Correios

No caso de se ter deparado com o "Falta a política MTA-STS: STSFetchResult.NONE " enquanto utiliza ferramentas em linha, veio ao sítio certo. Hoje vamos discutir como corrigir esta mensagem de erro e livrar-nos dela, incorporando uma política MTA-STS para o seu domínio.

Simple Mail Transfer Protocol, aka SMTP, é o protocolo padrão de transferência de correio electrónico utilizado pela maioria dos fornecedores de serviços de correio electrónico. Não é um conceito estranho que o SMTP tenha enfrentado desafios de segurança desde o início dos tempos, desafios esses que ainda não foram capazes de encontrar. Isto porque, para tornar os e-mails retrocompatíveis, o SMTP introduziu a encriptação oportunista sob a forma de um comando STARTTLS. Isto significa essencialmente que, no caso de uma ligação encriptada não poder ser negociada entre dois servidores SMTP comunicantes, a ligação é reenviada para uma não encriptada, e as mensagens são enviadas em texto claro. 

Isto torna os e-mails transferidos via SMTP vulneráveis à monitorização invasiva e aos ataques de espionagem cibernética como o Man-in-the-middle. Isto é arriscado tanto para o remetente como para o receptor e pode levar à violação de dados sensíveis. É aqui que o MTA-STS entra e torna a encriptação TLS obrigatória no SMTP para impedir a entrega de e-mails através de ligações não seguras. 

O que é uma Política MTA-STS?

A fim de melhorar a segurança do seu correio electrónico SMTP e tirar o máximo partido de protocolos de autenticação como o MTA-STS, o servidor de envio deve ter suporte para o protocolo e o servidor de recepção de correio electrónico deve ter uma política MTA-STS definida nos seus DNS. Um modo de política aplicada é também encorajado para ampliar ainda mais as normas de segurança. A política MTA-STS define os servidores de correio electrónico que utilizam MTA-STS no domínio do receptor. 

A fim de permitir a MTA-STS para o seu domínio como receptor de correio electrónico, precisa de alojar um ficheiro de política MTA-STS no seu DNS. Isto permite aos remetentes externos de correio electrónico enviar e-mails para o seu domínio que são autenticados e TLS encriptados com uma versão actualizada de TLS (1.2 ou superior). 

Não ter um ficheiro de política publicado ou actualizado para o seu domínio pode ser a principal razão para se deparar com mensagens de erro como "Falta a política MTA-STS: STSFetchResult.NONE", implicando que o servidor do remetente não pôde ir buscar o ficheiro de política da MTA-STS quando consultou o DNS do receptor, descobrindo que este estava em falta.

Pré-requisitos para a MTA-STS:

Os servidores de correio electrónico para os quais a MTA-STS será activada devem utilizar uma versão TLS de 1.2 ou mais, e devem ter em vigor certificados TLS que cumpram as normas e especificações actuais do RFC, não estejam expirados, e certificados de servidor que sejam assinados por uma autoridade de certificação de raiz de confiança.

Passos para corrigir "A política MTA-STS está em falta"

1. Criação e publicação de um registo MTA-STS DNS TXT 

O primeiro passo é a criação de um registo MTA-STS para o seu domínio. Pode criar um registo instantaneamente utilizando um gerador de registos MTA-STS, fornecendo-lhe um registo DNS personalizado para o seu domínio. 

2. Definição de um modo de política MTA-STS

MTA-STS oferece dois modos de política com os quais os utilizadores podem trabalhar.

  • Modo de teste: Este modo é ideal para principiantes que não tenham configurado o protocolo antes. O modo de teste MTA-STS permite-lhe receber relatórios SMTP TLS sobre problemas nas políticas MTA-STS, problemas no estabelecimento de ligações SMTP encriptadas, ou falhas na entrega de correio electrónico. Isto ajuda-o a responder a problemas de segurança existentes relacionados com os seus domínios e servidores sem aplicar a encriptação TLS.
  • Modo de aplicação da força: Enquanto ainda recebe os seus relatórios TLS, ao longo do tempo é óptimo que os utilizadores façam cumprir a sua política MTA-STS para tornar a encriptação obrigatória enquanto recebem e-mails utilizando SMTP. Isto evita que as mensagens sejam alteradas ou adulteradas durante o trânsito.

