Om du har stött på "MTA-STS-policyn saknas: STSFetchResult.NONE " -kommandot när du använder onlineverktyg har du kommit till rätt plats. Idag kommer vi att diskutera hur du åtgärdar det här felmeddelandet och gör dig av med det genom att införliva en MTA-STS-policy för din domän. 

Simple Mail Transfer Protocol, även kallat SMTP, är det vanliga e-postöverföringsprotokollet som används av en majoritet av e-postleverantörerna. Det är inte ett främmande koncept som SMTP har stått inför säkerhetsutmaningar sedan tidernas begynna, utmaningar som de ännu inte har kunnat komma på. Detta beror på att SMTP, för att göra e-postmeddelandena bakåtkompatibla, introducerade opportunistisk kryptering i form av ett STARTTLS-kommando.  Detta innebär i huvudsak, om en krypterad anslutning inte kan förhandlas mellan två kommunicerande SMTP-servrar, återställs anslutningen till en okrypterad och meddelanden skickas med klartext. 

Detta gör e-postmeddelanden som överförs via SMTP sårbara för genomgripande övervakning och cyber-avlyssningsattacker som Man-in-the-middle. Detta är riskabelt för både avsändaren och mottagaren och kan leda till brott mot känsliga data. Det är här MTA-STS sveper in och gör TLS-kryptering obligatorisk i SMTP för att förhindra att e-postmeddelanden levereras över osäkra anslutningar. 

Vad är en MTA-STS-policy?

För att förbättra din SMTP-e-postsäkerhet och få ut mesta delen av autentiseringsprotokoll som MTA-STS bör den sändande servern ha stöd för protokollet och den mottagande servern för e-post bör ha en MTA-STS-princip definierad i sin DNS. Ett påtvingat principläge uppmuntras också att ytterligare förstärka säkerhetsstandarderna. MTA-STS-principen definierar e-postservrarna med MTA-STS i mottagarens domän. 

För att aktivera MTA-STS för din domän som e-postmottagare måste du vara värd för en MTA-STS-principfil i din DNS. Detta gör det möjligt för externa e-postavsändare att skicka e-postmeddelanden till din domän som autentiseras och TLS krypteras med en uppdaterad version av TLS (1.2 eller senare). 

Att inte ha en publicerad eller uppdaterad principfil för din domän kan varaden främsta orsaken till att stöta på felmeddelanden som "MTA-STS-principen saknas: STSFetchResult.NONE", vilket innebäratt avsändarens server inte kunde hämta MTA-STS-principfilen när den frågade mottagarens DNS och fann att den saknades.

Förutsättningar för MTA-STS:

E-postservrar för vilka MTA-STS kommer att aktiveras bör använda en TLS-version av 1.2 eller mer, och bör ha TLS-certifikat på plats som följer gällande RFC-standarder och specifikationer, inte har upphört att gälla och servercertifikat som signeras av en betrodd rotcertifikatutfärdare.

Steg för att åtgärda "MTA-STS-principen saknas"

1. Skapa och publicera en MTA-STS DNS TXT-post 

Det första steget är att skapa en MTA-STS-post för din domän. Du kan skapa en post direkt med en MTA-STS-postgenerator, vilket ger dig en skräddarsydd DNS-post för din domän. 

2. Definiera ett MTA-STS-principläge

MTA-STS erbjuder två principlägen som användare kan arbeta med.

  • Testläge: Det här läget är idealiskt för nybörjare som inte har konfigurerat protokollet tidigare. Med testläget MTA-STS kan du ta emot SMTP TLS-rapporter om problem i MTA-STS-principer, problem med att upprätta krypterade SMTP-anslutningar eller fel vid e-postleverans. Detta hjälper dig att svara på befintliga säkerhetsproblem som rör dina domäner och servrar utan att tvinga fram TLS-kryptering.
  • Framtvingaläge : Även om du fortfarande får dina TLS-rapporter är det under tiden optimalt för användare att genomdriva sin MTA-STS-policy för att göra kryptering obligatorisk medan de tar emot e-postmeddelanden med SMTP. Detta förhindrar att meddelanden ändras eller manipuleras under överföringen.

