Hvis du har kommet over kommandoen "MTA-STS-policyen mangler: STSFetchResult.NONE " mens du bruker elektroniske verktøy, har du kommet til rett sted. I dag skal vi diskutere hvordan du kan fikse denne feilmeldingen og bli kvitt den ved å innlemme en MTA-STS-policy for domenet ditt.

Simple Mail Transfer Protocol, også kjent som SMTP, er standard e -postoverføringsprotokoll som brukes av et flertall e -postleverandører. Det er ikke et fremmed konsept at SMTP har stått overfor sikkerhetsutfordringer siden tidenes morgen, utfordringer de ikke har klart å komme med ennå. Dette er fordi SMTP introduserte opportunistisk kryptering i form av en STARTTLS -kommando for å gjøre e -postene bakoverkompatible. Dette betyr i hovedsak at hvis en kryptert tilkobling ikke kan forhandles mellom to kommuniserende SMTP -servere, blir tilkoblingen rullet tilbake til en ukryptert og meldinger blir sendt i klar tekst. 

Dette gjør e-post overført via SMTP sårbar for gjennomgripende overvåking og cyberavlytningsangrep som Man-in-the-middle. Dette er risikabelt for både avsender og mottaker og kan føre til brudd på sensitive data. Det er her MTA-STS kommer inn og gjør TLS-kryptering obligatorisk i SMTP for å stoppe e-post fra å bli levert over usikrede tilkoblinger. 

Hva er en MTA-STS-policy?

For å forbedre SMTP-e-postsikkerheten og få mest mulig ut av autentiseringsprotokoller som MTA-STS, bør senderserveren ha støtte for protokollen, og e-postmottaker-serveren må ha en MTA-STS-policy definert i DNS. En håndhevet policy -modus oppfordres også til å forsterke sikkerhetsstandardene ytterligere. MTA-STS-policyen definerer e-postserverne som bruker MTA-STS i mottakerens domene. 

For å aktivere MTA-STS for domenet ditt som e-postmottaker, må du være vert for en MTA-STS policy-fil i DNS. Dette gjør at eksterne e -postavsendere kan sende e -post til domenet ditt som er godkjent og TLS -kryptert med en oppdatert versjon av TLS (1.2 eller nyere). 

Å ikke ha en publisert eller oppdatert policyfil for domenet ditt kan være hovedårsaken til at du får feilmeldinger som " MTA-STS-policy mangler: STSFetchResult.NONE ", noe som betyr at avsenderens server ikke kunne hente MTA-STS-policyfilen da den spurte mottakerens DNS og fant at den manglet.

Forutsetninger for MTA-STS:

E-postservere som MTA-STS vil bli aktivert for, bør bruke en TLS-versjon på 1.2 eller mer, og bør ha TLS-sertifikater på plass som overholder gjeldende RFC-standarder og spesifikasjoner, er ikke utløpt, og serversertifikater som er signert av en klarert rotsertifikatmyndighet.

Trinn for å fikse "MTA-STS-policyen mangler"

1. Opprette og publisere en MTA-STS DNS TXT-post 

Det første trinnet er å lage en MTA-STS-post for domenet ditt. Du kan opprette en post umiddelbart ved hjelp av en MTA-STS-registreringsgenerator, som gir deg en skreddersydd DNS-post for domenet ditt. 

2. Definere en MTA-STS policy-modus

MTA-STS tilbyr to policy-moduser som brukerne kan jobbe med.

  • Testmodus : Denne modusen er ideell for nybegynnere som ikke har konfigurert protokollen før. MTA-STS-testmodusen lar deg motta SMTP TLS-rapporter om problemer i MTA-STS-retningslinjene, problemer med å etablere krypterte SMTP-tilkoblinger eller feil i levering av e-post. Dette hjelper deg med å svare på eksisterende sikkerhetsproblemer knyttet til domenene og serverne dine uten å håndheve TLS -kryptering.
  • Håndhevingsmodus : Mens du fortsatt mottar TLS-rapportene dine, er det etter hvert optimalt for brukerne å håndheve MTA-STS-retningslinjene sine for å gjøre kryptering obligatorisk mens de mottar e-post med SMTP. Dette forhindrer at meldinger blir endret eller manipulert under transport.

