Jak naprawić "Brak polityki MTA-STS"?
Czas odczytu: 5 min
Jeśli natknąłeś się na "Brak politykiMTA-STS: STSFetchResult.NONE " podczas korzystania z narzędzi online, trafiłeś we właściwe miejsce. Dzisiaj omówimy, jak naprawić ten komunikat o błędzie i pozbyć się go, włączając politykę M TA-STS dla swojej domeny.
Simple Mail Transfer Protocol, aka SMTP, jest standardowym protokołem przesyłania wiadomości e-mail używanym przez większość dostawców usług poczty elektronicznej. Nie jest obcym pojęciem, że SMTP od zarania dziejów stawiał czoła wyzwaniom związanym z bezpieczeństwem, wyzwaniom, z którymi do tej pory nie udało się uporać. Dzieje się tak dlatego, że aby uczynić e-maile kompatybilnymi wstecz, SMTP wprowadził szyfrowanie oportunistyczne w postaci polecenia STARTTLS. Oznacza to zasadniczo, że w przypadku, gdy szyfrowane połączenie nie może być wynegocjowane pomiędzy dwoma komunikującymi się serwerami SMTP, połączenie zostaje cofnięte do nieszyfrowanego, a wiadomości są wysyłane w czystym tekście.
Sprawia to, że wiadomości e-mail przesyłane za pośrednictwem protokołu SMTP są podatne na wszechobecne monitorowanie i cyberataki podsłuchowe, takie jak Man-in-the-middle. Jest to ryzykowne zarówno dla nadawcy, jak i odbiorcy i może prowadzić do naruszenia poufnych danych. W tym miejscu MTA-STS wkracza do akcji i czyni szyfrowanie TLS obowiązkowym w SMTP, aby powstrzymać dostarczanie wiadomości e-mail przez niezabezpieczone połączenia.
Kluczowe wnioski
- MTA-STS jest niezbędny do egzekwowania obowiązkowego szyfrowania TLS, zmniejszając luki w zabezpieczeniach poczty e-mail podczas transmisji.
- Utworzenie i opublikowanie rekordu MTA-STS DNS TXT jest pierwszym krokiem do włączenia tego standardu dla domeny.
- Wdrożenie polityki MTA-STS w trybie testowym pozwala na monitorowanie i rozwiązywanie potencjalnych problemów z połączeniami SMTP TLS bez natychmiastowego egzekwowania.
- Każda domena musi mieć unikalny plik zasad MTA-STS, ponieważ wiele plików może prowadzić do błędnych konfiguracji i błędów.
- Korzystanie z hostowanych usług MTA-STS może usprawnić proces wdrażania i zapewnić zgodność z najnowszymi standardami TLS.
Co to jest Polityka MTA-STS?
Aby poprawić bezpieczeństwo poczty SMTP i w pełni wykorzystać protokoły uwierzytelniania, takie jak MTA-STS, serwer wysyłający powinien mieć wsparcie dla protokołu, a serwer odbierający pocztę powinien mieć zdefiniowaną politykę MTA-STS w swoim DNS. Zachęca się również do stosowania wymuszonego trybu polityki w celu dalszego wzmocnienia standardów bezpieczeństwa. Polityka MTA-STS definiuje serwery poczty e-mail korzystające z MTA-STS w domenie odbiorcy.
W celu włączenia MTA-STS dla Twojej domeny jako odbiorcy poczty, musisz hostować plik polityki MTA-STS w swoim DNS. To pozwala zewnętrznym nadawcom e-maili wysyłać e-maile do Twojej domeny, które są uwierzytelnione i zaszyfrowane TLS z zaktualizowaną wersją TLS (1.2 lub wyższą).
Brak opublikowanego lub zaktualizowanego pliku polityki dla Twojej domeny może być główną przyczyną napotkania komunikatów o błędach takich jak "Brakuje polityki MTA-STS: STSFetchResult.NONE", co sugeruje, że serwer nadawcy nie mógł pobrać pliku polityki MTA-STS, gdy zapytał DNS odbiorcy, stwierdzając jego brak.
Wymagania wstępne dla MTA-STS:
Serwery pocztowe, dla których MTA-STS będzie włączony, powinny używać TLS w wersji 1.2 lub wyższej, i powinny mieć certyfikaty TLS na miejscu, które są zgodne z aktualnymi standardami i specyfikacjami RFC, nie wygasły, i certyfikaty serwera, które są podpisane przez zaufane władze certyfikatu głównego.
Uprość bezpieczeństwo z PowerDMARC!
Kroki, aby naprawić "Brak polityki MTA-STS"
1. Tworzenie i publikowanie rekordu TXT DNS MTA-STS
Pierwszym krokiem jest stworzenie rekordu MTA-STS dla Twojej domeny. Możesz utworzyć rekord natychmiast przy użyciu generatora rekordów MTA-STS, dostarczając Ci dostosowany do potrzeb rekord DNS dla Twojej domeny.
2. Definiowanie trybu polityki MTA-STS
MTA-STS oferuje dwa tryby polityki, z którymi mogą pracować użytkownicy.
- Tryb testowy: Tryb ten jest idealny dla początkujących użytkowników, którzy nie konfigurowali wcześniej tego protokołu. Tryb testowy MTA-STS pozwala na otrzymywanie raportów SMTP TLS o problemach z polityką MTA-STS, problemach z nawiązywaniem szyfrowanych połączeń SMTP lub nieudanej próbie dostarczenia wiadomości e-mail. Dzięki temu można reagować na istniejące problemy z bezpieczeństwem domen i serwerów bez wymuszania szyfrowania TLS.
