Innlegg

Hvis du har kommet over kommandoen "MTA-STS-policyen mangler: STSFetchResult.NONE " mens du bruker elektroniske verktøy, har du kommet til rett sted. I dag skal vi diskutere hvordan du kan fikse denne feilmeldingen og bli kvitt den ved å innlemme en MTA-STS-policy for domenet ditt.

Simple Mail Transfer Protocol, også kjent som SMTP, er standard e -postoverføringsprotokoll som brukes av et flertall e -postleverandører. Det er ikke et fremmed konsept at SMTP har stått overfor sikkerhetsutfordringer siden tidenes morgen, utfordringer de ikke har klart å komme med ennå. Dette er fordi SMTP introduserte opportunistisk kryptering i form av en STARTTLS -kommando for å gjøre e -postene bakoverkompatible. Dette betyr i hovedsak at hvis en kryptert tilkobling ikke kan forhandles mellom to kommuniserende SMTP -servere, blir tilkoblingen rullet tilbake til en ukryptert og meldinger blir sendt i klar tekst. 

Dette gjør e-post overført via SMTP sårbar for gjennomgripende overvåking og cyberavlytningsangrep som Man-in-the-middle. Dette er risikabelt for både avsender og mottaker og kan føre til brudd på sensitive data. Det er her MTA-STS kommer inn og gjør TLS-kryptering obligatorisk i SMTP for å stoppe e-post fra å bli levert over usikrede tilkoblinger. 

Hva er en MTA-STS-policy?

For å forbedre SMTP-e-postsikkerheten og få mest mulig ut av autentiseringsprotokoller som MTA-STS, bør senderserveren ha støtte for protokollen, og e-postmottaker-serveren må ha en MTA-STS-policy definert i DNS. En håndhevet policy -modus oppfordres også til å forsterke sikkerhetsstandardene ytterligere. MTA-STS-policyen definerer e-postserverne som bruker MTA-STS i mottakerens domene. 

For å aktivere MTA-STS for domenet ditt som e-postmottaker, må du være vert for en MTA-STS policy-fil i DNS. Dette gjør at eksterne e -postavsendere kan sende e -post til domenet ditt som er godkjent og TLS -kryptert med en oppdatert versjon av TLS (1.2 eller nyere). 

Å ikke ha en publisert eller oppdatert policyfil for domenet ditt kan være hovedårsaken til at du får feilmeldinger som " MTA-STS-policy mangler: STSFetchResult.NONE ", noe som betyr at avsenderens server ikke kunne hente MTA-STS-policyfilen da den spurte mottakerens DNS og fant at den manglet.

Forutsetninger for MTA-STS:

E-postservere som MTA-STS vil bli aktivert for, bør bruke en TLS-versjon på 1.2 eller mer, og bør ha TLS-sertifikater på plass som overholder gjeldende RFC-standarder og spesifikasjoner, er ikke utløpt, og serversertifikater som er signert av en klarert rotsertifikatmyndighet.

Trinn for å fikse "MTA-STS-policyen mangler"

1. Opprette og publisere en MTA-STS DNS TXT-post 

Det første trinnet er å lage en MTA-STS-post for domenet ditt. Du kan opprette en post umiddelbart ved hjelp av en MTA-STS-registreringsgenerator, som gir deg en skreddersydd DNS-post for domenet ditt. 

2. Definere en MTA-STS policy-modus

MTA-STS tilbyr to policy-moduser som brukerne kan jobbe med.

  • Testmodus : Denne modusen er ideell for nybegynnere som ikke har konfigurert protokollen før. MTA-STS-testmodusen lar deg motta SMTP TLS-rapporter om problemer i MTA-STS-retningslinjene, problemer med å etablere krypterte SMTP-tilkoblinger eller feil i levering av e-post. Dette hjelper deg med å svare på eksisterende sikkerhetsproblemer knyttet til domenene og serverne dine uten å håndheve TLS -kryptering.
  • Håndhevingsmodus : Mens du fortsatt mottar TLS-rapportene dine, er det etter hvert optimalt for brukerne å håndheve MTA-STS-retningslinjene sine for å gjøre kryptering obligatorisk mens de mottar e-post med SMTP. Dette forhindrer at meldinger blir endret eller manipulert under transport.