3. Criação do ficheiro de políticas do MTA-STS

O passo seguinte é hospedar ficheiros de políticas MTA-STS para os seus domínios. Note que embora o conteúdo de cada ficheiro possa ser o mesmo, é obrigatório alojar apólices separadamente para domínios separados, e um único domínio pode ter apenas um único ficheiro de apólices MTA-STS. Vários ficheiros de apólices MTA-STS alojados para um único domínio podem levar a configurações erradas de protocolos. 

O formato padrão para um ficheiro de política MTA-STS é dado abaixo: 

Nome do ficheiro: mta-sts.txt

Tamanho máximo do ficheiro: 64 KB

versão: STSv1

modo: teste

mx: mail.yourdomain.com

mx: *.yourdomain.com

max_age: 806400 

Nota: O ficheiro da apólice apresentado acima é simplesmente um exemplo.

4. Publicação do seu ficheiro de políticas MTA-STS

A seguir, tem de publicar o seu ficheiro de política MTA-STS num servidor web público que seja acessível a servidores externos. Certifique-se de que o servidor em que hospeda o seu ficheiro suporta HTTPS ou SSL. O procedimento para tal é simples. Assumindo que o seu domínio está pré-configurado com um servidor web público:

  • Adicione um subdomínio ao seu domínio existente que deve começar com o texto: mta-sts (por exemplo, mta-sts.domain.com) 
  • O seu ficheiro de apólice indicará este subdomínio que criou e tem de ser armazenado num .bem conhecido directório
  • O URL para o ficheiro de política é adicionado à entrada DNS enquanto publica o seu registo DNS MTA-STS para que o servidor possa consultar o DNS para ir buscar o ficheiro de política durante a transferência de correio electrónico

5. Activar MTA-STS e TLS-RPT

Finalmente, precisa de publicar o seu MTA-STS e TLS-RPT registos DNS no DNS do seu domínio, utilizando TXT como tipo de recurso, colocados em dois subdomínios separados (_smtp._tls e _mta-sts). Isto permitirá que apenas as mensagens encriptadas TLS cheguem à sua caixa de entrada, que são verificadas e inalteradas. Além disso, receberá relatórios diários sobre questões de entrega e encriptação num endereço de correio electrónico ou servidor web configurado por si, a partir de servidores externos.

Pode verificar a validade dos seus registos DNS realizando uma pesquisa de registos MTA-STS após a publicação do seu registo e ao vivo.  

Nota: Sempre que fizer alterações ao conteúdo dos seus ficheiros de política MTA-STS, deve actualizá-lo tanto no servidor web público onde está a alojar o seu ficheiro, como na entrada DNS que contém o URL da sua política. O mesmo se aplica sempre que actualiza ou acrescenta aos seus domínios ou servidores.

Como é que os Hosted MTA-STS Services podem ajudar na resolução da "Política MTA-STS está em falta"?

A implementação manual do MTA-STS pode ser árdua e desafiadora e deixar espaço para erros. PowerDMARC's hospedou MTA-STS ajudam a catapultar o processo para os proprietários de domínios, tornando a implementação do protocolo sem esforço e rápida. Pode:

  • Publique os seus registos CNAME para MTA-STS com alguns cliques
  • Externalizar o árduo trabalho envolvido na manutenção e alojamento dos ficheiros de políticas e servidores web MTA-STS
  • Altere o seu modo de política sempre que desejar, directamente do seu painel de bordo personalizado, sem ter de aceder ao seu DNS
  • Apresentamos o relatório SMTP TLS JSON num formato organizado e legível por humanos, conveniente e compreensível tanto para pessoas técnicas como não técnicas

A melhor coisa? Somos compatíveis com as normas RFC e apoiamos as mais recentes normas TLS. Isto ajuda-o a começar com uma configuração MTA-STS sem erros para o seu domínio, e a desfrutar dos seus benefícios, deixando-nos com os aborrecimentos e complexidades para tratarmos em seu nome! 

Espero que este artigo o tenha ajudado a livrar-se da "política MTA-STS está em falta": STSFetchResult.NONE", e na configuração adequada dos protocolos para o seu domínio a fim de mitigar as lacunas e desafios na segurança SMTP. 

Habilite o MTA-STS para os seus e-mails hoje, tomando um gratuitamente autenticação de e-mail Ensaio DMARCpara melhorar as suas defesas contra o MITM e outros ataques de espionagem cibernética!