Messaggi

Nel caso in cui vi siate imbattuti nella "Manca la politica MTA-STS: STSFetchResult.NONE "durante l'utilizzo di strumenti online, siete venuti nel posto giusto. Oggi parleremo di come risolvere questo messaggio di errore e sbarazzarsi di esso incorporando una politica MTA-STS per il vostro dominio.

Simple Mail Transfer Protocol, alias SMTP, è il protocollo standard di trasferimento della posta elettronica utilizzato dalla maggior parte dei fornitori di servizi e-mail. Non è un concetto estraneo che SMTP ha affrontato sfide di sicurezza fin dall'alba dei tempi, sfide che non sono stati in grado di risolvere fino ad ora. Questo perché, al fine di rendere le e-mail compatibili all'indietro, SMTP ha introdotto la crittografia opportunistica sotto forma di un comando STARTTLS. Questo significa essenzialmente che, nel caso in cui una connessione criptata non possa essere negoziata tra due server SMTP comunicanti, la connessione viene riportata ad una non criptata, e i messaggi vengono inviati in chiaro. 

Questo rende le e-mail trasferite via SMTP vulnerabili al monitoraggio pervasivo e agli attacchi di intercettazione informatica come il Man-in-the-middle. Questo è rischioso sia per il mittente che per il destinatario e può portare alla violazione di dati sensibili. È qui che MTA-STS entra in gioco e rende la crittografia TLS obbligatoria in SMTP per impedire che le e-mail vengano consegnate su connessioni non sicure. 

Cos'è una politica MTA-STS?

Per migliorare la sicurezza delle e-mail SMTP e sfruttare al massimo i protocolli di autenticazione come MTA-STS, il server di invio dovrebbe avere il supporto per il protocollo e il server di ricezione delle e-mail dovrebbe avere una politica MTA-STS definita nel proprio DNS. Una modalità di politica forzata è anche incoraggiata per amplificare ulteriormente gli standard di sicurezza. La politica MTA-STS definisce i server di posta elettronica che usano MTA-STS nel dominio del destinatario. 

Per abilitare MTA-STS per il tuo dominio come destinatario di email, devi ospitare un file di policy MTA-STS nel tuo DNS. Questo permette ai mittenti di e-mail esterni di inviare e-mail al tuo dominio che sono autenticate e criptate TLS con una versione aggiornata di TLS (1.2 o superiore). 

Non avere un file di policy pubblicato o aggiornato per il vostro dominio può essere la ragione principale per imbattersi in messaggi di errore come "Manca la policy MTA-STS: STSFetchResult.NONE", che implica che il server del mittente non ha potuto recuperare il file di policy MTA-STS quando ha interrogato il DNS del destinatario, trovandolo mancante.

Prerequisiti per MTA-STS:

I server di posta elettronica per i quali MTA-STS sarà abilitato dovrebbero usare una versione TLS di 1.2 o più, e dovrebbero avere certificati TLS in atto che aderiscono agli attuali standard e specifiche RFC, non sono scaduti, e certificati di server che sono firmati da un'autorità di certificazione root affidabile.

Passi per risolvere "La politica MTA-STS è mancante".

1. Creazione e pubblicazione di un record TXT di MTA-STS DNS 

Il primo passo è quello di creare un record MTA-STS per il tuo dominio. Potete creare un record istantaneamente usando un generatore di record MTA-STS, fornendovi un record DNS su misura per il vostro dominio. 

2. Definire una modalità di politica MTA-STS

MTA-STS offre due modalità di politica con cui gli utenti possono lavorare.

  • Modalità di test: Questa modalità è ideale per i principianti che non hanno configurato il protocollo prima. La modalità di test MTA-STS permette di ricevere rapporti SMTP TLS su problemi nelle politiche MTA-STS, problemi nello stabilire connessioni SMTP criptate, o fallimento nella consegna delle e-mail. Questo ti aiuta a rispondere ai problemi di sicurezza esistenti relativi ai tuoi domini e server senza applicare la crittografia TLS.
  • Applicare la modalità: Mentre si ricevono ancora i rapporti TLS, nel corso del tempo è ottimale per gli utenti applicare la loro politica MTA-STS per rendere obbligatoria la crittografia durante la ricezione di e-mail utilizzando SMTP. Questo impedisce che i messaggi vengano modificati o manomessi durante il transito.

