Den etterlengtede utrullingen er endelig her! Microsoft sender samlede DMARC RUA -rapporter til sine brukere, og det er sannsynlig at du kanskje ikke har lagt merke til det. Microsoft DMARCs samlede rapporter sendes fra følgende e -postadresse : [email protected] Den rå Microsoft DMARC -aggregeringsfilen sendes i standard XML -format. Microsoft har endelig omfavnet DMARC -rapportering, noe som i hovedsak betyr at nå Hotmail-, Outlook-, Live- og msn.com -brukere vil kunne glede seg over de forskjellige fordelene med Microsoft DMARC -aggregerte data.

Behandler aggregerte data fra Microsoft DMARC

PowerDMARC rapportanalysator analyserer Microsoft DMARCs samlede data i et organisert format som vil hjelpe deg med å behandle dem mer effektivt.  

For å hjelpe brukerne med å dra fordeler av samlede rapportdata sendt av Microsoft, har PowerDMARCs DMARC -rapportanalysator blitt forhåndskonfigurert til å motta rapportene sine direkte på plattformen. Alt brukerne trenger å gjøre er å legge til domenene sine på PowerDMARC -plattformen sammen med å konfigurere DMARC DNS -posten, mens vi behandler og presenterer rapportene på en enkel og forståelig måte. Her finner du:

  • DMARC -aggregerte data sendt fra Hotmail-, Outlook-, Live- og msn.com -mottakeradresser analysert fra rå XML -filformat til enkel og lesbar informasjon organisert i tabeller
  • PowerDMARC er forhåndskonfigurert til å omgå RFC -brudd, slik at vi kan motta og analysere DMARC -dataene dine sendt av Microsoft -servere uten at du trenger å bekymre deg for det
  • Registrer flere domener, overvåke e -postkanalene dine og foreta DNS -endringer direkte fra dashbordet med brukbare knapper på fingertuppene
  • Filtrer resultatene i forskjellige kategorier, for eksempel per resultat, per senderkilde, per organisasjon, per land, geolokalisering og detaljert statistikk eller søkeresultater per domene i søkefeltet
  • Få dypere innsikt i ytelsen til e -postene dine, og få raskt opp forsøk på domenespoofing, etterligning eller falske e -postmeldinger som sendes med Microsofts forretningsdomener. Du vil også kunne analysere eventuelle SPF, DKIM -feil fra sendingskildene dine.

Vist ovenfor er et skjermbilde av våre DMARC -samlede rapporter per organisasjon som viser DMARC RUA -data sendt fra Microsoft.

Problemer du kan stå overfor mens du håndterer Microsoft DMARC -aggregatrapporter på egen hånd

Microsoft DMARC-aggregerte e-poster er ikke RFC-kompatible

Det primære problemet som brukere har stått overfor med disse e -postene som inneholder rapporter som sendes av Microsoft, er at de ikke er i samsvar med RFC -spesifikasjonene for Internett -e -post. Selv om RFC 5322 kapittel 2.1.1 tydelig sier at en linje med tegn ikke må overskride 78 tegn, er BASE64 -vedleggsdataene i disse Microsoft DMARC -aggregatene en kontinuerlig linje uten riktige linjeskift som overskrider grensen på 78 tegn. Det resulterende RFC -bruddet er grunnen til at de fleste av disse e -postene havner i brukerens avvisingslogg i stedet for å bli levert til innboksen. 

Rå XML -filer er vanskelig å lese

I likhet med DMARC -dataene som er sendt av alle rapporterende organisasjoner, er RUA -filen i utvidbart kodespråk (XML) som er vanskelig å lese og forstå.

Forutsetninger for å motta Microsoft DMARC RUA

For å motta samlede rapporter for domenene dine på outlook.com må du sørge for at du har en gyldig PowerDMARC -post publisert på DNS, sammen med en definert DMARC -policy. Rapporterende organisasjoner sender deretter samlede rapportdata til din angitte webserver eller e -postadresse. Dette vil hjelpe deg med å få synlighet og DMARC-samsvar med e-postleverandører fra tredjeparter som du ellers ikke har kontroll over. 

Beskytt domenene dine på Microsoft Office365 og andre ved å starte e -postgodkjenningsreisen din i dag. Kom ombord med en gratis DMARC -prøveversjon eller planlegg en DMARC -demo , og utforsk fordelene ved å implementere en robust e -postsikkerhetsstilling i organisasjonen din!