3. Opprette MTA-STS policy-filen

Det neste trinnet er å være vert for MTA-STS policy-filer for domenene dine. Vær oppmerksom på at selv om innholdet i hver fil kan være det samme, er det obligatorisk å være vert for retningslinjer separat for separate domener, og et enkelt domene kan bare ha en enkelt MTA-STS-policyfil. Flere MTA-STS-policyfiler som er vert for et enkelt domene, kan føre til feilkonfigurasjoner i protokollen. 

Standardformatet for en MTA-STS policy-fil er gitt nedenfor: 

Filnavn: mta-sts.txt

Maksimal filstørrelse: 64 KB

versjon: STSv1

modus: testing

mx: mail.ditt domene.com

mx: *.ditt domene.com

maks alder: 806400 

Merk: Policyfilen som vises ovenfor er ganske enkelt et eksempel.

4. Publisering av MTA-STS policy-filen

Deretter må du publisere MTA-STS policy-filen på en offentlig webserver som er tilgjengelig for eksterne servere. Sørg for at serveren du er vert for filen din på støtter HTTPS eller SSL. Fremgangsmåten for dette er enkel. Forutsatt at domenet ditt er forhåndskonfigurert med en offentlig webserver:

  • Legg til et underdomene til ditt eksisterende domene som skal begynne med teksten: mta-sts (f.eks. Mta-sts.domain.com) 
  • Retningslinjefilen din vil peke på dette underdomenet du har opprettet og må lagres i en .kjent katalog
  • URL-en for policyfilen legges til DNS-oppføringen mens du publiserer MTA-STS DNS-posten slik at serveren kan spørre DNS om å hente policyfilen under e-postoverføring

5. Aktiver MTA-STS og TLS-RPT

Til slutt må du publisere MTA-STS og TLS-RPT DNS-postene i domenets DNS, ved å bruke TXT som ressurstype, plassert på to separate underdomener (_smtp._tls og _mta-sts). Dette tillater bare TLS -krypterte meldinger å komme til innboksen din, som er bekreftet og ubehandlet. Videre vil du motta daglige rapporter om leverings- og krypteringsproblemer på en e -postadresse eller webserver som er konfigurert av deg, fra eksterne servere.

Du kan bekrefte gyldigheten til DNS-postene dine ved å utføre et MTA-STS-oppslag etter at posten er publisert og live.  

Merk: Hver gang du foretar endringer i innholdet i MTA-STS-policyfilene, må du oppdatere den både på den offentlige webserveren du er vert for filen din på, så vel som DNS-oppføringen som inneholder policyens URL. Det samme gjelder for hver gang du oppdaterer eller legger til domener eller servere.

Hvordan kan hostede MTA-STS-tjenester hjelpe til med å løse "MTA-STS-policyen mangler"?

Manuell implementering av MTA-STS kan være vanskelig og utfordrende og gi rom for feil. PowerDMARCs vertskap for MTA-STS- tjenester hjelper til med å katapultere prosessen for domeneeiere, noe som gjør implementering av protokoller enkel og rask. Du kan:

  • Publiser CNAME-postene dine for MTA-STS med noen få klikk
  • Legge ut det harde arbeidet som er involvert i å vedlikeholde og hoste MTA-STS policy-filer og webservere
  • Endre policy-modus når du vil, direkte fra det skreddersydde dashbordet, uten å måtte få tilgang til DNS
  • Vi viser SMTP TLS-rapport JSON-filer i et organisert og lesbart format som er praktisk og forståelig for både tekniske og ikke-tekniske mennesker

Den beste tingen? Vi er RFC-kompatible og støtter de nyeste TLS-standardene. Dette hjelper deg med å komme i gang med feilfri MTA-STS-konfigurasjon for domenet ditt, og nyte fordelene mens du lar problemene og kompleksitetene stå for oss på dine vegne! 

Håper denne artikkelen hjalp deg med å kvitte seg med “MTA-STS-policyen mangler: STSFetchResult.NONE” -prompten og konfigurering av protokollene riktig for domenet ditt for å dempe smutthull og utfordringer i SMTP-sikkerhet. 

Aktiver MTA-STS for e-postene dine i dag ved å ta en gratis DMARC-prøveversjon for e- postautentisering, for å forbedre forsvaret mot MITM og andre cyberavlytningsangrep!