Como corrigir a "Política MTA-STS está em falta"?
por
Tempo de leitura: 5 min
Caso se tenha deparado com a "A política MTA-STS está em falta: STSFetchResult.NONE " ao utilizar ferramentas online, veio ao sítio certo. Hoje vamos discutir como corrigir esta mensagem de erro e livrar-se dela, incorporando uma política MTA-STS para o seu domínio.
Simple Mail Transfer Protocol, aka SMTP, é o protocolo padrão de transferência de correio electrónico utilizado pela maioria dos fornecedores de serviços de correio electrónico. Não é um conceito estranho que o SMTP tenha enfrentado desafios de segurança desde o início dos tempos, desafios esses que ainda não foram capazes de encontrar. Isto porque, para tornar os e-mails retrocompatíveis, o SMTP introduziu a encriptação oportunista sob a forma de um comando STARTTLS. Isto significa essencialmente que, no caso de uma ligação encriptada não poder ser negociada entre dois servidores SMTP comunicantes, a ligação é reenviada para uma não encriptada, e as mensagens são enviadas em texto claro.
Isto torna as mensagens de correio eletrónico transferidas via SMTP vulneráveis a uma monitorização generalizada e a ataques de escuta cibernética como o Man-in-the-middle. Isto é arriscado tanto para o remetente como para o destinatário e pode levar à violação de dados sensíveis. É aqui que o MTA-STS intervém e torna obrigatória a encriptação TLS no SMTP para impedir que as mensagens de correio eletrónico sejam entregues através de ligações não seguras.
Takeaways de chaves
- O MTA-STS é essencial para impor a encriptação TLS obrigatória, reduzindo as vulnerabilidades do correio eletrónico durante a transmissão.
- Criar e publicar um registo DNS TXT MTA-STS é o primeiro passo para ativar esta norma para o seu domínio.
- A implementação de uma política MTA-STS em modo de teste permite monitorizar e resolver potenciais problemas de ligação SMTP TLS sem aplicação imediata.
- Cada domínio deve ter um único ficheiro de política MTA-STS, uma vez que a existência de vários ficheiros pode dar origem a erros e configurações incorrectas.
- A utilização de serviços MTA-STS alojados pode simplificar o processo de implementação e garantir a conformidade com as mais recentes normas TLS.
O que é uma Política MTA-STS?
Para melhorar a segurança do correio eletrónico SMTP e tirar o máximo partido de protocolos de autenticação como o MTA-STS, o servidor de envio deve ter suporte para o protocolo e o servidor de receção de correio eletrónico deve ter uma política MTA-STS definida no seu DNS. Um modo de política aplicada também é incentivado para ampliar ainda mais os padrões de segurança. A política MTA-STS define os servidores de correio eletrónico que utilizam o MTA-STS no domínio do destinatário.
A fim de permitir a MTA-STS para o seu domínio como receptor de correio electrónico, precisa de alojar um ficheiro de política MTA-STS no seu DNS. Isto permite aos remetentes externos de correio electrónico enviar e-mails para o seu domínio que são autenticados e TLS encriptados com uma versão actualizada de TLS (1.2 ou superior).
Não ter um ficheiro de política publicado ou actualizado para o seu domínio pode ser a principal razão para se deparar com mensagens de erro como "Falta a política MTA-STS: STSFetchResult.NONE", implicando que o servidor do remetente não pôde ir buscar o ficheiro de política da MTA-STS quando consultou o DNS do receptor, descobrindo que este estava em falta.
Pré-requisitos para a MTA-STS:
Os servidores de correio electrónico para os quais a MTA-STS será activada devem utilizar uma versão TLS de 1.2 ou mais, e devem ter em vigor certificados TLS que cumpram as normas e especificações actuais do RFC, não estejam expirados, e certificados de servidor que sejam assinados por uma autoridade de certificação de raiz de confiança.
Simplifique a segurança com o PowerDMARC!
Passos para corrigir "A política MTA-STS está em falta"
1. Criação e publicação de um registo MTA-STS DNS TXT
O primeiro passo é a criação de um registo MTA-STS para o seu domínio. Pode criar um registo instantaneamente utilizando um gerador de registos MTA-STS, fornecendo-lhe um registo DNS personalizado para o seu domínio.
2. Definição de um modo de política MTA-STS
MTA-STS oferece dois modos de política com os quais os utilizadores podem trabalhar.
- Modo de teste: Este modo é ideal para principiantes que não tenham configurado o protocolo antes. O modo de teste MTA-STS permite-lhe receber relatórios SMTP TLS sobre problemas nas políticas MTA-STS, problemas no estabelecimento de ligações SMTP encriptadas, ou falhas na entrega de correio electrónico. Isto ajuda-o a responder a problemas de segurança existentes relacionados com os seus domínios e servidores sem aplicar a encriptação TLS.
- Modo de aplicação da força: Enquanto ainda recebe os seus relatórios TLS, ao longo do tempo é óptimo que os utilizadores façam cumprir a sua política MTA-STS para tornar a encriptação obrigatória enquanto recebem e-mails utilizando SMTP. Isto evita que as mensagens sejam alteradas ou adulteradas durante o trânsito.