Hvis du har kommet over kommandoen "MTA-STS-policyen mangler: STSFetchResult.NONE " mens du bruker elektroniske verktøy, har du kommet til rett sted. I dag skal vi diskutere hvordan du kan fikse denne feilmeldingen og bli kvitt den ved å innlemme en MTA-STS-policy for domenet ditt.

Simple Mail Transfer Protocol, også kjent som SMTP, er standard e -postoverføringsprotokoll som brukes av et flertall e -postleverandører. Det er ikke et fremmed konsept at SMTP har stått overfor sikkerhetsutfordringer siden tidenes morgen, utfordringer de ikke har klart å komme med ennå. Dette er fordi SMTP introduserte opportunistisk kryptering i form av en STARTTLS -kommando for å gjøre e -postene bakoverkompatible. Dette betyr i hovedsak at hvis en kryptert tilkobling ikke kan forhandles mellom to kommuniserende SMTP -servere, blir tilkoblingen rullet tilbake til en ukryptert og meldinger blir sendt i klar tekst. 

Dette gjør e-post overført via SMTP sårbar for gjennomgripende overvåking og cyberavlytningsangrep som Man-in-the-middle. Dette er risikabelt for både avsender og mottaker og kan føre til brudd på sensitive data. Det er her MTA-STS kommer inn og gjør TLS-kryptering obligatorisk i SMTP for å stoppe e-post fra å bli levert over usikrede tilkoblinger. 

Hva er en MTA-STS-policy?

For å forbedre SMTP-e-postsikkerheten og få mest mulig ut av autentiseringsprotokoller som MTA-STS, bør senderserveren ha støtte for protokollen, og e-postmottaker-serveren må ha en MTA-STS-policy definert i DNS. En håndhevet policy -modus oppfordres også til å forsterke sikkerhetsstandardene ytterligere. MTA-STS-policyen definerer e-postserverne som bruker MTA-STS i mottakerens domene. 

For å aktivere MTA-STS for domenet ditt som e-postmottaker, må du være vert for en MTA-STS policy-fil i DNS. Dette gjør at eksterne e -postavsendere kan sende e -post til domenet ditt som er godkjent og TLS -kryptert med en oppdatert versjon av TLS (1.2 eller nyere). 

Å ikke ha en publisert eller oppdatert policyfil for domenet ditt kan være hovedårsaken til at du får feilmeldinger som " MTA-STS-policy mangler: STSFetchResult.NONE ", noe som betyr at avsenderens server ikke kunne hente MTA-STS-policyfilen da den spurte mottakerens DNS og fant at den manglet.

Forutsetninger for MTA-STS:

E-postservere som MTA-STS vil bli aktivert for, bør bruke en TLS-versjon på 1.2 eller mer, og bør ha TLS-sertifikater på plass som overholder gjeldende RFC-standarder og spesifikasjoner, er ikke utløpt, og serversertifikater som er signert av en klarert rotsertifikatmyndighet.

Trinn for å fikse "MTA-STS-policyen mangler"

1. Opprette og publisere en MTA-STS DNS TXT-post 

Det første trinnet er å lage en MTA-STS-post for domenet ditt. Du kan opprette en post umiddelbart ved hjelp av en MTA-STS-registreringsgenerator, som gir deg en skreddersydd DNS-post for domenet ditt. 

2. Definere en MTA-STS policy-modus

MTA-STS tilbyr to policy-moduser som brukerne kan jobbe med.

  • Testmodus : Denne modusen er ideell for nybegynnere som ikke har konfigurert protokollen før. MTA-STS-testmodusen lar deg motta SMTP TLS-rapporter om problemer i MTA-STS-retningslinjene, problemer med å etablere krypterte SMTP-tilkoblinger eller feil i levering av e-post. Dette hjelper deg med å svare på eksisterende sikkerhetsproblemer knyttet til domenene og serverne dine uten å håndheve TLS -kryptering.
  • Håndhevingsmodus : Mens du fortsatt mottar TLS-rapportene dine, er det etter hvert optimalt for brukerne å håndheve MTA-STS-retningslinjene sine for å gjøre kryptering obligatorisk mens de mottar e-post med SMTP. Dette forhindrer at meldinger blir endret eller manipulert under transport.

