAME per MTA-STS con pochi clic
- Esternalizzare il duro lavoro coinvolto nel mantenimento e nell'hosting dei file delle politiche MTA-STS e dei server web
- Cambiate la modalità della vostra politica ogni volta che lo desiderate, direttamente dalla vostra dashboard personalizzata, senza dover accedere al vostro DNS
- Mostriamo i file JSON dei rapporti SMTP TLS in un formato organizzato e leggibile dall'uomo che è comodo e comprensibile sia per le persone tecniche che per quelle non tecniche.
La cosa migliore? Siamo conformi alle RFC e supportiamo gli ultimi standard TLS. Questo ti aiuta a iniziare con una configurazione MTA-STS senza errori per il tuo dominio, e a godere dei suoi benefici lasciando a noi le seccature e le complessità da gestire per tuo conto!
Spero che questo articolo vi abbia aiutato a sbarazzarvi del messaggio "Manca la policy MTA-STS: STSFetchResult.NONE", e a configurare correttamente i protocolli per il vostro dominio per mitigare le lacune e le sfide della sicurezza SMTP.
Abilita MTA-STS per le tue email oggi stesso prendendo un autenticazione e-mail prova DMARCper migliorare le tue difese contro il MITM e altri attacchi di intercettazione informatica!
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.
Ultimi messaggi di Yunes Tarada (vedi tutti)
- Regole per i mittenti di e-mail di massa per Google, Yahoo, Microsoft e Apple iCloud Mail - 14 aprile 2025
- Attacchi di salting via e-mail: Come il testo nascosto aggira la sicurezza - 26 febbraio 2025
- Appiattimento della SPF: Cos'è e perché ne avete bisogno? - 26 febbraio 2025
