Berichten

In het geval u de "MTA-STS beleid ontbreekt: STSFetchResult.NONE "bent tegengekomen tijdens het gebruik van online tools, dan bent u op de juiste plaats. Vandaag gaan we bespreken hoe u deze foutmelding kunt oplossen en er vanaf kunt komen door een MTA-STS beleid voor uw domein op te nemen.

Simple Mail Transfer Protocol, ook wel SMTP genoemd, is het standaardprotocol voor de overdracht van e-mail dat door de meeste e-mail service providers wordt gebruikt. Het is geen vreemd concept dat SMTP al sinds mensenheugenis met beveiligingsproblemen te kampen heeft, problemen die tot dusverre nog niet zijn opgelost. Dit komt doordat SMTP, om de e-mails achterwaarts compatibel te maken, opportunistische versleuteling heeft ingevoerd in de vorm van een STARTTLS-commando. Dit betekent in wezen dat, indien een versleutelde verbinding niet tot stand kan komen tussen twee communicerende SMTP-servers, de verbinding wordt teruggeschakeld naar een onversleutelde verbinding, en berichten in klare tekst worden verzonden. 

Dit maakt e-mails die via SMTP worden verzonden kwetsbaar voor alomtegenwoordige monitoring en cyberafluisteraanvallen zoals Man-in-the-middle. Dit is riskant voor zowel de verzender als de ontvanger en kan leiden tot de schending van gevoelige gegevens. Dit is waar MTA-STS ingrijpt en TLS-encryptie verplicht stelt in SMTP om te voorkomen dat e-mails via onbeveiligde verbindingen worden afgeleverd. 

Wat is een MTA-STS-beleid?

Om je SMTP email beveiliging te verbeteren en het maximale uit authenticatie protocollen zoals MTA-STS te halen, dient de verzendende server ondersteuning voor het protocol te hebben en de email ontvangende server een MTA-STS beleid te hebben gedefinieerd in hun DNS. Een afgedwongen beleidsmodus wordt ook aangemoedigd om de beveiligingsnormen verder uit te breiden. Het MTA-STS beleid definieert de e-mailservers die MTA-STS gebruiken in het domein van de ontvanger. 

Om MTA-STS in te schakelen voor uw domein als e-mailontvanger, moet u een MTA-STS beleidsbestand hosten in uw DNS. Hierdoor kunnen externe e-mailverzenders e-mails naar uw domein sturen die zijn geverifieerd en TLS-gecodeerd met een bijgewerkte versie van TLS (1.2 of hoger). 

Het niet hebben van een gepubliceerd of bijgewerkt beleidsbestand voor uw domein kan de hoofdreden zijn voor het tegenkomen van foutmeldingen als "MTA-STS beleid ontbreekt: STSFetchResult.NONE"Dit betekent dat de server van de verzender het MTA-STS beleidsbestand niet kon ophalen toen hij de DNS van de ontvanger raadpleegde en ontdekte dat het ontbrak.

Vereisten voor MTA-STS:

E-mailservers waarvoor MTA-STS zal worden ingeschakeld, moeten een TLS-versie van 1.2 of meer gebruiken, en moeten beschikken over TLS-certificaten die voldoen aan de huidige RFC-normen en -specificaties, die niet zijn verlopen, en over servercertificaten die zijn ondertekend door een vertrouwde rootcertificatieautoriteit.

Stappen om "MTA-STS Beleid ontbreekt" op te lossen

1. Aanmaken en publiceren van een MTA-STS DNS TXT record 

De eerste stap is het aanmaken van een MTA-STS record voor uw domein. U kunt direct een record aanmaken met behulp van een MTA-STS record generator, waarmee u een op maat gemaakt DNS record voor uw domein krijgt. 

2. Een MTA-STS beleidsmodus definiëren

MTA-STS biedt twee beleidsmodi voor gebruikers om mee te werken.

  • Testmodus: Deze modus is ideaal voor beginners die het protocol nog niet eerder hebben geconfigureerd. De MTA-STS test modus stelt u in staat SMTP TLS rapporten te ontvangen over problemen in MTA-STS beleid, problemen bij het opzetten van versleutelde SMTP verbindingen, of het mislukken van e-mail aflevering. Dit helpt u te reageren op bestaande beveiligingsproblemen met betrekking tot uw domeinen en servers zonder TLS-encryptie af te dwingen.
  • Modus afdwingen: Terwijl u nog steeds uw TLS rapporten ontvangt, is het na verloop van tijd optimaal voor gebruikers om hun MTA-STS beleid af te dwingen om encryptie verplicht te maken tijdens het ontvangen van emails via SMTP. Dit voorkomt dat berichten worden gewijzigd of dat er mee wordt geknoeid terwijl ze onderweg zijn.

