如果你遇到了"MTA-STS策略丢失。STSFetchResult.NONE"的命令,你就来对地方了。今天,我们将讨论如何通过为你的域名加入MTA-STS策略来修复这个错误信息并摆脱它。

简单邮件传输协议,又称SMTP,是大多数电子邮件服务提供商使用的标准电子邮件传输协议。这并不是一个陌生的概念,自古以来,SMTP一直面临着安全方面的挑战,这些挑战到现在为止,他们还没能想出办法。这是因为,为了使电子邮件向后兼容,SMTP以STARTTLS命令的形式引入了机会主义加密。 这基本上意味着,如果在两个通信的SMTP服务器之间不能协商出一个加密的连接,那么连接就会回滚到一个未加密的连接,并且信息是以明文形式发送。 

这使得通过SMTP传输的电子邮件容易受到无孔不入的监控和网络窃听攻击,如中间人。这对发件人和收件人都有风险,并可能导致敏感数据的泄露。这就是MTA-STS的用武之地,它使TLS加密成为SMTP的必修课,以阻止邮件通过不安全的连接被传送。 

什么是MTA-STS政策?

为了提高你的SMTP电子邮件的安全性,并充分利用像MTA-STS这样的认证协议,发送服务器应该支持该协议,而电子邮件接收服务器应该在其DNS中定义一个MTA-STS策略。我们也鼓励采用强制政策模式,以进一步扩大安全标准。MTA-STS策略定义了接收方域中使用MTA-STS的电子邮件服务器。 

为了使你的域名作为电子邮件接收方启用MTA-STS,你需要在你的DNS中托管一个MTA-STS策略文件。这允许外部电子邮件发送者向你的域名发送经过认证的电子邮件,并使用最新版本的TLS(1.2或更高)进行TLS加密。 

没有为你的域名发布或更新策略文件,可能是遇到类似""的错误信息的主要原因。缺少MTA-STS策略。STSFetchResult.NONE",这意味着发送方的服务器在查询接收方的DNS时无法获取MTA-STS策略文件,发现它缺失。

MTA-STS的先决条件。

启用MTA-STS的邮件服务器应该使用1.2或更高版本的TLS,并且应该有符合当前RFC标准和规范的、未过期的TLS证书,以及由可信的根证书机构签署的服务器证书。

修复 "MTA-STS策略缺失 "的步骤

1.创建和发布MTA-STS的DNS TXT记录 

第一步是为你的域名创建一个MTA-STS记录。你可以使用MTA-STS记录生成器立即创建一个记录,为你的域名提供一个定制的DNS记录。 

2.定义一个MTA-STS策略模式

MTA-STS提供两种策略模式供用户使用。

  • 测试模式:这个模式非常适合没有配置过协议的初学者。MTA-STS测试模式允许你接收关于MTA-STS策略中的问题、建立加密SMTP连接的问题或邮件发送失败的SMTP TLS报告。这有助于你应对与你的域名和服务器有关的现有安全问题,而不需要强制执行TLS加密。
  • 强制执行模式:当你仍然收到你的TLS报告时,随着时间的推移,用户最好强制执行他们的MTA-STS政策,在使用SMTP接收邮件时强制进行加密。这可以防止邮件在传输过程中被改变或篡改。

3.创建MTA-STS策略文件

下一步是为你的域托管MTA-STS策略文件。请注意,虽然每个文件的内容可以相同,但必须为不同的域分别托管策略,而且一个域只能有一个MTA-STS策略文件。为一个域托管多个MTA-STS策略文件会导致协议配置错误。 

MTA-STS策略文件的标准格式如下。 

文件名:mta-sts.txt

最大文件大小:64 KB

版本。STSv1

模式:测试

mx: mail.yourdomain.com

mx:*.yourdomain.com

max_age。806400 

注意。 上面显示的政策文件只是一个例子。

4.发布您的MTA-STS策略文件

接下来,你必须将你的MTA-STS策略文件发布在一个可供外部服务器访问的公共网络服务器上。请确保你托管文件的服务器支持HTTPS或SSL。这方面的程序很简单。假设你的域名已经预先配置了一个公共网络服务器。

  • 在你现有的域名上添加一个子域,该子域应以文字:mta-sts开头(例如mta-sts.domain.com)。 
  • 你的策略文件将指向你创建的这个子域,并且必须存储在一个 .known目录中
  • 在发布MTA-STS的DNS记录时,政策文件的URL被添加到DNS条目中,这样服务器就可以在电子邮件传输过程中查询DNS以获取政策文件。

5.激活MTA-STS和TLS-RPT

最后,你需要发布你的MTA-STS和 TLS-RPT的DNS记录,使用TXT作为资源类型,放在两个独立的子域中(_smtp._tls和 _mta-sts)。)这将允许只有TLS加密的信息到达你的收件箱,这些信息是经过验证的,不受干扰的。此外,你将收到来自外部服务器的关于你所配置的电子邮件地址或网络服务器的交付和加密问题的每日报告。

你可以在你的记录发布并上线后,通过执行MTA-STS记录查询来验证你的DNS记录的有效性。  

注意。 每次你对你的MTA-STS策略文件的内容进行修改时,你必须在你托管文件的公共网络服务器以及包含你的策略URL的DNS条目上进行更新。每次你更新或添加到你的域名或服务器时也是如此。

托管的MTA-STS服务如何帮助解决 "MTA-STS策略缺失 "问题?

