Meningkatkan keamanan email dengan pelaporan MTA-STS dan TLS

2. Buat kebijakan MTA-STS

Siapkan MTA-STS untuk domain Anda dengan membuat dan memublikasikan kebijakan untuk setiap domain. Kebijakan ini menentukan server email di domain yang menggunakan MTA-STS.

Setiap domain harus memiliki file kebijakan terpisah. Kebijakan boleh sama, tetapi harus dihosting secara terpisah untuk setiap domain yang menggunakan MTA-STS.

Persyaratan server untuk MTA-STS

Pastikan hal berikut untuk server email yang menerima email masuk:

  • Server email mewajibkan email dikirim melalui sambungan aman (TLS).
  • Server email menggunakan TLS versi 1.2 atau yang lebih baru.
  • Sertifikat TLS server:
    • Cocok dengan nama domain yang digunakan oleh server email masuk (server di data MX Anda).
    • Ditandatangani dan dipercaya oleh otoritas root certificate.
    • Masa berlaku belum berakhir.

Pelajari sertifikat TLS lebih lanjut di Menggunakan sertifikat Google Workspace untuk transmisi aman (TLS).

Mode kebijakan MTA-STS

Anda dapat menyiapkan kebijakan MTA-STS dalam mode pengujian atau terapkan.

Mode pengujian

Mode pengujian meminta agar server email eksternal mengirimkan laporan harian kepada Anda. Laporan berisi informasi tentang masalah yang terdeteksi saat menghubungkan ke domain Anda. Laporan mencakup kebijakan MTA-STS yang terdeteksi, statistik traffic, sambungan yang tidak berhasil, dan detail pesan yang belum dikirim.

Dalam mode pengujian, domain Anda hanya meminta laporan. Mode ini tidak menerapkan keamanan sambungan apa pun yang diperlukan oleh MTA-STS. Sebaiknya mulai dengan mode pengujian selama 2 minggu. Data laporan dalam 2 minggu sudah cukup untuk mempelajari dan memperbaiki masalah apa pun pada domain Anda.

Gunakan informasi dalam laporan harian untuk menyelesaikan masalah enkripsi atau masalah keamanan lain pada server atau domain Anda. Kemudian, ubah kebijakan untuk mode terapkan.

Mode terapkan

Saat kebijakan diterapkan dalam mode terapkan, domain Anda akan meminta server eksternal untuk memastikan bahwa sambungan SMTP dienkripsi dan diautentikasi.

Jika sambungan tidak dienkripsi dan diautentikasi:

  • Server yang mendukung MTA-STS tidak akan mengirim email ke domain Anda.
  • Server yang tidak mendukung MTA-STS akan terus mengirim pesan ke domain Anda melalui sambungan SMTP seperti biasanya. Sambungan SMTP ini mungkin tidak dienkripsi.

Dalam mode terapkan, Anda akan terus menerima laporan harian dari server eksternal.

Membuat file kebijakan

File kebijakan adalah file teks biasa yang memiliki pasangan kunci dan nilai. Setiap pasangan harus berada pada barisnya sendiri dalam file teks, seperti yang ditunjukkan pada contoh di bawah. Ukuran file teks kebijakan dapat mencapai 64 KB.

Nama file kebijakan: Nama file untuk file teks harus mta-sts.txt

Memperbarui file kebijakan: Perbarui file kebijakan setiap kali Anda menambahkan atau mengubah server email, atau mengubah domain.

Format file kebijakan: Kolom version harus ada di baris pertama kebijakan. Kolom lain boleh dalam urutan apa pun. Berikut ini contoh file kebijakan:

versi: STSv1
mode: pengujian
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Konten file kebijakan: Kebijakan harus menyertakan semua pasangan kunci dan nilai berikut. Untuk mendapatkan kebijakan yang disesuaikan bagi domain Anda, ikuti langkah-langkah di Memeriksa status MTA-STS dan mendapatkan konfigurasi yang disarankan.

Kunci Nilai
version Versi protokol. Harus STSv1
mode

Mode kebijakan:

  • testing (pengujian): Server eksternal mengirimi Anda laporan tentang masalah enkripsi dan masalah lain yang terdeteksi saat menyambungkan ke domain Anda. Persyaratan enkripsi dan autentikasi MTA-STS tidak diterapkan.

  • enforce (terapkan) Jika sambungan SMTP tidak memiliki autentikasi dan enkripsi, server email yang disiapkan untuk MTA-STS tidak akan mengirim pesan ke domain Anda. Anda juga mendapatkan laporan dari server eksternal tentang masalah sambungan, seperti dalam mode pengujian.

  • none (tidak ada): Memberi tahu server eksternal bahwa domain Anda tidak lagi mendukung MTA-STS. Gunakan nilai ini jika Anda berhenti menggunakan MTA-STS. Pelajari Menghapus MTA-STS (RFC 8461).
mx

Data MX untuk domain.

  • Kebijakan harus memiliki entri mx untuk setiap data MX yang ditambahkan ke domain.
  • Setiap entri mx harus dimasukkan dalam baris terpisah dalam file kebijakan, seperti yang ditunjukkan dalam contoh.
  • Nama server email harus dalam format Nama Alternatif Subjek (SAN) standar.
  • Nilai mx harus dalam salah satu format yang ditampilkan dalam contoh berikut:

    Tetapkan server tunggal dalam bentuk MX standar: alt1.aspmx.solarmora.com

    Untuk menetapkan server yang cocok dengan pola penamaan, gunakan karakter pengganti. Karakter pengganti hanya menggantikan satu label yang paling kiri, misalnya: *.solarmora.com

Pelajari lebih lanjut data MX dan nilai data MX.
max_age

Waktu maksimum kebijakan valid, dalam detik. max_age disetel ulang untuk server eksternal setiap kali server memeriksa kebijakan. Jadi, server eksternal dapat memiliki tanggal habis masa berlaku yang berbeda untuk kebijakan yang sama.

Nilainya harus antara 86400 (1 hari) dan 31557600 (sekitar 1 tahun).

Untuk mode pengujian, kami menyarankan nilai antara 604800 dan 1209600 (1–2 minggu).

Langkah Berikutnya

Memublikasikan kebijakan MTA-STS

Apakah ini membantu?

Bagaimana cara meningkatkannya?

Perlu bantuan lain?

Coba langkah-langkah selanjutnya berikut:

Posting ke komunitas bantuan Dapatkan jawaban dari anggota komunitas
Hubungi kami Beri tahu kami selengkapnya dan kami akan membantu Anda
true
Mulailah uji coba gratis 14 hari Anda

Email profesional, penyimpanan online, kalender bersama, rapat video, dan lainnya. Mulailah uji coba gratis G Suite sekarang.

Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
12652008930089653674
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false
false
false