3. Opprette MTA-STS policy-filen

Det neste trinnet er å være vert for MTA-STS policy-filer for domenene dine. Vær oppmerksom på at selv om innholdet i hver fil kan være det samme, er det obligatorisk å være vert for retningslinjer separat for separate domener, og et enkelt domene kan bare ha en enkelt MTA-STS-policyfil. Flere MTA-STS-policyfiler som er vert for et enkelt domene, kan føre til feilkonfigurasjoner i protokollen. 

Standardformatet for en MTA-STS policy-fil er gitt nedenfor: 

Filnavn: mta-sts.txt

Maksimal filstørrelse: 64 KB

versjon: STSv1

modus: testing

mx: mail.ditt domene.com

mx: *.ditt domene.com

maks alder: 806400 

Merk: Policyfilen som vises ovenfor er ganske enkelt et eksempel.

4. Publisering av MTA-STS policy-filen

Deretter må du publisere MTA-STS policy-filen på en offentlig webserver som er tilgjengelig for eksterne servere. Sørg for at serveren du er vert for filen din på støtter HTTPS eller SSL. Fremgangsmåten for dette er enkel. Forutsatt at domenet ditt er forhåndskonfigurert med en offentlig webserver:

  • Legg til et underdomene til ditt eksisterende domene som skal begynne med teksten: mta-sts (f.eks. Mta-sts.domain.com) 
  • Retningslinjefilen din vil peke på dette underdomenet du har opprettet og må lagres i en .kjent katalog
  • URL-en for policyfilen legges til DNS-oppføringen mens du publiserer MTA-STS DNS-posten slik at serveren kan spørre DNS om å hente policyfilen under e-postoverføring

5. Aktiver MTA-STS og TLS-RPT

Til slutt må du publisere MTA-STS og TLS-RPT DNS-postene i domenets DNS, ved å bruke TXT som ressurstype, plassert på to separate underdomener (_smtp._tls og _mta-sts). Dette tillater bare TLS -krypterte meldinger å komme til innboksen din, som er bekreftet og ubehandlet. Videre vil du motta daglige rapporter om leverings- og krypteringsproblemer på en e -postadresse eller webserver som er konfigurert av deg, fra eksterne servere.

Du kan bekrefte gyldigheten til DNS-postene dine ved å utføre et MTA-STS-oppslag etter at posten er publisert og live.  

Merk: Hver gang du foretar endringer i innholdet i MTA-STS-policyfilene, må du oppdatere den både på den offentlige webserveren du er vert for filen din på, så vel som DNS-oppføringen som inneholder policyens URL. Det samme gjelder for hver gang du oppdaterer eller legger til domener eller servere.

Hvordan kan hostede MTA-STS-tjenester hjelpe til med å løse "MTA-STS-policyen mangler"?

Manuell implementering av MTA-STS kan være vanskelig og utfordrende og gi rom for feil. PowerDMARCs vertskap for MTA-STS- tjenester hjelper til med å katapultere prosessen for domeneeiere, noe som gjør implementering av protokoller enkel og rask. Du kan:

  • Publiser CNAME-postene dine for MTA-STS med noen få klikk
  • Legge ut det harde arbeidet som er involvert i å vedlikeholde og hoste MTA-STS policy-filer og webservere
  • Endre policy-modus når du vil, direkte fra det skreddersydde dashbordet, uten å måtte få tilgang til DNS
  • Vi viser SMTP TLS-rapport JSON-filer i et organisert og lesbart format som er praktisk og forståelig for både tekniske og ikke-tekniske mennesker

Den beste tingen? Vi er RFC-kompatible og støtter de nyeste TLS-standardene. Dette hjelper deg med å komme i gang med feilfri MTA-STS-konfigurasjon for domenet ditt, og nyte fordelene mens du lar problemene og kompleksitetene stå for oss på dine vegne! 