手动实施MTA-STS可能是艰巨的、具有挑战性的,并留下了错误的空间。PowerDMARC的 托管的MTA-STS服务帮助域名所有者加速这一过程,使协议部署毫不费力且快速。你可以。

  • 只需点击几下,就可以为MTA-STS发布你的CNAME记录
  • 将维护和托管MTA-STS策略文件和网络服务器的艰苦工作外包出去
  • 只要你愿意,可以直接从你定制的仪表板上改变你的政策模式,而不必访问你的DNS
  • 我们将SMTP TLS报告的JSON文件以一种有组织的、人类可读的格式显示出来,对技术人员和非技术人员来说都很方便和容易理解。

最重要的是什么?我们是符合RFC标准的,并支持最新的TLS标准。这有助于你开始为你的域名进行无错误的MTA-STS配置,并享受它的好处,同时将麻烦和复杂的事情留给我们代表你来处理! 

希望这篇文章能帮助你摆脱 "MTA-STS策略丢失。STSFetchResult.NONE "提示,并为你的域名正确配置协议,以减少SMTP安全方面的漏洞和挑战。 

今天就为您的电子邮件启用MTA-STS,请参加一个免费的 电子邮件认证 DMARC试验来提高你对MITM和其他网络窃听攻击的防御能力!

企业和初创公司通常喜欢将他们的业务和营销电子邮件外包。这涉及到第三方服务,这些服务处理从列表管理到跟踪事件,再到送达率监控的一切。但是,这些第三方服务也增加了风险,因为它们为恶意行为者提供了机会,使其能够通过域名欺骗和对毫无戒心的接收者进行网络钓鱼攻击来冒充品牌。

据报道,在互联网上流传的所有垃圾邮件中,约有三分之一含有与商业有关的内容。如果企业和组织未能实施适当的保障措施,就会成为这些信息的受害者,而使用第三方供应商发送电子邮件信息可能是一个重要的促成因素。

整合 与所有第三方的DMARC政策,可以帮助你防止渗透到你的域名中的欺骗、网络钓鱼和恶意软件攻击。

为什么调整你的电子邮件发送源很重要?

电子邮件对任何企业的成功都至关重要,因为它使企业能够与他们的客户和潜在客户保持联系。它被广泛用作沟通和市场研究的主要手段,而且随着时间的推移,其重要性只会增加。无论你使用什么电子邮件供应商来发送你的电子邮件,一定要检查他们是否支持代表你发送符合DMARC标准的电子邮件。 

DMARC是一个电子邮件安全协议,有助于防止网络钓鱼攻击、域名欺骗和BEC。但要真正有效,公司需要与所有第三方密切合作,以便所有电子邮件都符合DMARC标准。

让你的第三方供应商符合DMARC标准

为了建立一个有效的DMARC政策,你应该联系你的第三方供应商,让他们与你一起研究处理验证失败的电子邮件的最佳方法。事实证明,解释DMARC的优势,回答关于它如何工作的问题,以及推荐有助于他们全面实施DMARC的解决方案,都是有益的。

每个第三方都是不同的,都有自己的SPF和DKIM设置过程,你需要对此进行规划。为了确定最佳策略,你需要了解每个合作伙伴如何发送电子邮件营销活动,此外还需要了解他们的技术跟踪能力、报告功能和整合能力。虽然这个过程可能看起来很麻烦,很乏味,但有几个简单的方法可以从你这边加速。

  • 你可以为你的每个电子邮件供应商设置一个自定义子域,并让他们为该域处理SPF和DKIM认证。在这种情况下,电子邮件供应商使用他们的邮件服务器来发送你的电子邮件。供应商在你的子域的DNS中公布了他们的SPF和DKIM记录。如果你不为这个委托的子域配置一个单独的DMARC策略,你的主域的DMARC策略就会自动征用在你的子域上。
  • 另外,第三方供应商可以使用你的邮件服务器,同时从你的域名向你的客户发送电子邮件。这在默认情况下,如果你为你的域名制定了DMARC政策,发出的电子邮件将自动符合DMARC标准。请确保你更新你的SPF和DKIM记录,以包括上述第三方,确保他们被列为授权的发送源。 