3. Creare il file di policy MTA-STS

Il passo successivo è quello di ospitare i file di policy MTA-STS per i vostri domini. Notate che mentre il contenuto di ogni file può essere lo stesso, è obbligatorio ospitare le policy separatamente per domini separati, e un singolo dominio può avere solo un singolo file di policy MTA-STS. Più file di policy MTA-STS ospitati per un singolo dominio possono portare a configurazioni errate del protocollo. 

Il formato standard per un file di policy MTA-STS è dato di seguito: 

Nome del file: mta-sts.txt

Dimensione massima del file: 64 KB

versione: STSv1

modo: test

mx: mail.yourdomain.com

mx: *.yourdomain.com

max_age: 806400 

Nota: Il file di policy mostrato sopra è semplicemente un esempio.

4. Pubblicare il file di policy MTA-STS

Successivamente, dovete pubblicare il vostro file di policy MTA-STS su un server web pubblico che sia accessibile ai server esterni. Assicuratevi che il server su cui ospitate il vostro file supporti HTTPS o SSL. La procedura per questo è semplice. Supponendo che il vostro dominio sia preconfigurato con un server web pubblico:

  • Aggiungi un sottodominio al tuo dominio esistente che dovrebbe iniziare con il testo: mta-sts (per esempio mta-sts.domain.com) 
  • Il tuo file di policy punterà a questo sottodominio che hai creato e deve essere memorizzato in un .well-known
  • L'URL per il file di policy è aggiunto alla voce DNS durante la pubblicazione del record DNS MTA-STS in modo che il server possa interrogare il DNS per recuperare il file di policy durante il trasferimento della posta elettronica

5. Attivare MTA-STS e TLS-RPT

Infine, dovete pubblicare i vostri MTA-STS e TLS-RPT nel DNS del vostro dominio, usando TXT come tipo di risorsa, posizionati su due sottodomini separati (_smtp._tls e _mta-sts). Questo permetterà solo ai messaggi criptati TLS di raggiungere la tua casella di posta, che sono verificati e non manomessi. Inoltre, riceverai quotidianamente dei rapporti sui problemi di consegna e crittografia su un indirizzo e-mail o un server web configurato da te, da server esterni.

Potete verificare la validità dei vostri record DNS eseguendo una ricerca di record MTA-STS dopo che il vostro record è pubblicato e attivo.  

Nota: Ogni volta che fate delle modifiche al contenuto dei vostri file di policy MTA-STS, dovete aggiornarlo sia sul server web pubblico su cui ospitate il vostro file, sia sulla voce DNS che contiene il vostro URL di policy. Lo stesso vale per ogni volta che aggiornate o aggiungete ai vostri domini o server.

Come possono i servizi MTA-STS ospitati aiutare a risolvere il problema "La politica MTA-STS è mancante"?

L'implementazione manuale di MTA-STS può essere ardua e impegnativa e lasciare spazio agli errori. PowerDMARC MTA-STS in hosting aiutano a catapultare il processo per i proprietari di domini, rendendo l'implementazione del protocollo facile e veloce. Voi potete:

  • Pubblica i tuoi record CNAME per MTA-STS con pochi clic
  • Esternalizzare il duro lavoro coinvolto nel mantenimento e nell'hosting dei file delle politiche MTA-STS e dei server web
  • Cambiate la modalità della vostra politica ogni volta che lo desiderate, direttamente dalla vostra dashboard personalizzata, senza dover accedere al vostro DNS
  • Mostriamo i file JSON dei rapporti SMTP TLS in un formato organizzato e leggibile dall'uomo che è comodo e comprensibile sia per le persone tecniche che per quelle non tecniche.

La cosa migliore? Siamo conformi alle RFC e supportiamo gli ultimi standard TLS. Questo ti aiuta a iniziare con una configurazione MTA-STS senza errori per il tuo dominio, e a godere dei suoi benefici lasciando a noi le seccature e le complessità da gestire per tuo conto! 

Spero che questo articolo vi abbia aiutato a sbarazzarvi del messaggio "Manca la policy MTA-STS: STSFetchResult.NONE", e a configurare correttamente i protocolli per il vostro dominio per mitigare le lacune e le sfide della sicurezza SMTP. 

Abilita MTA-STS per le tue email oggi stesso prendendo un autenticazione e-mail prova DMARCper migliorare le tue difese contro il MITM e altri attacchi di intercettazione informatica!