No caso de se ter deparado com o "Falta a política MTA-STS: STSFetchResult.NONE " enquanto utiliza ferramentas em linha, veio ao sítio certo. Hoje vamos discutir como corrigir esta mensagem de erro e livrar-nos dela, incorporando uma política MTA-STS para o seu domínio.

Simple Mail Transfer Protocol, aka SMTP, é o protocolo padrão de transferência de correio electrónico utilizado pela maioria dos fornecedores de serviços de correio electrónico. Não é um conceito estranho que o SMTP tenha enfrentado desafios de segurança desde o início dos tempos, desafios esses que ainda não foram capazes de encontrar. Isto porque, para tornar os e-mails retrocompatíveis, o SMTP introduziu a encriptação oportunista sob a forma de um comando STARTTLS. Isto significa essencialmente que, no caso de uma ligação encriptada não poder ser negociada entre dois servidores SMTP comunicantes, a ligação é reenviada para uma não encriptada, e as mensagens são enviadas em texto claro. 

Isto torna os e-mails transferidos via SMTP vulneráveis à monitorização invasiva e aos ataques de espionagem cibernética como o Man-in-the-middle. Isto é arriscado tanto para o remetente como para o receptor e pode levar à violação de dados sensíveis. É aqui que o MTA-STS entra e torna a encriptação TLS obrigatória no SMTP para impedir a entrega de e-mails através de ligações não seguras. 

O que é uma Política MTA-STS?

A fim de melhorar a segurança do seu correio electrónico SMTP e tirar o máximo partido de protocolos de autenticação como o MTA-STS, o servidor de envio deve ter suporte para o protocolo e o servidor de recepção de correio electrónico deve ter uma política MTA-STS definida nos seus DNS. Um modo de política aplicada é também encorajado para ampliar ainda mais as normas de segurança. A política MTA-STS define os servidores de correio electrónico que utilizam MTA-STS no domínio do receptor. 

A fim de permitir a MTA-STS para o seu domínio como receptor de correio electrónico, precisa de alojar um ficheiro de política MTA-STS no seu DNS. Isto permite aos remetentes externos de correio electrónico enviar e-mails para o seu domínio que são autenticados e TLS encriptados com uma versão actualizada de TLS (1.2 ou superior). 

Não ter um ficheiro de política publicado ou actualizado para o seu domínio pode ser a principal razão para se deparar com mensagens de erro como "Falta a política MTA-STS: STSFetchResult.NONE", implicando que o servidor do remetente não pôde ir buscar o ficheiro de política da MTA-STS quando consultou o DNS do receptor, descobrindo que este estava em falta.

Pré-requisitos para a MTA-STS:

Os servidores de correio electrónico para os quais a MTA-STS será activada devem utilizar uma versão TLS de 1.2 ou mais, e devem ter em vigor certificados TLS que cumpram as normas e especificações actuais do RFC, não estejam expirados, e certificados de servidor que sejam assinados por uma autoridade de certificação de raiz de confiança.

Passos para corrigir "A política MTA-STS está em falta"

1. Criação e publicação de um registo MTA-STS DNS TXT 

O primeiro passo é a criação de um registo MTA-STS para o seu domínio. Pode criar um registo instantaneamente utilizando um gerador de registos MTA-STS, fornecendo-lhe um registo DNS personalizado para o seu domínio. 

2. Definição de um modo de política MTA-STS

MTA-STS oferece dois modos de política com os quais os utilizadores podem trabalhar.

  • Modo de teste: Este modo é ideal para principiantes que não tenham configurado o protocolo antes. O modo de teste MTA-STS permite-lhe receber relatórios SMTP TLS sobre problemas nas políticas MTA-STS, problemas no estabelecimento de ligações SMTP encriptadas, ou falhas na entrega de correio electrónico. Isto ajuda-o a responder a problemas de segurança existentes relacionados com os seus domínios e servidores sem aplicar a encriptação TLS.
  • Modo de aplicação da força: Enquanto ainda recebe os seus relatórios TLS, ao longo do tempo é óptimo que os utilizadores façam cumprir a sua política MTA-STS para tornar a encriptação obrigatória enquanto recebem e-mails utilizando SMTP. Isto evita que as mensagens sejam alteradas ou adulteradas durante o trânsito.