Håper denne artikkelen hjalp deg med å kvitte seg med “MTA-STS-policyen mangler: STSFetchResult.NONE” -prompten og konfigurering av protokollene riktig for domenet ditt for å dempe smutthull og utfordringer i SMTP-sikkerhet. 

Aktiver MTA-STS for e-postene dine i dag ved å ta en gratis DMARC-prøveversjon for e- postautentisering, for å forbedre forsvaret mot MITM og andre cyberavlytningsangrep!

Både foretak og oppstart foretrekker ofte å outsource virksomheten og markedsføre e -post. Dette innebærer tredjepartstjenester som håndterer alt fra listebehandling til sporing av hendelser til leveranseovervåking. Men disse tredjepartstjenestene øker også risikoen ved å åpne opp for muligheter for ondsinnede aktører til å etterligne merker via domenespoofing og distribuere phishing-angrep på intetanende mottakere.

Det har blitt rapportert at rundt en tredjedel av alle spam-meldinger som sirkulerer på internett inneholder forretningsrelatert innhold. Bedrifter og organisasjoner kan bli offer for disse meldingene hvis de ikke implementerer de nødvendige sikkerhetstiltakene, og bruk av tredjepartsleverandører for å sende e-postmeldinger kan være en vesentlig medvirkende faktor.

Integrering av DMARC -retningslinjer med alle dine tredjeparter kan hjelpe deg med å forhindre spoofing, phishing og malware -angrep som infiltrerer domenet ditt.

Hvorfor er det viktig å justere kildene til å sende e -post?

E -post er avgjørende for suksess for enhver virksomhet fordi den gjør det mulig for bedrifter å holde kontakten med sine kunder og potensielle kunder. Det er mye brukt som et primært kommunikasjonsmiddel og markedsundersøkelser, og betydningen vil bare øke etter hvert som tiden går. Uansett hvilken e -postleverandør du bruker til å sende e -postene dine, må du kontrollere om de støtter å sende DMARC -kompatible e -poster på dine vegne. 

DMARC er en e -postprotokoll for å forhindre phishing -angrep, domenespoofing og BEC. Men for å være virkelig effektiv må et selskap jobbe tett med alle sine tredjeparter, slik at alle e -poster er DMARC -kompatible.

Gjør dine tredjepartsleverandører DMARC-kompatible

For å etablere en effektiv DMARC-policy, bør du kontakte tredjepartsleverandører for å samarbeide med deg om den beste måten å håndtere e-post som mislykkes validering. Det kan vise seg å være fordelaktig å forklare fordelene med DMARC, svare på spørsmål om hvordan det fungerer og anbefale løsninger som vil hjelpe dem til å implementere DMARC fullt ut.

Hver tredjepart er forskjellig, med sin egen SPF- og DKIM -oppsettprosess som du må planlegge for. For å finne den beste strategien, må du være oppmerksom på hvordan hver partner sender markedsføringskampanjer via e -post, i tillegg til sine tekniske sporingsevner, rapporteringsfunksjoner og integrasjonsmuligheter. Selv om prosessen kan virke tungvint og kjedelig, er det noen få enkle måter du kan få fart på fra din side:

  • Du kan konfigurere et tilpasset underdomen for hver av e -postleverandørene dine og la dem håndtere SPF- og DKIM -godkjenning for det domenet. I dette tilfellet bruker e -postleverandøren sin e -postserver til å sende e -postene dine. Leverandøren publiserer sine SPF- og DKIM -poster i DNS til underdomenet ditt. Hvis du ikke konfigurerer en egen DMARC -policy for dette overførte underdomenet, blir DMARC -policyen for hoveddomenet automatisk belastet underdomenet ditt.
  • Alternativt kan tredjepartsleverandøren bruke e-postserverne dine mens du sender e-post til kundene dine fra domenet ditt. Dette sikrer som standard at hvis du har en DMARC-policy for domenet ditt på plass, vil de utgående e-postene automatisk være DMARC-kompatible. Sørg for at du oppdaterer SPF- og DKIM -postene dine til å inkludere de nevnte tredjepartene for å sikre at de er oppført som en autorisert sendekilde. 

