Wyszukaj na stronie

Skonfiguruj MTA-STS i miej pewność, że Twoja poczta jest bezpieczna

  1. Start
  2. /
  3. Blog
  4. /
  5. Technologie IT
  6. /
  7. Skonfiguruj MTA-STS i miej pewność, że Twoja poczta jest bezpieczna
Technologie IT

Większość serwerów poczty e-mail korzysta z protokołu SMTP, który sam w sobie nie zapewnia należytego bezpieczeństwa. Niezabezpieczony serwer nie powinien być stosowany do przesyłania poufnych danych. Konieczne jest wykorzystanie dodatkowych metod szyfrowania, np. MTA-STS.

Skonfiguruj MTA-STS i miej pewność, że Twoja poczta jest bezpieczna

Czym jest MTA-STS i w jaki sposób zabezpiecza e-maile?

Konfiguracja MTA-STS sprawia, że serwer przyjmuje wyłącznie te wiadomości, które zostały poddane szyfrowaniu TLS w jednej z najnowszych wersji. W dodatku odbiorcy mają pewność, że pochodzące od Ciebie e-maile również są w pełni bezpieczne. W ten sposób można zapobiec atakom typu „man in the middle”. W czasie takiego ataku serwer zewnętrzny przemyca wysłana wiadomość i dokonuje zmian.

Większość serwerów działających na zasadzie protokołu SMTP obsługuje TLS, jednakże nie zawsze serwery z tej formy korzystają. Nie ma zatem pewności, że wiadomość została poddana szyfrowaniu TLS - Transport Layer Security. TLS to nic innego, jak tylko kolejna wersja protokołu zabezpieczającego SSL.

Innymi słowy, MTA-STS wymusza zastosowanie szyfrowania TLS w ramach protokołu SMTP. Ten sposób zabezpieczenia jest odpowiedni na przykład w sytuacji, gdy chcesz umożliwić klientom przekazywanie wrażliwych danych za pośrednictwem poczty e-mail. Może to być wskazane celem załatwienia najróżniejszych spraw bez wychodzenia z domu. Podobne szyfrowanie powinno być stosowane celem zabezpieczenia wiadomości przesyłanych wewnątrz firmy, pomiędzy pracownikami czy partnerami biznesowymi.

W ramach tej formy zabezpieczenia możesz także korzystać raportów TLS. Dzięki temu zyskasz ważne informacji dotyczące pojawiających się nieścisłości. Serwery zewnętrzne, z których pochodzą wiadomości nadawców, otrzymają automatyczne żądanie wysłania takiego raportu.

TLS / SSL

Jak skonfigurować MTA-STS?

Sposób konfiguracji MTA-STS jest w dużej mierze uzależniony od funkcji poczty. Jeśli dostawca poczty umożliwia wykonanie takiej konfiguracji z zastosowaniem kilku prostych kroków, nie musisz korzystać z poniższej zaawansowanej instrukcji. Ponadto, możesz zapytać dostawcę poczty o rodzaje stosowanych zabezpieczeń. Być może opcja MTA-STS jest stosowana jako domyślna forma ochrony? Jeśli nie, warto przeprowadzić konfigurację zgodnie z następującymi krokami:

  • sprawdź, czy certyfikaty TLS stosowane przez serwer są odpowiednie i aktualne,
  • stwórz plik konfigurujący w formie tekstu mta-sts.txt.  To tak zwane zasady MTA-STS. W pliku muszą znaleźć się następujące dane:

- version: w tym miejscu zawsze należy umieścić tekst STSv1,
- mode: tutaj możesz wybrać jedną z dostępnych opcji. Jeśli chcesz skutecznie konfigurować MTA-STS wpisz „enforce”. Jeżeli zależy Ci wyłącznie na okresowym testowaniu tej opcji zastosuj „testing”. Jeśli kiedykolwiek pojawi się potrzeba wyłączenia tej opcji wpisz „none”,
- mx: tu należy podać nazwę serwera poczty, np. mail.firmax.com. Jeśli chcesz skonfigurować tę opcję dla wielu serwerów wystarczy zastosować kilka wierszy mx.
- max_age: określ czas, w którym ustalona zasada będzie aktualna. Czas ten określany jest w sekundach. Możesz podać dowolną liczbę do 31557600. Jeden tydzień wynosi 604800 sekund. Przykładowa ostateczna forma pliku z zasadami MTA-STS wygląda następująco:

version: STSv1

mode: enforce

mx: mail1.firmax.com

mx: mail2.firmax.com

max_age: 604800

  • wyślij utworzoną zasadę na publiczny serwer. Często odbywa się to za pośrednictwem utworzonego wcześniej wirtualnego serwera. Nazwa serwera musi zaczynać się od mta-sts, np. mta-sts.firmax.com. Serwer ten musi być zabezpieczony protokołem SSL/HTTPS.
  • dodaj rekordy DNS. Przede wszystkim dodaj rekord dla MTA-STS, który powinien prezentować się następująco:

    mta-sts.firmax.com TXT "v=STSv1; id=12345678910

    W miejscu „mta-sts.firmax.com” podaj oczywiście odpowiednią nazwę DNS serwera. Natomiast jako ID można zastosować dowolny ciąg liczb. Dodając kolejny rekord określisz adres a-mail, na który mają być dostarczane raporty TLS. W tym celu zastosuj „rua”, np.:

    _smtp._tls.firmax.com TXT "v=TLSRPTv1; rua=mailto:firmax@nazwa.com"

To wszystko! Poszczególni dostawcy domen mogą ułatwić Ci sprawdzenie, czy zastosowane zabezpieczenia odpowiednio funkcjonują. W tym celu skontaktuj się z obsługą serwera poczty. Jeśli otrzymujesz raporty TLS, z pewnością zabezpieczenie MTA-STS funkcjonuje odpowiednio. Pamiętaj, że dostępne są także inne formy ochrony poczty e-mail. To na przykład SPF, DMARC czy DKIM. Chcesz, aby profesjonaliści zadbali o Twoje e-maile i bezpieczeństwo klientów firmy? Skontaktuj się z idea4me!

Wróć

Zobacz także

Jak rozplanować budżet marketingowy dla firmy lokalnej?
Marketing i promocja

Jak rozplanować budżet marketingowy dla firmy lokalnej?

Efektywne rozplanowanie budżetu marketingowego stanowi kluczowy element sukcesu dla firm lokalnych, które pragną osiągnąć wzrost i dotrzeć do wymarzonej

Treści na stronie okiem robota, czyli algorytmy Google
Pozycjonowanie

Treści na stronie okiem robota, czyli algorytmy Google

Wyniki w wyszukiwarce Google to jeden wielki ranking stron internetowych. To, jakie miejsce w tym rankingu zajmie Twoja strona www jest zależne od wielu

Ścieżki zakupowe klienta i ich znaczenie podczas tworzenia sklepu internetowego
Marketing i promocja

Ścieżki zakupowe klienta i ich znaczenie podczas tworzenia sklepu internetowego

Czym jest ścieżka zakupowa w sklepie internetowym? Jak wygląda z perspektywy klienta i sprzedawcy?

Używamy plików tekstowych zwanych „cookies” („ciasteczka”), by uczynić naszą stronę łatwiejszą w użytkowaniu. Dowiedz się więcej.

x