如何修复 "MTA-STS策略缺失"?

博客

了解如何摆脱提示 "MTA-STS策略丢失。STSFetchResult.NONE "的提示,正确实施和托管MTA-STS策略文件。

作者:Yunes Tarada

阅读时间 5 分钟
如何修复 "MTA-STS策略缺失"?
目录-

如果您遇到"缺少MTA-STS 策略:STSFetchResult.NONE"命令,那你就找对地方了。今天,我们将讨论如何通过为你的域添加MTA-STS策略来修复和消除这个错误信息。

简单邮件传输协议,又称SMTP,是大多数电子邮件服务提供商使用的标准电子邮件传输协议。这并不是一个陌生的概念,自古以来,SMTP一直面临着安全方面的挑战,这些挑战到现在为止,他们还没能想出办法。这是因为,为了使电子邮件向后兼容,SMTP以STARTTLS命令的形式引入了机会主义加密。 这基本上意味着,如果在两个通信的SMTP服务器之间不能协商出一个加密的连接,那么连接就会回滚到一个未加密的连接,并且信息是以明文形式发送。 

这使得通过 SMTP 传输的电子邮件容易受到无孔不入的监控和网络窃听攻击,如中间人攻击。这对发送方和接收方都有风险,并可能导致敏感数据外泄。这就是 MTA-STS 的作用所在,它强制要求 SMTP 采用 TLS 加密,以阻止电子邮件通过不安全的连接传送。 

主要收获

  1. MTA-STS 对于强制执行 TLS 加密、减少电子邮件在传输过程中的漏洞至关重要。
  2. 创建和发布 MTA-STSDNS TXT 记录是为您的域名启用该标准的第一步。
  3. 在测试模式下实施 MTA-STS 策略可以监控和解决潜在的 SMTP TLS 连接问题,而无需立即执行。
  4. 每个域都必须有一个唯一的 MTA-STS 策略文件,因为多个文件会导致错误配置和错误。
  5. 利用托管 MTA-STS 服务可以简化部署流程,并确保符合最新的 TLS 标准。

什么是MTA-STS政策?

为了提高 SMTP电子邮件的安全性并充分利用 MTA-STS 等验证协议,发送服务器应支持该协议,电子邮件接收服务器应在其 DNS 中定义 MTA-STS 策略。我们还鼓励采用强制策略模式,以进一步提高安全标准。MTA-STS 策略定义了接收方域内使用 MTA-STS 的电子邮件服务器。 

为了使你的域名作为电子邮件接收方启用MTA-STS,你需要在你的DNS中托管一个MTA-STS策略文件。这允许外部电子邮件发送者向你的域名发送经过认证的电子邮件,并使用最新版本的TLS(1.2或更高)进行TLS加密。 

没有为你的域名发布或更新策略文件,可能是遇到类似""的错误信息的主要原因。缺少MTA-STS策略。STSFetchResult.NONE",这意味着发送方的服务器在查询接收方的DNS时无法获取MTA-STS策略文件,发现它缺失。

MTA-STS的先决条件。

启用MTA-STS的邮件服务器应该使用1.2或更高版本的TLS,并且应该有符合当前RFC标准和规范的、未过期的TLS证书,以及由可信的根证书机构签署的服务器证书。

利用 PowerDMARC 简化安全性!

开始15天试用 预定演示

修复 "MTA-STS策略缺失 "的步骤

1.创建和发布MTA-STS的DNS TXT记录 

第一步是为你的域名创建一个MTA-STS记录。你可以使用MTA-STS记录生成器立即创建一个记录,为你的域名提供一个定制的DNS记录。 

2.定义一个MTA-STS策略模式

MTA-STS提供两种策略模式供用户使用。

  • 测试模式:这个模式非常适合没有配置过协议的初学者。MTA-STS测试模式允许你接收关于MTA-STS策略中的问题、建立加密SMTP连接的问题或邮件发送失败的SMTP TLS报告。这有助于你应对与你的域名和服务器有关的现有安全问题,而不需要强制执行TLS加密。
  • 强制执行模式:当你仍然收到你的TLS报告时,随着时间的推移,用户最好强制执行他们的MTA-STS政策,在使用SMTP接收邮件时强制进行加密。这可以防止邮件在传输过程中被改变或篡改。