Konfigurere SPF-, DKIM- og DMARC-poster for tredjepartsleverandører

  • Sørg for at du oppdaterer din eksisterende SPF -post for å inkludere disse kildene til å sende e -post. For eksempel, hvis du bruker MailChimp som e -postleverandør til å sende markedsførings -e -post på vegne av organisasjonen din, må du oppdatere den eksisterende SPF -posten eller opprette en ny post (i tilfelle du ikke har en på plass) som inkluderer MailChimp som en autorisert avsender. Dette kan gjøres ved enten å legge til en include: -mekanisme eller spesifikke IP -adresser som brukes av leverandøren mens du sender e -postene dine.
  • Deretter må du be leverandøren din om å generere et DKIM -nøkkelpar for ditt tilpassede domene. De ville bruke den private nøkkelen til å signere e-postmeldingene dine mens du sender dem, og den offentlige nøkkelen må publiseres av deg på din offentlig vendte DNS. Den private nøkkelen matches av den offentlige nøkkelen i DNS av mottakerne under verifisering.

Du kan lese våre kunnskapsbaserte artikler for e-postautentisering for å få enkle, trinnvise instruksjoner om hvordan du konfigurerer DMARC, SPF og DKIM for forskjellige tredjepartsleverandører som du kanskje bruker.

På PowerDMARC tilbyr vi løsninger for implementering og overvåking av DMARC for å hjelpe deg med å sikre maksimal DMARC -samsvar. Vi tilbyr skalerbare DMARC-overvåkningsløsninger med de mest inngående mulighetene på markedet for å hjelpe deg med å administrere sendepraksis i samordning med leverandørenes sendepraksis. 

Med våre ressurser og ekspertise kan vi ta gjetningene ut av DMARC -overholdelse mens vi leverer analytiske rapporter som identifiserer de som er og de som ikke er kompatible. Registrer deg for din gratis DMARC -prøveperiode i dag!

E -post er et av de mest effektive verktøyene for å få ut budskapet ditt, enten det er for markedsføring eller forretningsbruk. Imidlertid presenterer det også sikkerhetstrusler hvis du ikke beskytter mot dem. DMARC hjelper deg med å løse dette problemet ved å gi deg full kontroll over all e -post som bruker domenenavnet ditt. DMARC er et stort skritt mot å sikre at ærlige e -poster forblir ærlige, og ondsinnede e -poster er beskyttet mot å nå innbokser. PowerDMARC har alltid trodd på dette oppdraget og har jobbet hardt for å sikre at DMARC -spesifikasjonene følges i hele vårt økosystem.

Hvorfor er e -posten din usikker?

E -postforfalskning skjer når en angriper smier "Fra" -adressen for å få en e -post til å se ut som om den kommer fra en autorisert, legitim kilde. Begrepet kan referere til både e -postklienter og serverangrep. Forfalskning av e -postklienten refererer til smiing av "Fra", "Til" og/eller "Emne" -adressen til e -post som kommer fra en bestemt klient. Forfalskning av serveren refererer til smiing av disse adressene i meldinger som stammer fra en bestemt server. 

Spoofing av e -post er et alvorlig problem, spesielt hvis du driver et legitimt nettsted som har et påmeldingsskjema for e -post. Fordi e -postadresser ofte er hovedmålet for spammere som bruker e -postforfalskningsteknikker, kan e -postlisten din raskt bli kompromittert. Dette vil føre til store hodepine på veien når du må deaktivere registreringsskjemaene eller manuelt må avmelde medlemmer fra hvert av nyhetsbrevene eller andre lister.

Hvordan kan DMARC hjelpe?

En DMARC -policy lar deg ta kontroll over e -postforfalskning, phishing og andre former for e -post og misbruk av domener. Denne kraftige mekanismen brukes i kombinasjon med SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail), og gjør det mye vanskeligere for cyberkriminelle å sende e -post med domenenavnet ditt uten din tillatelse.

