W przypadku, gdy natknąłeś się na "Brakuje polityki MTA-STS: STSFetchResult.NONE " podczas korzystania z narzędzi online, trafiłeś we właściwe miejsce. Dziś zamierzamy omówić, jak naprawić ten komunikat o błędzie i pozbyć się go poprzez włączenie polityki MTA-STS dla domeny.

Simple Mail Transfer Protocol, aka SMTP, jest standardowym protokołem przesyłania wiadomości e-mail używanym przez większość dostawców usług poczty elektronicznej. Nie jest obcym pojęciem, że SMTP od zarania dziejów stawiał czoła wyzwaniom związanym z bezpieczeństwem, wyzwaniom, z którymi do tej pory nie udało się uporać. Dzieje się tak dlatego, że aby uczynić e-maile kompatybilnymi wstecz, SMTP wprowadził szyfrowanie oportunistyczne w postaci polecenia STARTTLS. Oznacza to zasadniczo, że w przypadku, gdy szyfrowane połączenie nie może być wynegocjowane pomiędzy dwoma komunikującymi się serwerami SMTP, połączenie zostaje cofnięte do nieszyfrowanego, a wiadomości są wysyłane w czystym tekście. 

To sprawia, że e-maile przesyłane za pomocą SMTP są podatne na wszechobecny monitoring i ataki podsłuchowe typu Man-in-the-middle. Jest to ryzykowne zarówno dla nadawcy jak i odbiorcy i może prowadzić do naruszenia poufnych danych. MTA-STS wprowadza szyfrowanie TLS w protokole SMTP, aby uniemożliwić dostarczanie wiadomości przez niezabezpieczone połączenia. 

Co to jest Polityka MTA-STS?

Aby poprawić bezpieczeństwo poczty SMTP i w pełni wykorzystać protokoły uwierzytelniania takie jak MTA-STS, serwer wysyłający powinien mieć wsparcie dla tego protokołu, a serwer odbierający pocztę powinien mieć zdefiniowaną politykę MTA-STS w swoim DNS. Tryb wymuszonej polityki jest również zalecany w celu dalszego wzmocnienia standardów bezpieczeństwa. Polityka MTA-STS definiuje serwery pocztowe używające MTA-STS w domenie odbiorcy. 

W celu włączenia MTA-STS dla Twojej domeny jako odbiorcy poczty, musisz hostować plik polityki MTA-STS w swoim DNS. To pozwala zewnętrznym nadawcom e-maili wysyłać e-maile do Twojej domeny, które są uwierzytelnione i zaszyfrowane TLS z zaktualizowaną wersją TLS (1.2 lub wyższą). 

Brak opublikowanego lub zaktualizowanego pliku polityki dla Twojej domeny może być główną przyczyną napotkania komunikatów o błędach takich jak "Brakuje polityki MTA-STS: STSFetchResult.NONE", co sugeruje, że serwer nadawcy nie mógł pobrać pliku polityki MTA-STS, gdy zapytał DNS odbiorcy, stwierdzając jego brak.

Wymagania wstępne dla MTA-STS:

Serwery pocztowe, dla których MTA-STS będzie włączony, powinny używać TLS w wersji 1.2 lub wyższej, i powinny mieć certyfikaty TLS na miejscu, które są zgodne z aktualnymi standardami i specyfikacjami RFC, nie wygasły, i certyfikaty serwera, które są podpisane przez zaufane władze certyfikatu głównego.

Kroki, aby naprawić "Brak polityki MTA-STS"

1. Tworzenie i publikowanie rekordu TXT DNS MTA-STS 

Pierwszym krokiem jest stworzenie rekordu MTA-STS dla Twojej domeny. Możesz utworzyć rekord natychmiast przy użyciu generatora rekordów MTA-STS, dostarczając Ci dostosowany do potrzeb rekord DNS dla Twojej domeny. 

2. Definiowanie trybu polityki MTA-STS

MTA-STS oferuje dwa tryby polityki, z którymi mogą pracować użytkownicy.

  • Tryb testowy: Tryb ten jest idealny dla początkujących użytkowników, którzy nie konfigurowali wcześniej tego protokołu. Tryb testowy MTA-STS pozwala na otrzymywanie raportów SMTP TLS o problemach z polityką MTA-STS, problemach z nawiązywaniem szyfrowanych połączeń SMTP lub nieudanej próbie dostarczenia wiadomości e-mail. Dzięki temu można reagować na istniejące problemy z bezpieczeństwem domen i serwerów bez wymuszania szyfrowania TLS.
  • Tryb egzekwowania: Podczas gdy nadal otrzymujesz raporty TLS, z biegiem czasu optymalnym rozwiązaniem dla użytkowników jest egzekwowanie polityki MTA-STS, aby szyfrowanie było obowiązkowe podczas odbierania emaili używając SMTP. Zapobiega to zmianom lub ingerencji w wiadomości w trakcie ich przesyłania.