- Tryb egzekwowania: Podczas gdy nadal otrzymujesz raporty TLS, z biegiem czasu optymalnym rozwiązaniem dla użytkowników jest egzekwowanie polityki MTA-STS, aby szyfrowanie było obowiązkowe podczas odbierania emaili używając SMTP. Zapobiega to zmianom lub ingerencji w wiadomości w trakcie ich przesyłania.
3. Tworzenie pliku polityki MTA-STS
Kolejnym krokiem jest hostowanie plików polityki MTA-STS dla domen. Zauważ, że chociaż zawartość każdego pliku może być taka sama, obowiązkowe jest hostowanie polityk oddzielnie dla poszczególnych domen, a pojedyncza domena może mieć tylko jeden plik polityki MTA-STS. Wiele plików polityki MTA-STS hostowanych dla jednej domeny może prowadzić do błędnej konfiguracji protokołu.
Standardowy format pliku polityki MTA-STS jest podany poniżej:
Nazwa pliku: mta-sts.txt
Maksymalny rozmiar pliku: 64 KB
wersja: STSv1
tryb: badanie
mx: mail.yourdomain.com
mx: *.yourdomain.com
max_age: 806400
Uwaga: Przedstawiony powyżej plik polityki jest jedynie przykładem.
4. Publikowanie pliku polityki MTA-STS
Następnie należy opublikować plik polityki MTA-STS na publicznym serwerze internetowym, który jest dostępny dla serwerów zewnętrznych. Upewnij się, że serwer, na którym hostujesz plik, obsługuje protokół HTTPS lub SSL. Procedura jest prosta. Zakładając, że domena jest wstępnie skonfigurowana z publicznym serwerem WWW:
- Dodaj subdomenę do istniejącej domeny, która powinna zaczynać się od tekstu: mta-sts (np. mta-sts.domain.com)
- Twój plik polityki będzie wskazywał na tę subdomenę, którą stworzyłeś i musi być przechowywany w katalogu .well-known directory
- Adres URL dla pliku polityki jest dodawany do wpisu DNS podczas publikowania rekordu DNS MTA-STS, tak aby serwer mógł odpytywać DNS w celu pobrania pliku polityki podczas przesyłania wiadomości e-mail.
5. Aktywować MTA-STS i TLS-RPT
Na koniec, musisz opublikować swoje MTA-STS i TLS-RPT rekordy DNS w DNS domeny, używając TXT jako typu zasobu, umieszczone na dwóch oddzielnych subdomenach (_smtp._tls i _mta-sts). Dzięki temu do Twojej skrzynki pocztowej będą trafiać tylko wiadomości szyfrowane TLS, które są sprawdzone i niezakłócone. Ponadto będziesz otrzymywał codzienne raporty z zewnętrznych serwerów o problemach z dostarczeniem i szyfrowaniem na skonfigurowany przez Ciebie adres email lub serwer www.
Możesz zweryfikować ważność swoich rekordów DNS wykonując MTA-STS record lookup po tym jak Twój rekord zostanie opublikowany i będzie działał.
Uwaga: Za każdym razem, gdy dokonujesz zmian w zawartości plików polityki MTA-STS, musisz ją zaktualizować zarówno na publicznym serwerze WWW, na którym hostujesz swój plik, jak i we wpisie DNS, który zawiera adres URL polityki. To samo dotyczy każdej aktualizacji lub dodania do domen lub serwerów.
Jak usługi Hosted MTA-STS Services mogą pomóc w rozwiązaniu problemu "MTA-STS Policy is Missing"?
Ręczne wdrażanie MTA-STS może być żmudne i wymagające oraz pozostawiać miejsce na błędy. PowerDMARC's hostowane usługi MTA-STS pomagają właścicielom domen przyspieszyć ten proces, sprawiając, że wdrażanie protokołu jest łatwe i szybkie. Możesz:
- Opublikuj swoje rekordy CNAME dla MTA-STS za pomocą kilku kliknięć.
- Zleć na zewnątrz ciężką pracę związaną z utrzymaniem i hostingiem plików polityki MTA-STS i serwerów internetowych
- Zmieniaj tryb polityki, kiedy tylko chcesz, bezpośrednio z dostosowanego do Twoich potrzeb pulpitu nawigacyjnego, bez konieczności dostępu do DNS.
- Wyświetlamy pliki JSON z raportami SMTP TLS w zorganizowanym i czytelnym dla człowieka formacie, który jest wygodny i zrozumiały zarówno dla osób technicznych jak i nietechnicznych.
Najlepsza rzecz? Jesteśmy zgodni z RFC i obsługujemy najnowsze standardy TLS. To pomoże Ci rozpocząć bezbłędną konfigurację MTA-STS dla Twojej domeny i cieszyć się jej korzyściami, pozostawiając kłopoty i zawiłości dla nas, abyśmy zajęli się nimi w Twoim imieniu!
Mam nadzieję, że ten artykuł pomógł Ci pozbyć się monitu "Brak polityki MTA-STS: STSFetchResult.NONE" oraz w skonfigurowaniu protokołów poprawnie dla Twojej domeny, aby zniwelować luki i wyzwania w bezpieczeństwie SMTP.
Włącz MTA-STS dla swoich wiadomości e-mail już dziś, korzystając z bezpłatnego uwierzytelnianie poczty elektronicznej Próba DMARCaby poprawić swoją obronę przed MITM i innymi cybernetycznymi atakami podsłuchowymi!
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- Czym jest phishing AI? Przewodnik po nowych zagrożeniach cybernetycznych – 11 grudnia 2025 r.
- Powstrzymaj spam: Chroń swoją reputację nadawcy - 29 listopada 2025 r.
- Przewodnik po konfiguracji ActiveCampaign DKIM, DMARC i SPF - 25 listopada 2025 r.