3. Criação do ficheiro de políticas do MTA-STS

O passo seguinte é hospedar ficheiros de políticas MTA-STS para os seus domínios. Note que embora o conteúdo de cada ficheiro possa ser o mesmo, é obrigatório alojar apólices separadamente para domínios separados, e um único domínio pode ter apenas um único ficheiro de apólices MTA-STS. Vários ficheiros de apólices MTA-STS alojados para um único domínio podem levar a configurações erradas de protocolos. 

O formato padrão para um ficheiro de política MTA-STS é dado abaixo: 

Nome do ficheiro: mta-sts.txt

Tamanho máximo do ficheiro: 64 KB

versão: STSv1

modo: teste

mx: mail.yourdomain.com

mx: *.yourdomain.com

max_age: 806400 

Nota: O ficheiro da apólice apresentado acima é simplesmente um exemplo.

4. Publicação do seu ficheiro de políticas MTA-STS

A seguir, tem de publicar o seu ficheiro de política MTA-STS num servidor web público que seja acessível a servidores externos. Certifique-se de que o servidor em que hospeda o seu ficheiro suporta HTTPS ou SSL. O procedimento para tal é simples. Assumindo que o seu domínio está pré-configurado com um servidor web público:

  • Adicione um subdomínio ao seu domínio existente que deve começar com o texto: mta-sts (por exemplo, mta-sts.domain.com) 
  • O seu ficheiro de apólice indicará este subdomínio que criou e tem de ser armazenado num .bem conhecido directório
  • O URL para o ficheiro de política é adicionado à entrada DNS enquanto publica o seu registo DNS MTA-STS para que o servidor possa consultar o DNS para ir buscar o ficheiro de política durante a transferência de correio electrónico

5. Activar MTA-STS e TLS-RPT

Finalmente, precisa de publicar o seu MTA-STS e TLS-RPT registos DNS no DNS do seu domínio, utilizando TXT como tipo de recurso, colocados em dois subdomínios separados (_smtp._tls e _mta-sts). Isto permitirá que apenas as mensagens encriptadas TLS cheguem à sua caixa de entrada, que são verificadas e inalteradas. Além disso, receberá relatórios diários sobre questões de entrega e encriptação num endereço de correio electrónico ou servidor web configurado por si, a partir de servidores externos.

Pode verificar a validade dos seus registos DNS realizando uma pesquisa de registos MTA-STS após a publicação do seu registo e ao vivo.  

Nota: Sempre que fizer alterações ao conteúdo dos seus ficheiros de política MTA-STS, deve actualizá-lo tanto no servidor web público onde está a alojar o seu ficheiro, como na entrada DNS que contém o URL da sua política. O mesmo se aplica sempre que actualiza ou acrescenta aos seus domínios ou servidores.

Como é que os Hosted MTA-STS Services podem ajudar na resolução da "Política MTA-STS está em falta"?

A implementação manual do MTA-STS pode ser árdua e desafiadora e deixar espaço para erros. PowerDMARC's hospedou MTA-STS ajudam a catapultar o processo para os proprietários de domínios, tornando a implementação do protocolo sem esforço e rápida. Pode:

  • Publique os seus registos CNAME para MTA-STS com alguns cliques
  • Externalizar o árduo trabalho envolvido na manutenção e alojamento dos ficheiros de políticas e servidores web MTA-STS
  • Altere o seu modo de política sempre que desejar, directamente do seu painel de bordo personalizado, sem ter de aceder ao seu DNS
  • Apresentamos o relatório SMTP TLS JSON num formato organizado e legível por humanos, conveniente e compreensível tanto para pessoas técnicas como não técnicas

A melhor coisa? Somos compatíveis com as normas RFC e apoiamos as mais recentes normas TLS. Isto ajuda-o a começar com uma configuração MTA-STS sem erros para o seu domínio, e a desfrutar dos seus benefícios, deixando-nos com os aborrecimentos e complexidades para tratarmos em seu nome! 