3.创建MTA-STS策略文件

下一步是为你的域托管MTA-STS策略文件。请注意,虽然每个文件的内容可以相同,但必须为不同的域分别托管策略,而且一个域只能有一个MTA-STS策略文件。为一个域托管多个MTA-STS策略文件会导致协议配置错误。 

MTA-STS策略文件的标准格式如下。 

文件名:mta-sts.txt

最大文件大小:64 KB

版本。STSv1

模式:测试

mx: mail.yourdomain.com

mx:*.yourdomain.com

max_age。806400 

注意。 上面显示的政策文件只是一个例子。

4.发布您的MTA-STS策略文件

接下来,您必须在外部服务器可访问的公共网络服务器上发布 MTA-STS 策略文件。确保你托管文件的服务器支持 HTTPS 或SSL。操作步骤很简单。假设您的域已预先配置了公共网络服务器:

  • 在你现有的域名上添加一个子域,该子域应以文字:mta-sts开头(例如mta-sts.domain.com)。 
  • 你的策略文件将指向你创建的这个子域,并且必须存储在一个 .known目录中
  • 在发布MTA-STS的DNS记录时,政策文件的URL被添加到DNS条目中,这样服务器就可以在电子邮件传输过程中查询DNS以获取政策文件。

5.激活MTA-STS和TLS-RPT

最后,你需要发布你的MTA-STS和 TLS-RPT的DNS记录,使用TXT作为资源类型,放在两个独立的子域中(_smtp._tls和 _mta-sts)。)这将允许只有TLS加密的信息到达你的收件箱,这些信息是经过验证的,不受干扰的。此外,你将收到来自外部服务器的关于你所配置的电子邮件地址或网络服务器的交付和加密问题的每日报告。

你可以在你的记录发布并上线后,通过执行MTA-STS记录查询来验证你的DNS记录的有效性。  

注意。 每次你对你的MTA-STS策略文件的内容进行修改时,你必须在你托管文件的公共网络服务器以及包含你的策略URL的DNS条目上进行更新。每次你更新或添加到你的域名或服务器时也是如此。

托管的MTA-STS服务如何帮助解决 "MTA-STS策略缺失 "问题?

手动实施MTA-STS可能是艰巨的、具有挑战性的,并留下了错误的空间。PowerDMARC的 托管的MTA-STS服务帮助域名所有者加速这一过程,使协议部署毫不费力且快速。你可以。

  • 只需点击几下,就可以为MTA-STS发布你的CNAME记录
  • 将维护和托管MTA-STS策略文件和网络服务器的艰苦工作外包出去
  • 只要你愿意,可以直接从你定制的仪表板上改变你的政策模式,而不必访问你的DNS
  • 我们将SMTP TLS报告的JSON文件以一种有组织的、人类可读的格式显示出来,对技术人员和非技术人员来说都很方便和容易理解。

最重要的是什么?我们是符合RFC标准的,并支持最新的TLS标准。这有助于你开始为你的域名进行无错误的MTA-STS配置,并享受它的好处,同时将麻烦和复杂的事情留给我们代表你来处理! 

希望这篇文章能帮助你摆脱 "MTA-STS策略丢失。STSFetchResult.NONE "提示,并为你的域名正确配置协议,以减少SMTP安全方面的漏洞和挑战。 

今天就为您的电子邮件启用MTA-STS,请参加一个免费的 电子邮件认证 DMARC试验来提高你对MITM和其他网络窃听攻击的防御能力!

Yunes Tarada 的最新帖子(查看全部)
如何使我的第三方供应商符合DMARC标准?如何使我的第三方供应商符合DMARC标准 2微软DMARC微软DMARC汇总报告