Hvis du ikke har en DMARC-post på plass, anbefaler vi at du bruker vårt gratis DMARC-postgeneratorverktøy for å lage en skreddersydd TXT-post for domenet ditt og implementere protokollen. Husk å gå over til en DMARC -avvisningspolicy for å få beskyttelse mot etterligningstrusler.

Spor e -postflyten din for konsekvent leveranse

Hvis du vil holde deg oppdatert på angriperne dine, må du benytte deg av fordelene med DMARC -rapporten i dag! Den gir deg et vell av informasjon om e -postkildene du sender og mislykkede leveringsforsøk. Du kan dra nytte av informasjonen for å svare på trusler raskere, samt overvåke e -postenes prestasjoner for å sikre konsistens i leveransen. 

For å opprettholde e -posthelsen til domenet ditt, er det viktig at autentiseringsprotokollene er fri for syntaktiske eller konfigurasjonsfeil. Gjennomfør en DMARC -sjekk av og til for å sikre at DMARC -posten din fungerer som den skal.

Domenebasert meldingsautentisering, rapportering og samsvar (DMARC) er en standard som er designet for å samordne Sender Policy Framework (SPF) og DomainKeys Identified Mail (DKIM) meldingsautentiseringsmetoder for autentisering av e-postavsenders domenenavn. Det gir et konsekvent rammeverk for forfattere, operatører og forbrukere av disse mekanismene for e -postgodkjenning for å jobbe sammen for å redusere spam på e -post. En DMARC -analysator hjelper deg med å oppdage når en uautorisert tredjepart misbruker domenet ditt, enten ved å falske legitim e -post eller gjennomføre phishing -kampanjer.

Når det gjelder fordeler, har DMARC litt å tilby for avsenderen så vel som mottakeren av e -postene. La oss finne ut hva de er:

Fordeler for e -postavsendere

Forbedret leveranse av e -post

En av de viktigste fordelene som e -postgodkjenningsprotokoller som DMARC presenterer for domeneeiere (e -postavsendere) er en forbedret leveringsrate på e -post. DMARC sikrer at avsenderens legitime e -poster ikke blir unødvendig merket som søppelpost eller blokkert utenfor mottakerens innboks. Dette gir en bedre sjanse for at markedsføringsmailene dine blir lest, slik at dine potensielle kunder kan legge merke til deg mer.

Redusert trussel om etterligning

Etterligningsangrep er svært vanlige for online virksomheter, enten du er et etablert foretak eller et oppstartsselskap. Det kan gi et varig inntrykk på kundene dine, påvirke merkevarens troverdighet og føre til tap av kunder. DMARC beskytter merkenavnet ditt mot bruk av ondsinnede formål ved identitetsbekreftelsesprosessen. Dette opprettholder din velvilje og omdømme i det lange løp.

DMARC rapportering og overvåking

Bortsett fra identitetsbeskyttelse, tilbyr DMARC også en rapporteringsmekanisme som hjelper domeneeiere å holde seg oppdatert på eventuelle etterligningsforsøk på domenet. De kan holde oversikt over e-postmeldinger som ikke blir levert på grunn av feil i godkjenningskontrollene, slik at de kan kutte ned på trusselresponstiden. Alt de trenger å gjøre er å konfigurere en DMARC rapportanalysator for å se rapportene sine enkelt på tvers av en enkelt glassrute.

Fordeler for e -postmottakere

Beskyttelse mot phishing -angrep

DMARC er ikke bare en sikkerhetsbatch for avsenderen av e -posten, men også mottakeren. Vi vet allerede at et spoofing -angrep vanligvis ender med phishing. Mottakeren av en falsk e -post har stor risiko for å bli byttedyr for phishing -angrep som tar sikte på å stjele bankens legitimasjon og/eller annen sensitiv informasjon. DMARC bidrar til å redusere risikoen for phishing via e -post drastisk.

Beskyttelse mot ransomware

Noen ganger inneholder falske e -poster lenker for å laste ned ransomware til mottakerens system. Dette kan føre til at e -postmottakere blir holdt som gisler under takse av trusselsaktører som ber om store løsepenger. Når mottakeren er ansatt i den etterlignede organisasjonen, er innsatsen for selskapet enda høyere. DMARC fungerer som en primær forsvarslinje mot ransomware, og forhindrer at e -postmottakere holdes som gisler.