Espero que este artigo o tenha ajudado a livrar-se da "política MTA-STS está em falta": STSFetchResult.NONE", e na configuração adequada dos protocolos para o seu domínio a fim de mitigar as lacunas e desafios na segurança SMTP. 

Habilite o MTA-STS para os seus e-mails hoje, tomando um gratuitamente autenticação de e-mail Ensaio DMARCpara melhorar as suas defesas contra o MITM e outros ataques de espionagem cibernética!

Tanto as empresas como as startups preferem frequentemente externalizar os seus e-mails comerciais e de marketing. Isto envolve serviços de terceiros que tratam de tudo, desde a gestão de listas a eventos de rastreio até à monitorização da entregabilidade. Mas estes serviços de terceiros também aumentam o risco, abrindo oportunidades para actores maliciosos se fazerem passar por marcas através da falsificação de domínios e da implementação de ataques de phishing em receptores insuspeitos.

Foi noticiado que cerca de um terço de todas as mensagens de spam que circulam na Internet contêm conteúdos relacionados com negócios. As empresas e organizações podem ser vítimas destas mensagens se não implementarem as salvaguardas apropriadas, e a utilização de vendedores terceiros para o envio de mensagens de correio electrónico pode ser um factor que contribua significativamente.

Integrando DMARC com todos os seus terceiros podem ajudá-lo a prevenir ataques de spoofing, phishing e malware que se infiltram no seu domínio.

Porque é importante alinhar as suas fontes de envio de correio electrónico?

O correio electrónico é fundamental para o sucesso de qualquer negócio porque permite às empresas manterem-se em contacto com os seus clientes e potenciais clientes. É amplamente utilizado como meio primário de comunicação e pesquisa de mercado, e a sua importância só aumentará à medida que o tempo avance. Qualquer que seja o fornecedor de emails que utilize para enviar os seus emails, certifique-se de verificar se ele suporta o envio de emails em conformidade com DMARC em seu nome. 

DMARC é um protocolo de segurança de correio electrónico para ajudar a prevenir ataques de phishing, falsificação de domínios, e BEC. Mas para ser verdadeiramente eficaz, uma empresa precisa de trabalhar em estreita colaboração com todos os seus terceiros, para que todas as mensagens de correio electrónico sejam compatíveis com o DMARC.

Tornar os seus fornecedores de terceiros compatíveis com o DMARC

Para estabelecer uma política DMARC eficaz, deve contactar os seus fornecedores terceiros para trabalhar em conjunto consigo na melhor forma de lidar com correio electrónico que falhe a validação. Pode revelar-se benéfico explicar as vantagens do DMARC, responder a perguntas sobre o seu funcionamento e recomendar soluções que os ajudem a implementar plenamente o DMARC.

Cada terceiro é diferente, com o seu próprio processo de configuração do SPF e DKIM, que terá de planear. Para determinar a melhor estratégia, é necessário estar ciente de como cada parceiro envia campanhas de marketing por e-mail, para além das suas capacidades de rastreio técnico, características de relatório, e capacidades de integração. Embora o processo possa parecer pesado e fastidioso, existem algumas formas fáceis de acelerar as coisas do seu lado:

  • Pode criar um subdomínio personalizado para cada um dos seus vendedores de e-mail e deixá-los tratar da autenticação SPF e DKIM para esse domínio. Neste caso, o vendedor de correio electrónico utiliza o seu servidor de correio electrónico para enviar os seus e-mails. O vendedor publica os seus registos SPF e DKIM no DNS do seu subdomínio. Se não configurar uma política DMARC separada para este subdomínio consignado, a política DMARC para o seu subdomínio principal é automaticamente cobrada sobre o seu subdomínio.
  • Em alternativa, o fornecedor terceirizado pode utilizar os seus servidores de correio enquanto envia e-mails aos seus clientes a partir do seu domínio. Isto por defeito assegura que se tiver uma política DMARC para o seu domínio, os e-mails enviados serão automaticamente compatíveis com DMARC. Certifique-se de que actualiza os seus registos SPF e DKIM para incluir os referidos terceiros para garantir que estes sejam alistados como fonte de envio autorizada. 