为你的第三方供应商设置SPF、DKIM和DMARC记录

  • 确保你正在更新你现有的SPF记录,以包括这些电子邮件发送源。例如,如果你使用MailChimp作为电子邮件供应商,代表你的组织发送营销电子邮件,你需要更新你现有的SPF记录,或者创建一个新的记录(如果你没有的话),将MailChimp作为一个授权发件人。这可以通过添加一个include: 机制或供应商在发送邮件时使用的特定IP地址来完成。
  • 接下来,你将需要要求你的供应商为你的自定义域名生成一个DKIM密钥对。他们会在发送邮件时使用私钥对你的邮件进行签名,而公钥则需要由你在面向公众的DNS上公布。在验证过程中,你的收件人会将私钥与你DNS中的公钥进行匹配。

你可以阅读我们的 电子邮件认证知识库文章,以获得关于如何为你可能使用的各种第三方供应商设置DMARC、SPF和DKIM的简单易行、循序渐进的说明。

在PowerDMARC,我们提供DMARC部署和监测的解决方案,以帮助你确保最大限度地遵守DMARC。我们提供可扩展的DMARC监控解决方案,具有市场上最深入的功能,帮助你管理你的发送行为,与你的供应商的发送行为相协调。 

凭借我们的资源和专业知识,我们可以在DMARC合规性方面进行猜测,同时提供分析报告,以确定那些合规和那些不合规。注册获取您的免费 DMARC试用今天就注册

电子邮件是传递信息的最有效工具之一,无论是用于市场营销还是商业用途。然而,如果你不加以防范,它也会带来安全威胁。DMARC通过让你完全控制所有使用你的域名的电子邮件,帮助解决这个问题。DMARC是确保诚实的电子邮件保持诚实,并保护恶意的电子邮件不进入收件箱的一个巨大步骤。PowerDMARC一直相信这一使命,并努力确保DMARC规范在我们整个生态系统中得到遵循。

为什么你的电子邮件不安全?

当攻击者伪造 "发件人 "地址,使邮件看起来像是来自授权的合法来源时,就会发生电子邮件欺骗行为。这个术语可以指电子邮件客户端和服务器攻击。欺骗电子邮件客户端是指伪造来自特定客户端的邮件的 "发件人"、"收件人 "和/或 "主题 "地址。欺骗服务器是指在来自特定服务器的邮件中伪造这些地址。 

电子邮件欺骗是一个严重的问题,特别是如果你正在运行一个有电子邮件注册表的合法网站。因为电子邮件地址往往是使用电子邮件欺骗技术的垃圾邮件发送者的主要目标,你的电子邮件列表会很快受到影响。当你需要禁用注册表格或不得不从你的每份通讯或其他名单中手动退订成员时,这将会造成重大的头痛。

DMARC能提供什么帮助?

A DMARC政策允许你控制电子邮件欺骗,网络钓鱼,以及其他形式的电子邮件和域名滥用。与SPF(发件人政策框架)和DKIM(域名识别邮件)结合使用,这一强大的机制使网络犯罪分子未经你的许可使用你的域名发送电子邮件变得更加困难。

如果你没有一个DMARC记录,我们建议你使用我们免费的 DMARC记录生成器工具,为你的域名创建一个定制的TXT记录,并实施该协议。记住要转向DMARC拒绝策略,以获得对冒充威胁的保护。

追踪你的邮件流,以获得一致的发送率

如果你想了解你的攻击者,你需要今天就利用DMARC报告的好处!它为你提供了大量关于你的电子邮件发送源和失败交付尝试的信息。你可以利用这些信息来更快地应对威胁,以及监测你的电子邮件的性能,以确保交付能力的一致性。 

为了维护你的域名的电子邮件安全健康,你的认证协议必须没有任何语法或配置错误。进行一次 DMARC检查以确保你的DMARC记录运行正常。

基于域名的消息认证、报告和一致性(DMARC)是一个标准,旨在统一发件人政策框架(SPF)和域名识别邮件(DKIM)的消息认证方法,以认证电子邮件发件人的域名。它为这些电子邮件认证机制的作者、操作者和消费者提供了一个一致的框架,以便在减少电子邮件垃圾邮件方面共同工作。DMARC分析器可以帮助你检测到未经授权的第三方是否在滥用你的域名,无论是通过欺骗合法的电子邮件还是进行网络钓鱼活动。

就优势而言,DMARC对电子邮件的发送者和接收者都有一些好处。让我们来看看它们是什么。

对电子邮件发送者的优势

增强电子邮件的可送达性

像DMARC这样的电子邮件认证协议给域名所有者(电子邮件发送者)带来的主要好处之一是提高了电子邮件的送达率。DMARC确保你的发件人的合法邮件不会被不必要地标记为垃圾邮件或被挡在接收者的收件箱之外。这为你的营销邮件提供了更好的阅读机会,使你的潜在客户更容易注意到你。

