O tão esperado lançamento está finalmente aqui! A Microsoft está a enviar relatórios agregados DMARC RUA aos seus utilizadores e é possível que não o tenham notado. Os relatórios agregados de DMARC da Microsoft são enviados a partir do seguinte endereço de correio electrónico: [email protected]. O ficheiro em bruto do agregado DMARC da Microsoft é enviado em formato XML padrão. A Microsoft abraçou finalmente os relatórios DMARC, o que significa essencialmente que agora os utilizadores do Hotmail, Outlook, Live, e msn.com poderão usufruir dos vários benefícios dos dados agregados DMARC da Microsoft.

Processamento de dados agregados de DMARC da Microsoft

O analisador de relatórios PowerDMARC analisa os dados agregados da Microsoft DMARC num formato organizado que o ajudaria a processá-los de forma mais eficiente.  

Para ajudar os utilizadores a aproveitar os benefícios dos dados agregados dos relatórios enviados pela Microsoft, o PowerDMARC's Analisador de relatórios DMARC foi pré-configurado para receber os seus relatórios directamente na plataforma. Tudo o que os utilizadores precisam de fazer é adicionar os seus domínios na plataforma PowerDMARC juntamente com a configuração do registo DNS DMARC, enquanto nós processamos e apresentamos os relatórios de uma forma fácil e compreensível. Aqui encontrará:

  • DMARC dados agregados enviados do Hotmail, Outlook, Live, e endereços de destinatários msn.com analisados a partir do formato de ficheiro XML bruto em informação simples e legível organizada em tabelas
  • PowerDMARC está pré-configurado para contornar violações do RFC, permitindo-nos receber e analisar os seus dados DMARC enviados por servidores Microsoft sem que tenha de se preocupar com isso
  • Registe vários domínios, monitorize os seus canais de correio electrónico e faça alterações ao DNS directamente a partir do painel de instrumentos com botões accionáveis na ponta dos dedos
  • Filtrar os resultados em categorias variadas tais como por resultado, por fonte de envio, por organização, por país, geolocalização e estatísticas detalhadas ou resultados de pesquisa por domínio na barra de pesquisa
  • Obtenha conhecimentos mais profundos sobre o desempenho das suas mensagens de correio electrónico, e rapidamente capte as tentativas de falsificação de domínios, personificação, ou e-mails falsos enviados utilizando os seus domínios de negócio Microsoft. Poderá também analisar quaisquer falhas SPF, DKIM a partir das suas fontes de envio.

Exibido acima é uma imagem de ecrã dos nossos relatórios agregados DMARC por organização que exibe dados DMARC RUA enviados pela Microsoft.

Questões que poderá estar a enfrentar enquanto trata os Relatórios Agregados DMARC da Microsoft por si próprio

Os Correios Electrónicos Agregados DMARC da Microsoft não são compatíveis com o RFC

A principal questão que os utilizadores têm enfrentado com estes e-mails contendo relatórios enviados pela Microsoft é que não estão em conformidade com as especificações do RFC para e-mails da Internet. Enquanto o RFC 5322 capítulo 2.1.1 afirma claramente que uma linha de caracteres não deve exceder 78 caracteres, os dados anexos BASE64 nestes e-mails agregados DMARC da Microsoft são uma linha contínua sem quebras de linha adequadas que excedam o limite de 78 caracteres. A violação RFC resultante é a razão pela qual a maioria destas mensagens de correio electrónico está a aterrar no registo de rejeição do utilizador em vez de ser entregue na sua caixa de entrada. 

Os ficheiros XML em bruto são difíceis de ler

Tal como os dados DMARC enviados por todas as organizações que elaboram relatórios, o ficheiro RUA em bruto está em linguagem de marcação extensível (XML) que é difícil de ler e compreender.

Pré-requisitos para receber o Microsoft DMARC RUA

Para receber relatórios agregados para os seus domínios em outlook.com, precisa de assegurar que tem um registo PowerDMARC válido publicado no seu DNS, juntamente com uma política DMARC definida. As organizações de relatórios enviarão então dados agregados de relatórios para o seu servidor web ou endereço de correio electrónico especificado. Isto ajudá-lo-á a ganhar visibilidade e conformidade DMARC nos seus vendedores de correio electrónico de terceiros, sobre os quais de outra forma não terá qualquer controlo. 