3. Aanmaken van het MTA-STS beleidsbestand

De volgende stap is het hosten van MTA-STS beleidsbestanden voor uw domeinen. Merk op dat hoewel de inhoud van elk bestand hetzelfde kan zijn, het verplicht is om beleidsregels apart te hosten voor afzonderlijke domeinen, en een enkel domein kan slechts een enkel MTA-STS beleidsbestand hebben. Meerdere MTA-STS beleidsbestanden die voor een enkel domein worden gehost kunnen leiden tot protocolmisconfiguraties. 

Het standaardformaat voor een MTA-STS beleidsbestand wordt hieronder gegeven: 

Bestandsnaam: mta-sts.txt

Maximale bestandsgrootte: 64 KB

versie: STSv1

modus: testen

mx: mail.uwdomein.com

mx: *.yourdomain.com

max_leeftijd: 806400 

Opmerking: Het hierboven getoonde beleidsbestand is slechts een voorbeeld.

4. Publiceren van uw MTA-STS beleidsbestand

Vervolgens moet je je MTA-STS beleidsbestand publiceren op een openbare webserver die toegankelijk is voor externe servers. Zorg ervoor dat de server waarop je je bestand host HTTPS of SSL ondersteunt. De procedure hiervoor is eenvoudig. Ervan uitgaande dat je domein is voorgeconfigureerd met een publieke web server:

  • Voeg een subdomein toe aan uw bestaande domein dat moet beginnen met de tekst: mta-sts (bijv. mta-sts.domain.com) 
  • Uw beleidsbestand zal verwijzen naar dit subdomein dat u hebt aangemaakt en moet worden opgeslagen in een .bekend map
  • De URL voor het beleidsbestand wordt toegevoegd aan de DNS entry tijdens het publiceren van uw MTA-STS DNS record, zodat de server de DNS kan bevragen om het beleidsbestand op te halen tijdens de e-mail overdracht

5. Activeer MTA-STS en TLS-RPT

Tenslotte moet u uw MTA-STS en TLS-RPT DNS-records in de DNS van uw domein publiceren, met TXT als het resourcetype, geplaatst op twee afzonderlijke subdomeinen (_smtp._tls en _mta-sts). Hierdoor zullen alleen TLS gecodeerde berichten uw inbox bereiken, die geverifieerd en ongemanipuleerd zijn. Bovendien ontvangt u dagelijks rapporten over afleverings- en versleutelingsproblemen op een door u geconfigureerd e-mailadres of webserver, van externe servers.

U kunt de geldigheid van uw DNS-records verifiëren door een MTA-STS record lookup uit te voeren nadat uw record is gepubliceerd en live staat.  

Opmerking: Bij elke gelegenheid dat u wijzigingen aanbrengt in de inhoud van uw MTA-STS beleidsbestanden, moet u deze bijwerken zowel op de publieke webserver waarop u uw bestand host, als op de DNS entry die uw beleids-URL bevat. Hetzelfde geldt voor iedere keer dat u uw domeinen of servers bijwerkt of uitbreidt.

Hoe kunnen gehoste MTA-STS services helpen bij het oplossen van "MTA-STS beleid ontbreekt"?

Handmatige implementatie van MTA-STS kan lastig en uitdagend zijn en ruimte laten voor fouten. PowerDMARC's gehoste MTA-STS services van PowerDMARC helpen domeineigenaren het proces te versnellen, waardoor de implementatie van het protocol moeiteloos en snel verloopt. U kunt:

  • Publiceer uw CNAME-records voor MTA-STS met een paar klikken
  • Besteed het zware werk uit dat komt kijken bij het onderhouden en hosten van MTA-STS-beleidsbestanden en webservers
  • Wijzig uw beleidsmodus wanneer u maar wilt, rechtstreeks vanaf uw op maat gemaakte dashboard, zonder dat u uw DNS hoeft te openen
  • Wij tonen SMTP TLS rapport JSON bestanden in een georganiseerd en menselijk leesbaar formaat dat handig en begrijpelijk is voor zowel technische als niet-technische mensen

Het beste? Wij zijn RFC-compliant en ondersteunen de nieuwste TLS-standaarden. Dit helpt u aan de slag te gaan met een foutloze MTA-STS configuratie voor uw domein, en te genieten van de voordelen terwijl u de rompslomp en complexiteit aan ons overlaat! 

Hopelijk heeft dit artikel je geholpen om van de "MTA-STS policy is missing: STSFetchResult.NONE" prompt, en bij het juist configureren van de protocollen voor uw domein om de mazen en uitdagingen in SMTP beveiliging te verkleinen. 

Activeer MTA-STS voor uw e-mails vandaag nog door een gratis e-mailverificatie DMARC proefom uw verdediging tegen MITM en andere cyber afluister aanvallen te verbeteren!