3. Skapa MTA-STS-principfilen

Nästa steg är att vara värd för MTA-STS-principfiler för dina domäner. Observera att även om innehållet i varje fil kan vara detsamma, är det obligatoriskt att vara värd för principer separat för separata domäner, och en enda domän kan bara ha en enda MTA-STS-principfil. Flera MTA-STS-principfiler som finns för en enda domän kan leda till felkonfigurationer av protokoll. 

Standardformatet för en MTA-STS-principfil anges nedan: 

Filnamn: mta-sts.txt

Maximal filstorlek: 64 KB

version: STSv1

läge: testning

mx: mail.yourdomain.com

mx: *.yourdomain.com

max_age: 806400 

Principfilen som visas ovan är helt enkelt ett exempel.

4. Publicera din MTA-STS-policyfil

Därefter måste du publicera din MTA-STS-principfil på en offentlig webbserver som är tillgänglig för externa servrar. Kontrollera att servern du är värd för filen på stöder HTTPS eller SSL. Förfarandet för detta är enkelt. Förutsatt att domänen är förkonfigurerad med en offentlig webbserver:

  • Lägg till en underdomän i din befintliga domän som bör börja med texten: mta-sts (t.ex. mta-sts.domain.com) 
  • Principfilen pekar på den här underdomänen som du skapade och måste lagras i en .välkänd katalog
  • URL:en för principfilen läggs till i DNS-posten när du publicerar din MTA-STS DNS-post så att servern kan fråga DNS om att hämta principfilen under e-postöverföring

5. Aktivera MTA-STS och TLS-RPT

Slutligen måste du publicera dina MTA-STS- och TLS-RPT DNS-poster i domänens DNS, med TXT som resurstyp, placerad på två separata underdomäner (_smtp._tls och _mta-sts). Detta gör att endast TLS-krypterade meddelanden kan nå inkorgen, som är verifierade och ouppnrämda. Dessutom får du dagliga rapporter om leverans- och krypteringsproblem på en e-postadress eller webbserver som konfigurerats av dig från externa servrar.  

Du kan verifiera giltigheten för dina DNS-poster genom att utföra en MTA-STS-postuppslag efter att din post har publicerats och live.  

Vid varje tillfälle du gör ändringar i innehållet i dina MTA-STS-principfiler måste du uppdatera den både på den offentliga webbservern som du är värd för din fil på, samt DNS-posten som innehåller din principadress. Detsamma gäller för varje gång du uppdaterar eller lägger till i dina domäner eller servrar. 

Hur kan MTA-STS-tjänster hjälpa till att lösa "MTA-STS-policy saknas"?

Manuell implementering av MTA-STS kan vara mödosam och utmanande och lämna utrymme för fel. PowerDMARC:s värdbaserade MTA-STS-tjänster hjälper till att katapultera processen för domänägare, vilket gör protokolldistributionen enkel och snabb. Du kan:

  • Publicera dina CNAME-poster för MTA-STS med några klick
  • Outsourca det hårda arbetet med att underhålla och vara värd för MTA-STS-policyfiler och webbservrar
  • Ändra principläget när du vill, direkt från din skräddarsydda instrumentpanel, utan att behöva komma åt din DNS
  • Vi visar SMTP TLS-rapport JSON-filer i ett organiserat och läsbart format som är bekvämt och begripligt för både tekniska och icke-tekniska personer

Det bästa? Vi är RFC-kompatibla och stöder de senaste TLS-standarderna. Detta hjälper dig att komma igång med felfri MTA-STS-konfiguration för din domän och njuta av dess fördelar samtidigt som du lämnar krångel och komplexitet för oss att hantera för din räkning! 

Hoppas att den här artikeln hjälpte dig att bli av med "MTA-STS-principen saknas: STSFetchResult.NONE" prompt och att konfigurera protokollen korrekt för din domän för att minska kryphålen och utmaningarna i SMTP-säkerhet. 