Criação de registos SPF, DKIM, e DMARC para os seus fornecedores terceiros

  • Certifique-se de que está a actualizar o seu registo SPF existente para incluir estas fontes de envio de correio electrónico. Por exemplo, se usar MailChimp como fornecedor de e-mail para enviar e-mails de marketing em nome da sua organização, precisa de actualizar o seu registo SPF existente ou criar um novo registo (no caso de não ter um em vigor) que inclua MailChimp como remetente autorizado. Isto pode ser feito adicionando um mecanismo ou endereços IP específicos utilizados pelo fornecedor enquanto envia os seus emails.
  • A seguir, terá de solicitar ao seu fornecedor que gere um par de chaves DKIM para o seu domínio personalizado. Utilizariam a chave privada para assinar os seus e-mails enquanto os enviavam, e a chave pública precisa de ser publicada por si no seu DNS virado para o público. A chave privada é comparada com a chave pública no seu DNS pelos seus receptores, durante a verificação.

Pode ler os nossos base de conhecimentos de autenticação de e-mail artigos para obter instruções passo a passo e fáceis de seguir sobre como configurar DMARC, SPF, e DKIM para vários vendedores terceiros que possa estar a utilizar.

No PowerDMARC, fornecemos soluções para a implementação e monitorização de DMARC para o ajudar a garantir a máxima conformidade com DMARC. Fornecemos soluções escaláveis de monitorização de DMARC com as capacidades mais profundas do mercado para o ajudar a gerir as suas práticas de envio em coordenação com as práticas de envio dos seus vendedores. 

Com os nossos recursos e perícia, podemos retirar as conjecturas da conformidade com DMARC ao mesmo tempo que entregamos relatórios analíticos que identificam os que estão e os que não estão em conformidade. Inscreva-se gratuitamente Ensaio DMARC hoje!

O e-mail é uma das ferramentas mais eficazes para divulgar a sua mensagem, quer seja para marketing ou para uso comercial. No entanto, também apresenta ameaças à segurança se não estiver a proteger contra elas. DMARC ajuda a resolver este problema, dando-lhe o controlo total de todo o correio electrónico que utiliza o seu nome de domínio. O DMARC é um passo maciço para assegurar que as mensagens de correio electrónico honestas se mantenham honestas, e as mensagens maliciosas são protegidas de chegar às caixas de entrada. O PowerDMARC sempre acreditou nesta missão e trabalhou arduamente para garantir que as especificações DMARC fossem seguidas em todo o nosso ecossistema.

Porque é que o seu e-mail não é seguro?

A falsificação de emails ocorre quando um atacante forja o endereço "De" para fazer parecer que o correio vem de uma fonte autorizada e legítima. O termo pode referir-se tanto a clientes de correio electrónico como a ataques de servidores. A falsificação do cliente de correio electrónico refere-se à falsificação do endereço "De", "Para" e/ou "Assunto" de correio que provém de um cliente específico. A falsificação do servidor refere-se à falsificação destes endereços em mensagens que têm origem num servidor específico. 

A falsificação de emails é um problema sério, especialmente se estiver a gerir um website legítimo que tenha um formulário de inscrição de emails. Como os endereços de correio electrónico são frequentemente o alvo principal dos spammers que utilizam técnicas de spoofing de correio electrónico, a sua lista de correio electrónico pode ficar rapidamente comprometida. Isto causará grandes dores de cabeça quando tiver de desactivar os formulários de inscrição ou tiver de cancelar manualmente a inscrição de membros de cada uma das suas newsletters ou outras listas.

Como pode o DMARC ajudar?

A Política DMARC permite assumir o controlo sobre a falsificação de correio electrónico, phishing, e outras formas de abuso de correio electrónico e de domínio. Utilizado em combinação com SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), este poderoso mecanismo torna muito mais difícil para os cibercriminosos enviar correio electrónico utilizando o seu nome de domínio sem a sua permissão.

Se não tiver um registo DMARC em vigor, recomendamos-lhe que utilize o nosso Gerador de registos DMARC ferramenta para criar um registo TXT personalizado para o seu domínio e implementar o protocolo. Lembre-se de mudar para uma política de rejeição de DMARC para obter protecção contra ameaças de personificação.