减少冒名顶替的威胁

冒名顶替的攻击对网络企业来说非常常见,无论你是一个成熟的企业还是一个初创企业。它可以给你的客户留下持久的印象,影响你的品牌信誉,并导致客户的流失。DMARC通过身份验证的过程,保护你的品牌名称不被用于恶意的目的。从长远来看,这可以维持你的商誉和声誉。

DMARC报告和监控

除了身份保护,DMARC还提供了一个报告机制,帮助域名所有者及时了解他们域名上的任何冒充尝试。他们可以跟踪由于身份验证检查失败而导致的邮件发送失败,使他们能够减少威胁的反应时间。他们所需要做的就是配置一个DMARC报告分析器,在一个单一的玻璃窗上轻松查看他们的报告。

邮件接收者的优势

防范网络钓鱼攻击

DMARC不仅仅是对邮件发件人的安全批,也是对接收者的安全批。我们已经知道,欺骗性攻击通常以网络钓鱼结束。假冒邮件的接收者很有可能成为旨在窃取其银行凭证,和/或其他敏感信息的网络钓鱼攻击的牺牲品。DMARC有助于大幅降低电子邮件网络钓鱼的风险。

防范勒索软件

有时,假冒的电子邮件包含将赎金软件下载到接收者系统的链接。这可能导致电子邮件接收者被挟持为人质,任由威胁者索要高额赎金。当接收者是被冒充的组织的雇员时,公司的风险就更大了。DMARC作为防止勒索软件的主要防线,防止电子邮件接收者被挟持。

促进安全的电子邮件体验

DMARC有助于促进发件人和收件人的安全电子邮件体验。它帮助双方进行清晰和无障碍的信息交流,而不必担心被网络攻击者欺骗或冒充。

要利用DMARC服务,请今天就获得免费的DMARC试用。

 

我们在这里要一劳永逸地澄清域名所有者提出的一个最常见的问题。DMARC拒绝政策是否会损害你的电子邮件传递能力?DMARC拒绝政策只有在你为你的域名配置了不正确的DMARC,或者对强制执行的DMARC政策过于随意,以至于没有为你的域名启用DMARC报告时,才会损害你的电子邮件传递率。理想情况下,DMARC的目的是随着时间的推移提高你的电子邮件送达率。

什么是DMARC拒绝政策?

DMARC拒绝策略是一种最大的DMARC执行状态。这意味着,如果一封电子邮件从一个未能通过DMARC认证的来源发出,该邮件将被接收者的服务器拒绝,并且不会被传递给他。DMARC拒绝政策对组织来说是有益的,因为它可以帮助域名所有者结束网络钓鱼攻击、直接域名欺骗和商业电子邮件的破坏。

你应该何时配置这个策略?

作为DMARC专家,PowerDMARC建议,当你是一个电子邮件认证的新手时,DMARC的监测是你最好的选择。这将帮助你适应协议,同时保持跟踪你的电子邮件的性能和交付能力。在下一节中,你可以了解如何轻松地监控你的域名。

当你有足够的信心采用更严格的政策时,你就可以用p=reject/quarantine来设置你的域名。作为DMARC的用户,你的主要议程应该是阻止攻击者成功地冒充你并欺骗你的客户,这在 "无政策 "下是无法实现的。要获得对攻击者的保护,执行你的政策是必须的。

你能在哪里出错呢?

DMARC建立在SPF和DKIM等协议的基础上,这些协议必须预先配置,以便前者能够正常运作。 SPF的DNS记录存储了一个允许代表你发送电子邮件的授权IP地址的列表。域名所有者可能会错误地漏掉将一个发送域名注册为SPF的授权发件人。这是使用几个第三方电子邮件供应商的组织中比较常见的现象。这可能导致该特定域名的SPF失败。其他错误包括你的DNS记录和协议配置中的错误。所有这些都可以通过利用托管电子邮件认证服务来避免。

如何用DMARC报告分析器来监控你的邮件

DMARC报告分析器是一个多合一的工具,帮助你在一个单一的界面上监控你的域名。这可以在多个方面使你的组织受益。

  • 在你的电子邮件流程中获得完全的可见性和清晰性
  • 转向拒绝政策,而不必担心交付能力问题
  • 以简化和人类可读的格式阅读DMARC XML报告
  • 使用可操作的按钮对你的DNS记录进行实时更改,而无需访问你的DNS

今天就使用DMARC分析器,在你的组织中安全、正确地配置DMARC,并永久地消除所有与传递性问题有关的忧虑!