Aktivera MTA-STS för dina e-postmeddelanden idag genom att ta en gratis DMARC-testversionför e-postautentisering , föratt förbättra ditt försvar mot MITM och andra cyber-avlyssningsattacker!

Både företag och nystartade företag föredrar ofta att lägga ut sina affärs- och marknadsföringsmeddelanden på entreprenad. Det handlar om tredjepartstjänster som hanterar allt från listhantering till spårning av händelser till leverans av leveransbarhet. Men dessa tredjepartstjänster ökar också risken genom att öppna möjligheter för skadliga aktörer att utge sig för att vara varumärken via domänförfalskning och distribuera phishing-attacker på intet ont anande mottagare.

Det har rapporterats att ungefär en tredjedel av alla skräppostmeddelanden som cirkulerar på internet innehåller affärsrelaterat innehåll. Företag och organisationer kan bli offer för dessa meddelanden om de inte implementerar lämpliga skyddsåtgärder, och användningen av tredjepartsleverantörer för att skicka e-postmeddelanden kan vara en viktig bidragande faktor.

Genom att integrera DMARC-principer med alla dina tredje parter kan du förhindra förfalsknings-, nätfiske- och malwareattacker som infiltrerar din domän.

Varför är det viktigt att justera dina e-postkällor?

E-post är avgörande för framgången för alla företag eftersom det gör det möjligt för företag att hålla kontakten med sina kunder och potentiella kunder. Det används i stor utsträckning som ett primärt medel för kommunikation och marknadsundersökningar, och dess betydelse kommer bara att öka med tiden. Oavsett vilken e-postleverantör du använder för att skicka dina e-postmeddelanden, se till att kontrollera om de stöder att skicka DMARC-kompatibla e-postmeddelanden för din räkning. 

DMARC är ett e-postsäkerhetsprotokoll som hjälper till att förhindra nätfiskeattacker, domänförfalskning och BEC. Men för att vara verkligt effektivt måste ett företag arbeta nära alla sina tredje parter, så att alla e-postmeddelanden är DMARC-kompatibla.

Göra dina tredjepartsleverantörer DMARC-kompatibla

För att upprätta en effektiv DMARC-policy bör du kontakta dina tredjepartsleverantörer för att arbeta tillsammans med dig på det bästa sättet att hantera e-post som misslyckas med validering. Det kan visa sig vara fördelaktigt att förklara fördelarna med DMARC, svara på frågor om hur det fungerar och rekommendera lösningar som hjälper dem att fullt ut implementera DMARC.

Varje tredje part är annorlunda, med sin egen SPF- och DKIM-installationsprocess som du måste planera för. För att bestämma den bästa strategin måste du vara medveten om hur varje partner skickar e-postmarknadsföringskampanjer, förutom deras tekniska spårningsförmågor, rapporteringsfunktioner och integrationsfunktioner. Även om processen kan verka besvärlig och tråkig, finns det några enkla sätt du kan påskynda saker från din sida:

  • Du kan konfigurera en anpassad underdomän för var och en av dina e-postleverantörer och låta dem hantera SPF- och DKIM-autentisering för den domänen. I det här fallet använder e-postleverantören sin e-postserver för att skicka dina e-postmeddelanden. Leverantören publicerar sina SPF- och DKIM-poster i DNS för underdomänen. Om du inte konfigurerar en separat DMARC-princip för den här avsända underdomänen tas DMARC-principen för huvuddomänen automatiskt ut på underdomänen.
  • Alternativt kan tredjepartsleverantören använda dina e-postservrar när du skickar e-post till dina kunder från din domän. Detta säkerställer som standard att om du har en DMARC-princip för din domän på plats, skulle de utgående e-postmeddelandena automatiskt vara DMARC-kompatibla. Se till att du uppdaterar dina SPF- och DKIM-poster för att inkludera de tredje parterna för att säkerställa att de värvas som en auktoriserad sändande källa. 