Proteja os seus domínios no Microsoft Office365 e outros, iniciando hoje a sua viagem de autenticação por correio electrónico. Suba a bordo com um Ensaio DMARC ou agendar um DMARC demoe explore os benefícios de implementar uma postura robusta de segurança de correio electrónico na sua organização!

No caso de se ter deparado com o "Falta a política MTA-STS: STSFetchResult.NONE " enquanto utiliza ferramentas em linha, veio ao sítio certo. Hoje vamos discutir como corrigir esta mensagem de erro e livrar-nos dela, incorporando uma política MTA-STS para o seu domínio.

Simple Mail Transfer Protocol, aka SMTP, é o protocolo padrão de transferência de correio electrónico utilizado pela maioria dos fornecedores de serviços de correio electrónico. Não é um conceito estranho que o SMTP tenha enfrentado desafios de segurança desde o início dos tempos, desafios esses que ainda não foram capazes de encontrar. Isto porque, para tornar os e-mails retrocompatíveis, o SMTP introduziu a encriptação oportunista sob a forma de um comando STARTTLS. Isto significa essencialmente que, no caso de uma ligação encriptada não poder ser negociada entre dois servidores SMTP comunicantes, a ligação é reenviada para uma não encriptada, e as mensagens são enviadas em texto claro. 

Isto torna os e-mails transferidos via SMTP vulneráveis à monitorização invasiva e aos ataques de espionagem cibernética como o Man-in-the-middle. Isto é arriscado tanto para o remetente como para o receptor e pode levar à violação de dados sensíveis. É aqui que o MTA-STS entra e torna a encriptação TLS obrigatória no SMTP para impedir a entrega de e-mails através de ligações não seguras. 

O que é uma Política MTA-STS?

A fim de melhorar a segurança do seu correio electrónico SMTP e tirar o máximo partido de protocolos de autenticação como o MTA-STS, o servidor de envio deve ter suporte para o protocolo e o servidor de recepção de correio electrónico deve ter uma política MTA-STS definida nos seus DNS. Um modo de política aplicada é também encorajado para ampliar ainda mais as normas de segurança. A política MTA-STS define os servidores de correio electrónico que utilizam MTA-STS no domínio do receptor. 

A fim de permitir a MTA-STS para o seu domínio como receptor de correio electrónico, precisa de alojar um ficheiro de política MTA-STS no seu DNS. Isto permite aos remetentes externos de correio electrónico enviar e-mails para o seu domínio que são autenticados e TLS encriptados com uma versão actualizada de TLS (1.2 ou superior). 

Não ter um ficheiro de política publicado ou actualizado para o seu domínio pode ser a principal razão para se deparar com mensagens de erro como "Falta a política MTA-STS: STSFetchResult.NONE", implicando que o servidor do remetente não pôde ir buscar o ficheiro de política da MTA-STS quando consultou o DNS do receptor, descobrindo que este estava em falta.

Pré-requisitos para a MTA-STS:

Os servidores de correio electrónico para os quais a MTA-STS será activada devem utilizar uma versão TLS de 1.2 ou mais, e devem ter em vigor certificados TLS que cumpram as normas e especificações actuais do RFC, não estejam expirados, e certificados de servidor que sejam assinados por uma autoridade de certificação de raiz de confiança.

Passos para corrigir "A política MTA-STS está em falta"

1. Criação e publicação de um registo MTA-STS DNS TXT 

O primeiro passo é a criação de um registo MTA-STS para o seu domínio. Pode criar um registo instantaneamente utilizando um gerador de registos MTA-STS, fornecendo-lhe um registo DNS personalizado para o seu domínio. 

2. Definição de um modo de política MTA-STS

MTA-STS oferece dois modos de política com os quais os utilizadores podem trabalhar.

  • Modo de teste: Este modo é ideal para principiantes que não tenham configurado o protocolo antes. O modo de teste MTA-STS permite-lhe receber relatórios SMTP TLS sobre problemas nas políticas MTA-STS, problemas no estabelecimento de ligações SMTP encriptadas, ou falhas na entrega de correio electrónico. Isto ajuda-o a responder a problemas de segurança existentes relacionados com os seus domínios e servidores sem aplicar a encriptação TLS.
  • Modo de aplicação da força: Enquanto ainda recebe os seus relatórios TLS, ao longo do tempo é óptimo que os utilizadores façam cumprir a sua política MTA-STS para tornar a encriptação obrigatória enquanto recebem e-mails utilizando SMTP. Isto evita que as mensagens sejam alteradas ou adulteradas durante o trânsito.