3. Tworzenie pliku polityki MTA-STS

Kolejnym krokiem jest hostowanie plików polityki MTA-STS dla domen. Zauważ, że chociaż zawartość każdego pliku może być taka sama, obowiązkowe jest hostowanie polityk oddzielnie dla poszczególnych domen, a pojedyncza domena może mieć tylko jeden plik polityki MTA-STS. Wiele plików polityki MTA-STS hostowanych dla jednej domeny może prowadzić do błędnej konfiguracji protokołu. 

Standardowy format pliku polityki MTA-STS jest podany poniżej: 

Nazwa pliku: mta-sts.txt

Maksymalny rozmiar pliku: 64 KB

wersja: STSv1

tryb: badanie

mx: mail.yourdomain.com

mx: *.yourdomain.com

max_age: 806400 

Uwaga: Przedstawiony powyżej plik polityki jest jedynie przykładem.

4. Publikowanie pliku polityki MTA-STS

Następnie należy opublikować plik z polityką MTA-STS na publicznym serwerze WWW, który jest dostępny dla zewnętrznych serwerów. Upewnij się, że serwer, na którym hostujesz plik obsługuje HTTPS lub SSL. Procedura jest prosta. Zakładając, że twoja domena jest wstępnie skonfigurowana z publicznym serwerem WWW:

  • Dodaj subdomenę do istniejącej domeny, która powinna zaczynać się od tekstu: mta-sts (np. mta-sts.domain.com) 
  • Twój plik polityki będzie wskazywał na tę subdomenę, którą stworzyłeś i musi być przechowywany w katalogu .well-known directory
  • Adres URL dla pliku polityki jest dodawany do wpisu DNS podczas publikowania rekordu DNS MTA-STS, tak aby serwer mógł odpytywać DNS w celu pobrania pliku polityki podczas przesyłania wiadomości e-mail.

5. Aktywować MTA-STS i TLS-RPT

Na koniec, musisz opublikować swoje MTA-STS i TLS-RPT rekordy DNS w DNS domeny, używając TXT jako typu zasobu, umieszczone na dwóch oddzielnych subdomenach (_smtp._tls i _mta-sts). Dzięki temu do Twojej skrzynki pocztowej będą trafiać tylko wiadomości szyfrowane TLS, które są sprawdzone i niezakłócone. Ponadto będziesz otrzymywał codzienne raporty z zewnętrznych serwerów o problemach z dostarczeniem i szyfrowaniem na skonfigurowany przez Ciebie adres email lub serwer www.

Możesz zweryfikować ważność swoich rekordów DNS wykonując MTA-STS record lookup po tym jak Twój rekord zostanie opublikowany i będzie działał.  

Uwaga: Za każdym razem, gdy dokonujesz zmian w zawartości plików polityki MTA-STS, musisz ją zaktualizować zarówno na publicznym serwerze WWW, na którym hostujesz swój plik, jak i we wpisie DNS, który zawiera adres URL polityki. To samo dotyczy każdej aktualizacji lub dodania do domen lub serwerów.

Jak usługi Hosted MTA-STS Services mogą pomóc w rozwiązaniu problemu "MTA-STS Policy is Missing"?

Ręczne wdrażanie MTA-STS może być żmudne i wymagające oraz pozostawiać miejsce na błędy. PowerDMARC's hostowane usługi MTA-STS pomagają właścicielom domen przyspieszyć ten proces, sprawiając, że wdrażanie protokołu jest łatwe i szybkie. Możesz:

  • Opublikuj swoje rekordy CNAME dla MTA-STS za pomocą kilku kliknięć.
  • Zleć na zewnątrz ciężką pracę związaną z utrzymaniem i hostingiem plików polityki MTA-STS i serwerów internetowych
  • Zmieniaj tryb polityki, kiedy tylko chcesz, bezpośrednio z dostosowanego do Twoich potrzeb pulpitu nawigacyjnego, bez konieczności dostępu do DNS.
  • Wyświetlamy pliki JSON z raportami SMTP TLS w zorganizowanym i czytelnym dla człowieka formacie, który jest wygodny i zrozumiały zarówno dla osób technicznych jak i nietechnicznych.

Najlepsza rzecz? Jesteśmy zgodni z RFC i obsługujemy najnowsze standardy TLS. To pomoże Ci rozpocząć bezbłędną konfigurację MTA-STS dla Twojej domeny i cieszyć się jej korzyściami, pozostawiając kłopoty i zawiłości dla nas, abyśmy zajęli się nimi w Twoim imieniu! 

Mam nadzieję, że ten artykuł pomógł Ci pozbyć się monitu "Brak polityki MTA-STS: STSFetchResult.NONE" oraz w skonfigurowaniu protokołów poprawnie dla Twojej domeny, aby zniwelować luki i wyzwania w bezpieczeństwie SMTP. 

Włącz MTA-STS dla swoich wiadomości e-mail już dziś, korzystając z bezpłatnego uwierzytelnianie poczty elektronicznej Próba DMARCaby poprawić swoją obronę przed MITM i innymi cybernetycznymi atakami podsłuchowymi!