Ställa in SPF-, DKIM- och DMARC-poster för dina tredjepartsleverantörer

  • Se till att du uppdaterar din befintliga SPF-post för att inkludera dessa e-postkällor. Om du till exempel använder MailChimp som e-postleverantör för att skicka marknadsföringsmeddelanden för din organisations räkning måste du uppdatera din befintliga SPF-post eller skapa en ny post (om du inte har en på plats) som inkluderar MailChimp som auktoriserad avsändare. Detta kan göras genom att antingen lägga till en inkludera: mekanism eller specifika IP-adresser som används av leverantören när du skickar dina e-postmeddelanden.
  • Därefter måste du be din leverantör att generera ett DKIM-nyckelpar för din anpassade domän. De skulle använda den privata nyckeln för att signera dina e-postmeddelanden medan de skickas, och den offentliga nyckeln måste publiceras av dig på din offentliga DNS. Den privata nyckeln matchas mot den offentliga nyckeln i din DNS av dina mottagare under verifieringen.

Du kan läsa våra kunskapsbasartiklar för e-postautentisering för att få enkla instruktioner steg för steg om hur du konfigurerar DMARC, SPF och DKIM för olika tredjepartsleverantörer som du kanske använder.

På PowerDMARC tillhandahåller vi lösningar för DMARC-distribution och övervakning som hjälper dig att säkerställa maximal DMARC-överensstämmelse. Vi tillhandahåller skalbara DMARC-övervakningslösningar med de mest djupgående funktionerna på marknaden för att hjälpa dig att hantera dina sändningsmetoder i samordning med dina leverantörers sändningsmetoder. 

Med våra resurser och expertis kan vi ta bort gissningarna från DMARC-efterlevnad samtidigt som vi levererar analytiska rapporter som identifierar de som är och de som inte uppfyller kraven. Registrera dig för din kostnadsfria DMARC-provperiod idag!

E-post är ett av de mest effektiva verktygen för att få ut ditt meddelande, oavsett om det är för marknadsföring eller affärsanvändning. Men det utgör också säkerhetshot om du inte skyddar mot dem. DMARC hjälper till att lösa det här problemet genom att ge dig full kontroll över all e-post som använder ditt domännamn. DMARC är ett massivt steg mot att se till att ärliga e-postmeddelanden förblir ärliga, och skadliga e-postmeddelanden skyddas från att nå inkorgar. PowerDMARC har alltid trott på detta uppdrag och har arbetat hårt för att se till att DMARC-specifikationerna följs över hela vårt ekosystem.

Varför är din e-post osäker?

E-postförfalskning inträffar när en angripare förfalskar "Från"-adressen för att få ett e-postmeddelande att se ut som om det kommer från en auktoriserad, legitim källa. Termen kan referera till både e-postklienter och serverattacker. Förfalskning av e-postklienten avser att förfalska postadressen "Från", "Till" och/eller "Ämne" som kommer från en viss klient. Förfalskning av servern refererar till att förfalska dessa adresser i meddelanden som kommer från en viss server. 

E-postförfalskning är ett allvarligt problem, särskilt om du driver en legitim webbplats som har ett e-postinlörelseformulär. Eftersom e-postadresser ofta är huvudmålet för spammare med hjälp av e-postförfalskningstekniker kan din e-postlista snabbt komprometteras. Detta kommer att orsaka stor huvudvärk på vägen när du behöver inaktivera registreringsformulären eller måste manuellt avsluta prenumerationen på medlemmar från var och en av dina nyhetsbrev eller andra listor.

Hur kan DMARC hjälpa till?

Med en DMARC-policy kan du ta kontroll över e-postförfalskning, nätfiske och andra former av e-post- och domänmissbruk. Denna kraftfulla mekanism används i kombination med SPF (Sender Policy Framework) och DKIM (DomainKeys Identified Mail) och gör det mycket svårare för cyberbrottslingar att skicka e-post med ditt domännamn utan ditt tillstånd.

