Hoe "MTA-STS beleid ontbreekt" repareren?
door
Laatst bijgewerkt: 5 leestijd: 5 minuten
Als je het "MTA-STS beleid ontbreekt: STSFetchResult.NONE "commando bent tegengekomen tijdens het gebruik van online tools, dan ben je hier aan het juiste adres. Vandaag gaan we bespreken hoe je deze foutmelding kunt oplossen en er vanaf kunt komen door een MTA-STS beleid voor je domein op te nemen.
Simple Mail Transfer Protocol, ook wel SMTP genoemd, is het standaardprotocol voor e-mailoverdracht dat door de meeste e-mailproviders wordt gebruikt. Het is geen vreemd concept dat SMTP al sinds mensenheugenis te maken heeft met beveiligingsuitdagingen, uitdagingen die ze tot nu toe nog niet hebben kunnen oplossen. Dit komt doordat SMTP opportunistische encryptie heeft geïntroduceerd in de vorm van een STARTTLS commando om e-mails achterwaarts compatibel te maken. Dit betekent in wezen dat als er geen versleutelde verbinding tot stand kan worden gebracht tussen twee communicerende SMTP-servers, de verbinding wordt teruggedraaid naar een niet-versleutelde verbinding en berichten in onbewerkte tekst worden verzonden.
Dit maakt e-mails die via SMTP worden verzonden kwetsbaar voor alomtegenwoordige monitoring en cyberafluisteraanvallen zoals Man-in-the-middle. Dit is riskant voor zowel de verzender als de ontvanger en kan leiden tot de schending van gevoelige gegevens. Hier komt MTA-STS om de hoek kijken en maakt TLS-encryptie verplicht in SMTP om te voorkomen dat e-mails worden afgeleverd via onbeveiligde verbindingen.
Belangrijkste Conclusies
- MTA-STS is essentieel voor het afdwingen van verplichte TLS-encryptie, waardoor e-mail minder kwetsbaar wordt tijdens verzending.
- Het aanmaken en publiceren van een MTA-STS DNS TXT record is de eerste stap in het inschakelen van deze standaard voor je domein.
- Het implementeren van een MTA-STS beleid in testmodus maakt het mogelijk om potentiële SMTP TLS verbindingsproblemen te controleren en aan te pakken zonder onmiddellijke handhaving.
- Elk domein moet een uniek MTA-STS-beleidsbestand hebben, aangezien meerdere bestanden kunnen leiden tot verkeerde configuraties en fouten.
- Door gebruik te maken van gehoste MTA-STS diensten kan het implementatieproces worden gestroomlijnd en kan naleving van de nieuwste TLS-standaarden worden gegarandeerd.
Wat is een MTA-STS beleid?
Om je SMTP e-mailbeveiliging te verbeteren en het meeste te halen uit authenticatieprotocollen zoals MTA-STS, moet de verzendende server ondersteuning hebben voor het protocol en moet de ontvangende server een MTA-STS beleid hebben gedefinieerd in hun DNS. Een afgedwongen beleidsmodus wordt ook aangemoedigd om de beveiligingsstandaarden verder te versterken. Het MTA-STS beleid definieert de e-mailservers die MTA-STS gebruiken in het domein van de ontvanger.
Om MTA-STS in te schakelen voor je domein als e-mailontvanger, moet je een MTA-STS-beleidsbestand hosten in je DNS. Hierdoor kunnen externe e-mailverzenders e-mails naar uw domein verzenden die zijn geverifieerd en TLS-gecodeerd met een bijgewerkte versie van TLS (1.2 of hoger).
Het ontbreken van een gepubliceerd of bijgewerkt beleidsbestand voor je domein kan de belangrijkste reden zijn voor foutmeldingen als "MTA-STS beleid ontbreekt: STSFetchResult.NONE"Dit betekent dat de server van de verzender het MTA-STS-beleidsbestand niet kon ophalen toen het de DNS van de ontvanger opvroeg en constateerde dat het ontbrak.
Vereisten voor MTA-STS:
E-mailservers waarvoor MTA-STS wordt ingeschakeld, moeten een TLS-versie van 1.2 of meer gebruiken en moeten beschikken over TLS-certificaten die voldoen aan de huidige RFC-standaarden en specificaties, niet verlopen zijn en servercertificaten die zijn ondertekend door een vertrouwde root-certificaatautoriteit.
Stappen om "MTA-STS beleid ontbreekt" te repareren
1. Een MTA-STS DNS TXT-record aanmaken en publiceren
De eerste stap is het aanmaken van een MTA-STS record voor je domein. Je kunt direct een record aanmaken met een MTA-STS record generator, waardoor je een DNS-record op maat voor je domein krijgt.
2. Een MTA-STS beleidsmodus definiëren
MTA-STS biedt twee beleidsmodi waarmee gebruikers kunnen werken.
- Testmodus: Deze modus is ideaal voor beginners die het protocol nog niet eerder hebben geconfigureerd. De MTA-STS testmodus stelt je in staat om SMTP TLS rapporten te ontvangen over problemen in MTA-STS beleid, problemen bij het opzetten van versleutelde SMTP verbindingen, of mislukte e-mail aflevering. Dit helpt u te reageren op bestaande beveiligingsproblemen met betrekking tot uw domeinen en servers zonder TLS-encryptie af te dwingen.