Rastreie o seu fluxo de e-mail para uma entrega consistente

Se quer ficar a par dos seus atacantes, precisa de aproveitar os benefícios do relatório DMARC hoje! Fornece-lhe uma grande quantidade de informações sobre as suas fontes de envio de correio electrónico e tentativas de entrega falhadas. Pode aproveitar a informação para responder a ameaças mais rapidamente, bem como monitorizar o desempenho dos seus emails para assegurar a consistência na entregabilidade. 

Para manter a saúde da segurança de correio electrónico do seu domínio, é imperativo que os seus protocolos de autenticação estejam livres de quaisquer erros sintácticos ou de configuração. Conduza um Verificação DMARC de vez em quando para assegurar que o seu registo DMARC está a funcionar correctamente.

A Autenticação, Comunicação e Conformidade de Mensagens baseada no Domínio(DMARC) é uma norma concebida para alinhar os métodos de autenticação de mensagens de correio electrónico para autenticar o nome de domínio de um remetente de correio electrónico. Fornece um quadro consistente para autores, operadores, e consumidores destes mecanismos de autenticação de correio electrónico trabalharem em conjunto na redução do spam de correio electrónico. Um analisador DMARC ajuda-o a detectar quando um terceiro não autorizado está a utilizar indevidamente o seu domínio, quer através da falsificação de correio electrónico legítimo, quer através da realização de campanhas de phishing.

Em termos de vantagens, o DMARC tem algo a oferecer tanto para o remetente como para o destinatário dos e-mails. Vamos descobrir quais são eles:

Vantagens para os remetentes de e-mail

Entregabilidade melhorada do correio electrónico

Uma das principais vantagens que protocolos de autenticação de correio electrónico como o DMARC apresentam aos proprietários de domínios (remetentes de correio electrónico) é uma melhor taxa de entregabilidade de correio electrónico. O DMARC assegura que os e-mails legítimos do remetente não sejam desnecessariamente marcados como spam ou bloqueados fora da caixa de entrada do receptor. Isto proporciona uma maior probabilidade de os seus e-mails de marketing serem lidos, permitindo aos seus potenciais clientes repararem mais em si.

Ameaças de personificação reduzidas

Os ataques de imitação são muito comuns para empresas em linha, quer seja uma empresa estabelecida ou uma empresa em fase de arranque. Pode deixar uma impressão duradoura nos seus clientes, afectar a credibilidade da sua marca e levar à perda de clientes. DMARC protege a sua marca de ser utilizada para fins maliciosos, através do processo de verificação de identidade. Isto sustenta a sua boa vontade e reputação a longo prazo.

Relatórios e Monitorização DMARC

Para além da protecção da identidade, o DMARC também se candidata a um mecanismo de informação que ajuda os proprietários de domínios a manter-se a par de quaisquer tentativas de personificação feitas no seu domínio. Podem acompanhar as mensagens de correio electrónico que não sejam entregues devido a falhas nas verificações de autenticação, permitindo-lhes reduzir o seu tempo de resposta à ameaça. Tudo o que precisam de fazer é configurar um analisador de relatórios DMARC para visualizar facilmente os seus relatórios através de um único painel de vidro.

Vantagens para os receptores de e-mail

Protecção contra ataques de Phishing

O DMARC não é apenas um lote de segurança para o remetente do e-mail, mas também para o receptor. Já sabemos que um ataque de falsificação normalmente termina com o phishing. O receptor de um e-mail falso corre um risco elevado de cair em ataques de phishing que visam roubar as suas credenciais bancárias, e/ou outras informações sensíveis. O DMARC ajuda a reduzir drasticamente o risco de phishing por correio electrónico.

Protecção contra o Ransomware

Por vezes, os e-mails falsos contêm links para descarregar o serviço de resgate para o sistema do receptor. Isto pode levar a que os receptores de correio electrónico sejam mantidos reféns à mercê de actores ameaçadores que pedem resgates pesados. Quando o destinatário é um empregado da organização personificada, os riscos para a empresa são ainda maiores. O DMARC actua como uma linha primária de defesa contra os resgates, impedindo que os destinatários de correio electrónico sejam mantidos como reféns.