Om du inte har en DMARC-post på plats rekommenderar vi att du använder vårt kostnadsfria DMARC-postgeneratorverktyg för att skapa en skräddarsydd TXT-post för din domän och implementera protokollet. Kom ihåg att övergå till en DMARC-avvisningsprincip för att få skydd mot personifieringshot.

Spåra ditt e-postflöde för konsekvent leveransbarhet

Om du vill hålla dig à jour med dina angripare måste du utnyttja fördelarna med DMARC-rapporten idag! Det ger dig en mängd information om dina e-postkällor och misslyckade leveransförsök. Du kan utnyttja informationen för att svara på hot snabbare, samt övervaka dina e-postmeddelandens prestanda för att säkerställa konsekvens i leveransbarheten. 

För att upprätthålla domänens e-postsäkerhetshälsa är det absolut nödvändigt att dina autentiseringsprotokoll är fria från syntaktiska fel eller konfigurationsfel. Gör då och då en DMARC-kontroll för att säkerställa att DMARC-posten fungerar korrekt.

Domänbaserad meddelandeautentisering, rapportering och konformitet(DMARC)är en standard som är utformad för att justera DKIM-meddelandeautentiseringsmetoder (Sender Policy Framework) och DomainKeys Identified Mail (DKIM) för att autentisera en e-postavsändarens domännamn. Det ger ett konsekvent ramverk för författare, operatörer och konsumenter av dessa e-postautentiseringsmekanismer att arbeta tillsammans för att minska skräppost via e-post. En DMARC-analysator hjälper dig att upptäcka när en obehörig tredje part missbrukar din domän, antingen genom att förfalska legitim e-post eller genomföra phishing-kampanjer.

När det gäller fördelar har DMARC lite något att erbjuda för avsändaren såväl som mottagaren av e-postmeddelandena. Låt oss ta reda på vad de är:

Fördelar för e-postavsändare

Förbättrad e-post leveransbarhet

En av de främsta fördelarna med e-postautentiseringsprotokoll som DMARC som finns för domänägare (e-postavsändare) är en förbättrad e-post leveransfrekvens. DMARC säkerställer att avsändarens legitima e-postmeddelanden inte markeras i onödan som skräppost eller blockeras från mottagarens inkorg. Detta ger en bättre chans att dina marknadsföringsmeddelanden läses, vilket gör att dina potentiella kunder kan märka dig mer.

Minskade personifieringshot

Personifieringsattacker är mycket vanliga för onlineföretag, oavsett om du är ett etablerat företag eller ett startföretag. Det kan lämna ett bestående intryck på dina kunder, påverka ditt varumärkes trovärdighet och leda till förlust av kunder. DMARC skyddar ditt varumärke från att användas för skadliga ändamål genom identitetsverifiering. Detta upprätthåller din goda vilja och ditt rykte på lång sikt.

DMARC Rapportering och övervakning

Förutom identitetsskydd lämnar DMARC också anbud till en rapporteringsmekanism som hjälper domänägare att hålla sig à jour med eventuella personifieringsförsök som görs på deras domän. De kan hålla reda på e-postmeddelanden som inte levereras på grund av fel i autentiseringskontrollerna, så att de kan minska sin hotresponstid. Allt de behöver göra är att konfigurera en DMARC-rapportanalysator för att enkelt visa sina rapporter över en enda glasruta.

Fördelar för e-postmottagare

Skydd mot nätfiskeattacker

DMARC är inte bara en säkerhetssats för avsändaren av e-postmeddelandet, utan också mottagaren. Vi vet redan att en förfalskningsattack vanligtvis slutar med phishing. Mottagaren av ett falskt e-postmeddelande har stor risk att falla offer för phishing-attacker som syftar till att stjäla deras bankuppgifter och / eller annan känslig information. DMARC hjälper till att minska risken för nätfiske via e-post drastiskt.

Skydd mot ransomware

Ibland innehåller falska e-postmeddelanden länkar för att ladda ner ransomware till mottagarens system. Detta kan leda till att e-postmottagare hålls som gisslan i händerna på hotskådespelare som ber om stora lösensummor. När mottagaren är anställd i den personifierade organisationen är insatserna för företaget ännu högre. DMARC fungerar som en primär försvarslinje mot ransomware, vilket förhindrar att e-postmottagare hålls som gisslan.