3. Opprette MTA-STS policy-filen

Det neste trinnet er å være vert for MTA-STS policy-filer for domenene dine. Vær oppmerksom på at selv om innholdet i hver fil kan være det samme, er det obligatorisk å være vert for retningslinjer separat for separate domener, og et enkelt domene kan bare ha en enkelt MTA-STS-policyfil. Flere MTA-STS-policyfiler som er vert for et enkelt domene, kan føre til feilkonfigurasjoner i protokollen. 

Standardformatet for en MTA-STS policy-fil er gitt nedenfor: 

Filnavn: mta-sts.txt

Maksimal filstørrelse: 64 KB

versjon: STSv1

modus: testing

mx: mail.ditt domene.com

mx: *.ditt domene.com

maks alder: 806400 

Merk: Policyfilen som vises ovenfor er ganske enkelt et eksempel.

4. Publisering av MTA-STS policy-filen

Deretter må du publisere MTA-STS policy-filen på en offentlig webserver som er tilgjengelig for eksterne servere. Sørg for at serveren du er vert for filen din på støtter HTTPS eller SSL. Fremgangsmåten for dette er enkel. Forutsatt at domenet ditt er forhåndskonfigurert med en offentlig webserver:

  • Legg til et underdomene til ditt eksisterende domene som skal begynne med teksten: mta-sts (f.eks. Mta-sts.domain.com) 
  • Retningslinjefilen din vil peke på dette underdomenet du har opprettet og må lagres i en .kjent katalog
  • URL-en for policyfilen legges til DNS-oppføringen mens du publiserer MTA-STS DNS-posten slik at serveren kan spørre DNS om å hente policyfilen under e-postoverføring

5. Aktiver MTA-STS og TLS-RPT

Til slutt må du publisere MTA-STS og TLS-RPT DNS-postene i domenets DNS, ved å bruke TXT som ressurstype, plassert på to separate underdomener (_smtp._tls og _mta-sts). Dette tillater bare TLS -krypterte meldinger å komme til innboksen din, som er bekreftet og ubehandlet. Videre vil du motta daglige rapporter om leverings- og krypteringsproblemer på en e -postadresse eller webserver som er konfigurert av deg, fra eksterne servere.

Du kan bekrefte gyldigheten til DNS-postene dine ved å utføre et MTA-STS-oppslag etter at posten er publisert og live.  

Merk: Hver gang du foretar endringer i innholdet i MTA-STS-policyfilene, må du oppdatere den både på den offentlige webserveren du er vert for filen din på, så vel som DNS-oppføringen som inneholder policyens URL. Det samme gjelder for hver gang du oppdaterer eller legger til domener eller servere.

Hvordan kan hostede MTA-STS-tjenester hjelpe til med å løse "MTA-STS-policyen mangler"?

Manuell implementering av MTA-STS kan være vanskelig og utfordrende og gi rom for feil. PowerDMARCs vertskap for MTA-STS- tjenester hjelper til med å katapultere prosessen for domeneeiere, noe som gjør implementering av protokoller enkel og rask. Du kan:

  • Publiser CNAME-postene dine for MTA-STS med noen få klikk
  • Legge ut det harde arbeidet som er involvert i å vedlikeholde og hoste MTA-STS policy-filer og webservere
  • Endre policy-modus når du vil, direkte fra det skreddersydde dashbordet, uten å måtte få tilgang til DNS
  • Vi viser SMTP TLS-rapport JSON-filer i et organisert og lesbart format som er praktisk og forståelig for både tekniske og ikke-tekniske mennesker

Den beste tingen? Vi er RFC-kompatible og støtter de nyeste TLS-standardene. Dette hjelper deg med å komme i gang med feilfri MTA-STS-konfigurasjon for domenet ditt, og nyte fordelene mens du lar problemene og kompleksitetene stå for oss på dine vegne! 

Håper denne artikkelen hjalp deg med å kvitte seg med “MTA-STS-policyen mangler: STSFetchResult.NONE” -prompten og konfigurering av protokollene riktig for domenet ditt for å dempe smutthull og utfordringer i SMTP-sikkerhet. 

Aktiver MTA-STS for e-postene dine i dag ved å ta en gratis DMARC-prøveversjon for e- postautentisering, for å forbedre forsvaret mot MITM og andre cyberavlytningsangrep!