Promove uma experiência de e-mail segura

O DMARC ajuda a promover uma experiência de correio electrónico segura tanto para o remetente como para o destinatário. Ajuda ambas as partes a envolverem-se numa troca de informação lúcida e sem obstáculos, sem medo de serem enganadas ou imitadas por ciberataqueiros.

Para beneficiar dos serviços DMARC, obtenha hoje mesmo o seu teste DMARC grátis!

 

Estamos aqui para esclarecer, de uma vez por todas, uma das preocupações mais comuns levantadas pelos proprietários de domínios. Será que uma política de rejeição de DMARC prejudicará a sua capacidade de entrega de correio electrónico? Resposta longa curta: Não. Uma política de rejeição DMARC só pode prejudicar a sua capacidade de entrega de correio electrónico quando tiver configurado incorrectamente DMARC para o seu domínio, ou quando tiver tomado uma política DMARC aplicada de forma demasiado casual para não permitir a elaboração de relatórios DMARC para o seu domínio. Idealmente, o DMARC é concebido para melhorar as suas taxas de entregabilidade de correio electrónico ao longo do tempo .

O que é uma Política de Rejeição DMARC?

Uma política de rejeição de DMARC é um estado de aplicação máxima de DMARC. Isto significa que se um e-mail for enviado de uma fonte que falhe a autenticação DMARC, esse e-mail seria rejeitado pelo servidor do receptor e não lhe seria entregue. Uma política de rejeição de DMARC é benéfica para as organizações, uma vez que ajuda os proprietários de domínios a pôr fim aos ataques de phishing, à falsificação directa de domínios, e ao compromisso de correio electrónico comercial.

Quando deve configurar esta política?

Como peritos em DMARC, PowerDMARC recomenda que, embora seja um novato em autenticação de correio electrónico, DMARC em monitorização apenas é a melhor opção para si. Isto ajudá-lo-ia a ficar à vontade com o protocolo, ao mesmo tempo que acompanha o desempenho e a entregabilidade do seu correio electrónico. Saiba como pode monitorizar facilmente os seus domínios na secção seguinte.

Quando estiver suficientemente confiante para adoptar uma política mais rigorosa, pode então configurar o seu domínio com p=rejeição/quarantena. Como utilizador de DMARC, a sua principal agenda deve ser impedir os atacantes de se fazerem passar por si e de enganar os seus clientes, o que não pode ser conseguido com uma "nenhuma política". A aplicação da sua política é imperativa para obter protecção contra atacantes.

Onde é que se pode errar?

O DMARC baseia-se em protocolos como SPF e DKIM que têm de ser pré-configurados para que o primeiro funcione correctamente. Um registo DNS SPF armazena uma lista de endereços IP autorizados que são autorizados a enviar e-mails em seu nome. Os proprietários de domínios podem erroneamente perder o registo de um domínio de envio como remetente autorizado para SPF. Este é um fenómeno relativamente comum entre organizações que utilizam vários vendedores de correio electrónico de terceiros. Isto pode levar à falha do SPF para esse domínio em particular. Outros erros incluem erros nos seus registos DNS e configurações de protocolo. Tudo isto pode ser evitado através da utilização de serviços de autenticação de correio electrónico alojados.

Como monitorizar os seus e-mails com um analisador de relatórios DMARC

Um analisador de relatórios DMARC é uma ferramenta tudo-em-um que o ajuda a monitorizar os seus domínios através de uma única interface. Isto pode beneficiar a sua organização de mais do que uma forma:

  • Ganhe total visibilidade e clareza no seu fluxo de correio electrónico
  • Passar para uma política de rejeição sem receio de problemas de entregabilidade
  • Ler relatórios DMARC XML num formato simplificado e legível por humanos
  • Efectuou alterações aos seus registos DNS em tempo real utilizando botões accionáveis sem aceder ao seu DNS

Configure DMARC de forma segura e correcta na sua organização usando um analisador DMARC hoje, e elimine permanentemente todos os receios relativos a questões de entregabilidade!