- Modus afdwingen: Terwijl je nog steeds je TLS rapporten ontvangt, is het in de loop van de tijd optimaal voor gebruikers om hun MTA-STS beleid af te dwingen om encryptie verplicht te stellen tijdens het ontvangen van e-mails via SMTP. Dit voorkomt dat berichten worden gewijzigd of dat ermee wordt geknoeid terwijl ze onderweg zijn.
3. Het MTA-STS beleidsbestand aanmaken
De volgende stap is het hosten van MTA-STS beleidsbestanden voor je domeinen. Hoewel de inhoud van elk bestand hetzelfde kan zijn, is het verplicht om beleidsregels apart te hosten voor afzonderlijke domeinen, en een enkel domein kan slechts een enkel MTA-STS beleidsbestand hebben. Meerdere MTA-STS beleidsbestanden gehost voor een enkel domein kan leiden tot protocol misconfiguraties.
Het standaard formaat voor een MTA-STS beleidsbestand staat hieronder:
Bestandsnaam: mta-sts.txt
Maximale bestandsgrootte: 64 KB
versie: STSv1
modus: testen
mx: mail.uwdomein.nl
mx: *.uwdomein.nl
max_leeftijd: 806400
Opmerking: Het bovenstaande beleidsbestand is slechts een voorbeeld.
4. Uw MTA-STS beleidsbestand publiceren
Vervolgens moet je je MTA-STS beleidsbestand publiceren op een publieke webserver die toegankelijk is voor externe servers. Zorg ervoor dat de server waarop je het bestand host HTTPS of SSL ondersteunt. De procedure hiervoor is eenvoudig. Ervan uitgaande dat je domein vooraf is geconfigureerd met een publieke webserver:
- Voeg een subdomein toe aan je bestaande domein dat moet beginnen met de tekst: mta-sts (bijv. mta-sts.domein.com)
- Je beleidsbestand zal verwijzen naar dit subdomein dat je hebt aangemaakt en moet worden opgeslagen in een .well-known map
- De URL voor het beleidsbestand wordt toegevoegd aan de DNS-vermelding tijdens het publiceren van je MTA-STS DNS-record, zodat de server de DNS kan opvragen om het beleidsbestand op te halen tijdens de e-mailoverdracht.
5. MTA-STS en TLS-RPT activeren
Ten slotte moet je je MTA-STS en TLS-RPT DNS-records in de DNS van je domein, met TXT als resource-type, geplaatst op twee aparte subdomeinen (_smtp._tls en _mta-sts). Hierdoor bereiken alleen versleutelde TLS-berichten je postvak IN, die geverifieerd en onbevoegd zijn. Bovendien ontvangt u dagelijks rapporten over afleverings- en versleutelingsproblemen op een e-mailadres of webserver die door u zijn geconfigureerd, van externe servers.
Je kunt de geldigheid van je DNS-records controleren door een MTA-STS record lookup uit te voeren nadat je record is gepubliceerd en live staat.
Opmerking: Telkens wanneer je wijzigingen aanbrengt in de inhoud van je MTA-STS beleidsbestanden, moet je deze bijwerken op zowel de publieke webserver waarop je het bestand host, als op de DNS entry die de URL van je beleid bevat. Hetzelfde geldt voor elke keer dat je domeinen of servers bijwerkt of toevoegt.
Hoe kunnen gehoste MTA-STS diensten helpen bij het oplossen van "MTA-STS beleid ontbreekt"?
Handmatige implementatie van MTA-STS kan lastig en uitdagend zijn en ruimte laten voor fouten. PowerDMARC's gehoste MTA-STS services van PowerDMARC katapulteren het proces voor domeineigenaren, waardoor de implementatie van het protocol moeiteloos en snel verloopt. U kunt:
- Publiceer je CNAME-records voor MTA-STS met een paar klikken
- Besteed het harde werk uit dat komt kijken bij het onderhouden en hosten van MTA-STS beleidsbestanden en webservers
- Wijzig uw beleidsmodus wanneer u maar wilt, rechtstreeks vanuit uw dashboard op maat, zonder dat u toegang tot uw DNS hoeft te hebben
- We geven SMTP TLS-rapport JSON-bestanden weer in een georganiseerd en menselijk leesbaar formaat dat handig en begrijpelijk is voor technische en niet-technische mensen.
Het beste? We zijn RFC-compliant en ondersteunen de nieuwste TLS-standaarden. Dit helpt je aan de slag te gaan met een foutloze MTA-STS configuratie voor je domein, en te genieten van de voordelen, terwijl je het gedoe en de complexiteit aan ons overlaat!
Hopelijk heeft dit artikel je geholpen om van de prompt "MTA-STS policy is missing: STSFetchResult.NONE" prompt en bij het juist configureren van de protocollen voor je domein om de gaten en uitdagingen in de SMTP-beveiliging te beperken.
Schakel MTA-STS vandaag nog in voor je e-mails door een gratis e-mailverificatie DMARC testom uw verdediging tegen MITM en andere cyberafluisteraanvallen te verbeteren!
Expert domein- en e-mailbeveiliging bij PowerDMARC
Yunes is teamleider Operations bij PowerDMARC en heeft expertise in e-mailauthenticatie en -beveiliging. Hij is een door Microsoft gecertificeerde Azure Administrator Associate en beschikt over certificeringen zoals CompTIA A+ en vele andere.
Laatste berichten van Yunes Tarada (Bekijk alle berichten)