Fremmer en trygg e -postopplevelse

DMARC bidrar til å fremme en trygg e -postopplevelse for både avsender og mottaker. Det hjelper begge parter med en klar og uhindret utveksling av informasjon uten frykt for å bli lurt eller etterlignet av cyberangrepere.

For å benytte deg av DMARC -tjenester, få din gratis DMARC -prøveperiode i dag!

 

Vi er her for en gang for alle å klargjøre en av de vanligste bekymringene som domeneeiere tar opp. Vil en DMARC -avvisningspolicy skade e -postleveransen din? Langt svar kort: Nei. En DMARC -avvisningspolicy kan bare skade leveransen din på e -post når du har konfigurert DMARC feil for domenet ditt, eller hvis du har tatt en håndhevet DMARC -policy for tilfeldig for ikke å aktivere DMARC -rapportering for domenet ditt. Ideelt sett er DMARC designet for å forbedre leveringsgraden for e -post over tid.

Hva er en DMARC -avvisningspolicy?

En DMARC -avvisningspolicy er en tilstand med maksimal håndhevelse av DMARC. Dette betyr at hvis en e -post sendes fra en kilde som mislykkes med DMARC -godkjenning, vil den e -posten bli avvist av mottakerens server og ikke bli levert til ham. En DMARC-retningslinje for avvisning er gunstig for organisasjoner, ettersom den hjelper domeneeiere med å sette en stopper for phishing-angrep, direkte domeneforfalskning og kompromisser for forretnings-e-post.

Når bør du konfigurere denne policyen?

Som DMARC -eksperter anbefaler PowerDMARC at mens du er nybegynner på e -postgodkjenning, er DMARC ved overvåking bare det beste alternativet for deg. Dette vil hjelpe deg med å bli komfortabel med protokollen mens du holder oversikt over e -postens ytelse og leveringsdyktighet. Lær hvordan du enkelt kan overvåke domenene dine i neste avsnitt.

Når du er trygg nok til å vedta en strengere policy, kan du deretter konfigurere domenet ditt med p = reject/quarantine. Som DMARC -bruker bør hovedagendaen din være å stoppe angriperne fra å etterligne deg og lure kundene dine, noe som ikke kan oppnås med en "ingen -policy". Å håndheve politikken din er avgjørende for å få beskyttelse mot angripere.

Hvor kan du gå galt?

DMARC bygger på protokoller som SPF og DKIM som må forhåndskonfigureres for at førstnevnte skal fungere korrekt. En SPF DNS -post lagrer en liste over autoriserte IP -adresser som har lov til å sende e -post på dine vegne. Domeneeiere kan feilaktig gå glipp av å registrere et sendende domene som en autorisert avsender for SPF. Dette er et relativt vanlig fenomen blant organisasjoner som bruker flere tredjeparts e-postleverandører. Dette kan føre til SPF -feil for det aktuelle domenet. Andre feil inkluderer feil i DNS -postene og protokollkonfigurasjoner. Alt dette kan unngås ved å benytte vertstjenester for e -postautentisering.

Slik overvåker du e -postene dine med en DMARC -rapportanalysator

En DMARC rapportanalysator er et alt-i-ett-verktøy som hjelper deg med å overvåke domenene dine på tvers av et enkelt grensesnitt. Dette kan komme organisasjonen din til gode på flere måter enn én:

  • Få full oversikt og klarhet i e -postflyten din
  • Skift til en avvis politikk uten frykt for leveringsproblemer
  • Les DMARC XML- rapporter i et forenklet og lesbart format
  • Gjort endringer i DNS-postene dine i sanntid ved bruk av handlingsknapper uten tilgang til DNS

Konfigurer DMARC trygt og riktig i organisasjonen din ved hjelp av en DMARC -analysator i dag, og fjern all frykt knyttet til leveringsproblemer permanent!