Чтобы внедрить стандарт MTA-STS в используемых вами доменах, создайте и опубликуйте правило для каждого из них. Правило определяет, к каким почтовым серверам в домене применяется стандарт MTA-STS.
Для каждого домена нужно создать отдельный файл. Правила могут быть одинаковыми, но соответствующий файл должен быть загружен в каждый из доменов, где используется стандарт MTA-STS.
Требования к серверу для стандарта MTA-STS
Убедитесь, что серверы для входящей почты соответствуют следующим требованиям:
- Серверы настроены на использование протокола TLS.
- Они используют TLS 1.2 или более поздней версии.
- Сертификаты TLS на сервере соответствуют следующим требованиям:
- Указанное в них доменное имя используется сервером входящей почты (указан в записях MX).
- Они подписаны доверенным сторонним корневым центром сертификации.
- Срок их действия не истек.
Подробнее о сертификатах Google Workspace для протокола TLS…
Режимы правила MTA-STS
Вы можете включить правило MTA-STS в режиме тестирования или принудительного применения.
Режим тестирования
Включив правило в режиме тестирования, вы начнете получать от внешних почтовых серверов ежедневные отчеты об ошибках при подключении к домену.В отчетах содержатся данные об обнаруженных правилах MTA-STS, статистика трафика, а также сведения об ошибках подключения и неотправленных сообщениях.
В этом режиме ваш домен только запрашивает отчеты. Настройки безопасности в соответствии со стандартом MTA-STS не применяются принудительно. Рекомендуем использовать режим тестирования в течение двух недель. Этого времени достаточно, чтобы выявить и устранить любые возникшие проблемы.
Информация, доступная в ежедневных отчетах, поможет устранить проблемы, связанные с шифрованием, а также любые другие проблемы с безопасностью на сервере или в домене. После этого включите режим принудительного применения.
Режим принудительного применения
После включения режима принудительного применения внешние почтовые серверы начнут получать запросы на подтверждение того, что подключение по протоколу SMTP зашифровано и прошло аутентификацию.
Если оно не соответствует этим требованиям:
- Удаленные серверы, которые поддерживают стандарт MTA-STS, не будут отправлять письма в ваш домен.
- Серверы, которые не поддерживают стандарт MTA-STS, продолжат отправлять письма в ваш домен по протоколу SMTP. Эти SMTP-подключения могут быть не зашифрованы.
В принудительном режиме вы по-прежнему будете получать ежедневные отчеты от внешних почтовых серверов.
Создание файла правила
Файл правила – это обычный текстовый файл, содержащий пары "ключ/значение". Каждую пару нужно разместить в отдельной строке, как показано в примере ниже. Размер текстового файла правила должен быть не более 64 КБ.
Имя файла правила. Файл должен обязательно называться mta-sts.txt.
Обновление файлов правила. Обновляйте файл правила каждый раз, когда вы добавляете и меняете почтовые серверы или меняете домен.
Формат файла правила. В первой строке файла должна быть указана версия. Другие строки могут быть расположены в произвольном порядке. Вот пример содержимого файла:
version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800
Содержимое файла правила. Файл должен обязательно содержать все перечисленные ниже пары ключ-значение. Чтобы создать правило, настроенное для вашего домена, следуйте этим инструкциям.
| Ключ | Значение |
|---|---|
| version | Версия протокола. Укажите STSv1. |
| mode |
Режим правила:
|
| mx |
Запись MX для домена.
Подробнее о записях MX и их значениях… |
| max_age |
Максимальная продолжительность действия правила в секундах. Параметр max_age для удаленного сервера сбрасывается каждый раз, когда сервер обращается к правилу.Таким образом, продолжительность действия одного и того же правила для разных серверов может отличаться. Значение параметра должно быть в диапазоне от 86400 (1 день) до 31557600 (примерно 1 год). В режиме тестирования рекомендуем использовать значения от 604800 до 1209600 (1–2 недели). |
