MTA-STS 概述
歡迎來到 MTA-STS 文件。使用側邊欄或以下連結進行導航:
什麼是 MTA-STS?
MTA-STS 是一種安全協議,使電子郵件伺服器能夠在向支持該協議的其他伺服器發送電子郵件時強制執行傳輸層安全性 (TLS) 加密和證書驗證。MTA-STS 代表通過 TLS 的郵件傳輸代理嚴格傳輸安全性,並在 RFC 8461 中定義。
MTA-STS 如何運作?
MTA-STS 通過允許電子郵件伺服器發布一個策略來指定其他伺服器應如何連接到它們。該策略包括以下信息:
- 策略的有效期
- 是否需要或可選 TLS 加密
- 伺服器的證書是否必須與域名匹配或由受信任的機構簽署
- 如何報告任何連接失敗或策略違規
該策略以兩種方式發布:作為 DNS TXT 記錄和作為託管在網頁伺服器上的文件。DNS TXT 記錄包含指向策略文件所在的網頁伺服器的指針。策略文件名為 .well-known/mta-sts.txt,格式為帶有鍵值對的純文本文件。
當電子郵件伺服器想要向支持 MTA-STS 的另一個伺服器發送電子郵件時,它首先查詢接收域的 DNS TXT 記錄以檢查是否有可用的策略。如果有,它會從網頁伺服器獲取策略文件並遵循策略中的指示。如果策略要求 TLS 加密和證書驗證,電子郵件伺服器將僅在能夠與接收伺服器建立安全且經過身份驗證的連接時才傳送電子郵件。如果策略是可選的,電子郵件伺服器將嘗試使用 TLS 加密和證書驗證,但如果失敗,它將回退到純文本連接。如果策略不可用或已過期,電子郵件伺服器將使用其默認設置進行電子郵件傳送。
MTA-STS max-age 設定
MTA-STS 策略中的 max_age 指令指定策略的最大有效期(以秒為單位)。以下是一些關鍵點:
- 接受的值:任何正整數,最多 31,557,600 秒(相當於一年)。
- 範例:您可以將
max_age設置為 604,800 秒(即一週)。
max_age 的目的是確定伺服器應在檢查新策略之前緩存您的 MTA-STS 策略的時間長短。例如,Google 處理 max_age 超過 86,400 秒(一天)的策略。max_age 的最大值為 31,557,600 秒。
選擇適當的 max_age 值至關重要。以下是一些考慮因素:
- 較短的 max_age:
- 如果出現互操作性問題,允許更容易地移除或更改 MTA-STS。
- 對於尚不支持但計劃未來支持 MTA-STS 的大型整合商有用。
- 較長的 max_age:
- 減少策略檢查的頻率。
- 通過減少頻繁的策略更新需求來提高性能。
- 但是,這也意味著任何必要的策略更改需要更長時間才能傳播。
MTA-STS 如何與 DMARC 協作
MTA-STS 和 DMARC 互相補充,以增強電子郵件通信的安全性和隱私性。MTA-STS 保護電子郵件伺服器之間的連接免受攔截和修改,而 DMARC 保護電子郵件的內容和標頭免受欺騙和網絡釣魚。通過使用這兩種協議,電子郵件伺服器和用戶可以在電子郵件通信中獲得更高的信任和信心。
為什麼 MTA-STS 很重要?
MTA-STS 很重要,因為它增強了電子郵件通信的安全性和隱私性。通過強制執行 TLS 加密和證書驗證,MTA-STS 防止攻擊者攔截、修改或偽造傳輸中的電子郵件。
這降低了網絡釣魚、惡意軟件、垃圾郵件和身份盜竊的風險。MTA-STS 還幫助電子郵件伺服器遵守其行業或地區的安全標準和法規。
MTA-STS 的限制
MTA-STS 存在一些限制,電子郵件伺服器和用戶應該注意。它們中的一些是:
- 範圍:MTA-STS 僅適用於電子郵件伺服器之間的連接,而不適用於電子郵件客戶端和伺服器之間。因此,電子郵件客戶端和用戶仍然需要使用其他安全措施,例如端到端加密,以保護其電子郵件免受未經授權的訪問或篡改。
- 依賴於 DNS 和網頁伺服器:MTA-STS 依賴於託管策略的 DNS 和網頁伺服器的可用性和完整性。如果這些伺服器被破壞、離線或配置錯誤,策略可能無法訪問或不準確,電子郵件傳送可能會受到影響。
- 策略執行:MTA-STS 不會阻止電子郵件伺服器接受或發送不符合策略的電子郵件。例如,電子郵件伺服器可能會接受來自不使用 TLS 加密或證書驗證的發件人的電子郵件,或者可能會向不支持 MTA-STS 的收件人發送電子郵件。因此,電子郵件伺服器和用戶仍然需要使用其他安全機制,例如 SPF、DKIM 和 DMARC,以驗證電子郵件發件人和收件人的身份和真實性。
相關主題
- TLS-RPT 域設定 - 配置 TLS-RPT/MTA-STS 設定