3. Criação do ficheiro de políticas do MTA-STS
O passo seguinte é hospedar ficheiros de políticas MTA-STS para os seus domínios. Note que embora o conteúdo de cada ficheiro possa ser o mesmo, é obrigatório alojar apólices separadamente para domínios separados, e um único domínio pode ter apenas um único ficheiro de apólices MTA-STS. Vários ficheiros de apólices MTA-STS alojados para um único domínio podem levar a configurações erradas de protocolos.
O formato padrão para um ficheiro de política MTA-STS é dado abaixo:
Nome do ficheiro: mta-sts.txt
Tamanho máximo do ficheiro: 64 KB
versão: STSv1
modo: teste
mx: mail.yourdomain.com
mx: *.yourdomain.com
max_age: 806400
Nota: O ficheiro da apólice apresentado acima é simplesmente um exemplo.
4. Publicação do seu ficheiro de políticas MTA-STS
Em seguida, tem de publicar o seu ficheiro de política MTA-STS num servidor Web público que seja acessível a servidores externos. Certifique-se de que o servidor onde aloja o ficheiro suporta HTTPS ou SSL. O procedimento para isso é simples. Partindo do princípio de que o seu domínio está pré-configurado com um servidor Web público:
- Adicione um subdomínio ao seu domínio existente que deve começar com o texto: mta-sts (por exemplo, mta-sts.domain.com)
- O seu ficheiro de apólice indicará este subdomínio que criou e tem de ser armazenado num .bem conhecido directório
- O URL para o ficheiro de política é adicionado à entrada DNS enquanto publica o seu registo DNS MTA-STS para que o servidor possa consultar o DNS para ir buscar o ficheiro de política durante a transferência de correio electrónico
5. Activar MTA-STS e TLS-RPT
Finalmente, precisa de publicar o seu MTA-STS e TLS-RPT registos DNS no DNS do seu domínio, utilizando TXT como tipo de recurso, colocados em dois subdomínios separados (_smtp._tls e _mta-sts). Isto permitirá que apenas as mensagens encriptadas TLS cheguem à sua caixa de entrada, que são verificadas e inalteradas. Além disso, receberá relatórios diários sobre questões de entrega e encriptação num endereço de correio electrónico ou servidor web configurado por si, a partir de servidores externos.
Pode verificar a validade dos seus registos DNS realizando uma pesquisa de registos MTA-STS após a publicação do seu registo e ao vivo.
Nota: Sempre que fizer alterações ao conteúdo dos seus ficheiros de política MTA-STS, deve actualizá-lo tanto no servidor web público onde está a alojar o seu ficheiro, como na entrada DNS que contém o URL da sua política. O mesmo se aplica sempre que actualiza ou acrescenta aos seus domínios ou servidores.
Como é que os Hosted MTA-STS Services podem ajudar na resolução da "Política MTA-STS está em falta"?
A implementação manual do MTA-STS pode ser árdua e desafiadora e deixar espaço para erros. PowerDMARC's hospedou MTA-STS ajudam a catapultar o processo para os proprietários de domínios, tornando a implementação do protocolo sem esforço e rápida. Pode:
- Publique os seus registos CNAME para MTA-STS com alguns cliques
- Externalizar o árduo trabalho envolvido na manutenção e alojamento dos ficheiros de políticas e servidores web MTA-STS
- Altere o seu modo de política sempre que desejar, directamente do seu painel de bordo personalizado, sem ter de aceder ao seu DNS
- Apresentamos o relatório SMTP TLS JSON num formato organizado e legível por humanos, conveniente e compreensível tanto para pessoas técnicas como não técnicas
A melhor coisa? Somos compatíveis com as normas RFC e apoiamos as mais recentes normas TLS. Isto ajuda-o a começar com uma configuração MTA-STS sem erros para o seu domínio, e a desfrutar dos seus benefícios, deixando-nos com os aborrecimentos e complexidades para tratarmos em seu nome!
Espero que este artigo o tenha ajudado a livrar-se da "política MTA-STS está em falta": STSFetchResult.NONE", e na configuração adequada dos protocolos para o seu domínio a fim de mitigar as lacunas e desafios na segurança SMTP.
Habilite o MTA-STS para os seus e-mails hoje, tomando um gratuitamente autenticação de e-mail Ensaio DMARCpara melhorar as suas defesas contra o MITM e outros ataques de espionagem cibernética!
Especialista em segurança de domínios e e-mails da PowerDMARC
Yunes é um Operations Team Lead na PowerDMARC com conhecimentos especializados em autenticação e segurança de correio eletrónico. Yunes é um Microsoft-certified Azure Administrator Associate com certificações em CompTIA A+ e muito mais.
Últimas mensagens de Yunes Tarada (ver todas)
- Ataques de salting de correio eletrónico: Como o texto oculto contorna a segurança - 26 de fevereiro de 2025
- Alisamento do SPF: O que é e porque é que precisa dele? - 26 de fevereiro de 2025
- DMARC vs DKIM: Principais diferenças e como funcionam em conjunto - 16 de fevereiro de 2025