3. Criação do ficheiro de políticas do MTA-STS

O passo seguinte é hospedar ficheiros de políticas MTA-STS para os seus domínios. Note que embora o conteúdo de cada ficheiro possa ser o mesmo, é obrigatório alojar apólices separadamente para domínios separados, e um único domínio pode ter apenas um único ficheiro de apólices MTA-STS. Vários ficheiros de apólices MTA-STS alojados para um único domínio podem levar a configurações erradas de protocolos. 

O formato padrão para um ficheiro de política MTA-STS é dado abaixo: 

Nome do ficheiro: mta-sts.txt

Tamanho máximo do ficheiro: 64 KB

versão: STSv1

modo: teste

mx: mail.yourdomain.com

mx: *.yourdomain.com

max_age: 806400 

Nota: O ficheiro da apólice apresentado acima é simplesmente um exemplo.

4. Publicação do seu ficheiro de políticas MTA-STS

A seguir, tem de publicar o seu ficheiro de política MTA-STS num servidor web público que seja acessível a servidores externos. Certifique-se de que o servidor em que hospeda o seu ficheiro suporta HTTPS ou SSL. O procedimento para tal é simples. Assumindo que o seu domínio está pré-configurado com um servidor web público:

  • Adicione um subdomínio ao seu domínio existente que deve começar com o texto: mta-sts (por exemplo, mta-sts.domain.com) 
  • O seu ficheiro de apólice indicará este subdomínio que criou e tem de ser armazenado num .bem conhecido directório
  • O URL para o ficheiro de política é adicionado à entrada DNS enquanto publica o seu registo DNS MTA-STS para que o servidor possa consultar o DNS para ir buscar o ficheiro de política durante a transferência de correio electrónico

5. Activar MTA-STS e TLS-RPT

Finalmente, precisa de publicar o seu MTA-STS e TLS-RPT registos DNS no DNS do seu domínio, utilizando TXT como tipo de recurso, colocados em dois subdomínios separados (_smtp._tls e _mta-sts). Isto permitirá que apenas as mensagens encriptadas TLS cheguem à sua caixa de entrada, que são verificadas e inalteradas. Além disso, receberá relatórios diários sobre questões de entrega e encriptação num endereço de correio electrónico ou servidor web configurado por si, a partir de servidores externos.

Pode verificar a validade dos seus registos DNS realizando uma pesquisa de registos MTA-STS após a publicação do seu registo e ao vivo.  

Nota: Sempre que fizer alterações ao conteúdo dos seus ficheiros de política MTA-STS, deve actualizá-lo tanto no servidor web público onde está a alojar o seu ficheiro, como na entrada DNS que contém o URL da sua política. O mesmo se aplica sempre que actualiza ou acrescenta aos seus domínios ou servidores.

Como é que os Hosted MTA-STS Services podem ajudar na resolução da "Política MTA-STS está em falta"?

A implementação manual do MTA-STS pode ser árdua e desafiadora e deixar espaço para erros. PowerDMARC's hospedou MTA-STS ajudam a catapultar o processo para os proprietários de domínios, tornando a implementação do protocolo sem esforço e rápida. Pode:

  • Publique os seus registos CNAME para MTA-STS com alguns cliques
  • Externalizar o árduo trabalho envolvido na manutenção e alojamento dos ficheiros de políticas e servidores web MTA-STS
  • Altere o seu modo de política sempre que desejar, directamente do seu painel de bordo personalizado, sem ter de aceder ao seu DNS
  • Apresentamos o relatório SMTP TLS JSON num formato organizado e legível por humanos, conveniente e compreensível tanto para pessoas técnicas como não técnicas

A melhor coisa? Somos compatíveis com as normas RFC e apoiamos as mais recentes normas TLS. Isto ajuda-o a começar com uma configuração MTA-STS sem erros para o seu domínio, e a desfrutar dos seus benefícios, deixando-nos com os aborrecimentos e complexidades para tratarmos em seu nome! 

Espero que este artigo o tenha ajudado a livrar-se da "política MTA-STS está em falta": STSFetchResult.NONE", e na configuração adequada dos protocolos para o seu domínio a fim de mitigar as lacunas e desafios na segurança SMTP. 

Habilite o MTA-STS para os seus e-mails hoje, tomando um gratuitamente autenticação de e-mail Ensaio DMARCpara melhorar as suas defesas contra o MITM e outros ataques de espionagem cibernética!