Marknadsför en säker e-postupplevelse

DMARC hjälper till att främja en säker e-postupplevelse för både avsändare och mottagare. Det hjälper båda parter att delta i ett tydligt och obehindrat informationsutbyte utan rädsla för att bli lurade eller utgav sig för att vara cyberattacker.

För att utnyttja DMARC-tjänster, få din gratis DMARC-provperiod idag!

 

Vi är här för att en gång för alla klargöra en av de vanligaste problemen som domänägare tar upp. Kommer en DMARC-avvisningspolicy att skada din e-post leverans? Långt svar kort: Nej. En DMARC-avvisningsprincip kan bara skada din e-post leveransbarhet när du har konfigurerat DMARC felaktigt för din domän, eller har tagit en påtvingad DMARC-princip för tillfälligt för att inte aktivera DMARC-rapportering för din domän. Helst är DMARC utformat för att förbättra din e-post leveranshastighet över tid.

Vad är en DMARC-avvisningsprincip?

En DMARC-avvisningsprincip är ett tillstånd för maximal DMARC-tillämpning. Detta innebär att om ett e-postmeddelande skickas från en källa som misslyckas med DMARC-autentisering, skulle det e-postmeddelandet avvisas av mottagarens server och inte levereras till honom. En DMARC-avvisningsprincip är fördelaktig för organisationer eftersom den hjälper domänägare att sätta stopp för phishing-attacker, direkt domänförfalskning och affärs-e-postkompromiss.

När ska du konfigurera den här principen?

Som DMARC-experter rekommenderar PowerDMARC att medan du är en nybörjare av e-postautentisering är DMARC endast det bästa alternativet för dig. Detta hjälper dig att bli bekväm med protokollet samtidigt som du håller reda på din e-posts prestanda och leveransbarhet. Lär dig hur du enkelt kan övervaka dina domäner i nästa avsnitt.

När du är tillräckligt säker för att anta en striktare princip kan du sedan konfigurera din domän med p=reject/quarantine. Som DMARC-användare bör din huvudagenda vara att stoppa angripare från att framgångsrikt utge sig för att vara dig och lura dina kunder, vilket inte kan uppnås med en "ingen policy". Att genomdriva din policy är absolut nödvändigt för att få skydd mot angripare.

Var kan du gå fel?

DMARC bygger på protokoll som SPF och DKIM som måste förkonfigureras för att den förstnämnda ska fungera korrekt.  En SPF DNS-post lagrar en lista över auktoriserade IP-adresser som får skicka e-post för din räkning. Domänägare kan av misstag gå miste om att registrera en sändande domän som auktoriserad avsändare för SPF. Detta är ett relativt vanligt fenomen bland organisationer som använder flera tredjepartsleverantörer av e-post. Detta kan leda till SPF-fel för den domänen. Andra misstag är fel i DNS-posterna och protokollkonfigurationerna. Allt detta kan undvikas genom att använda värdbaserade e-postautentiseringstjänster.

Så här övervakar du dina e-postmeddelanden med en DMARC-rapportanalysator

En DMARC-rapportanalysator är ett allt-i-ett-verktyg som hjälper dig att övervaka dina domäner över ett enda gränssnitt. Detta kan gynna din organisation på fler sätt än ett:

  • Få fullständig synlighet och tydlighet i ditt e-postflöde
  • Övergång till en avvisningspolitik utan rädsla för leveransproblem
  • Läsa DMARC XML-rapporter i ett förenklat och läsbart format
  • Har gjort ändringar i dina DNS-poster i realtid med hjälp av åtgärdsbara knappar utan att komma åt din DNS

Konfigurera DMARC på ett säkert och korrekt sätt i din organisation med hjälp av en DMARC-analysator idag och eliminera permanent alla farhågor som rör leveransproblem!