Nội dung
- Yêu cầu - Bước 1 - Tạo file policy MTA-STS - Bước 2 - Cấu hình Apache để cung cấp file policy MTA-STS của bạn - Bước 3 - Nhận certificate Let's Encrypt cho domain phụ MTA-STS của bạn - Bước 4 - Cấu hình các bản ghi DNS cần thiết để kích hoạt MTA-STS và TLSRPT - Bước 5 - Diễn giải Báo cáo TLSRPT đầu tiên của bạn - Kết luận

Thứ sáu, 06/09/2019 | 00:00 GMT+7

Cách cấu hình báo cáo MTA-STS và TLS cho miền của bạn bằng Apache trên Ubuntu 18.04

Mail Transport Agent Bảo mật truyền tải nghiêm ngặt (MTA-STS) là một tiêu chuẩn internet mới cho phép bạn bật TLS buộc chặt chẽ cho email được gửi giữa các nhà cung cấp email được hỗ trợ. Nó tương tự như Bảo mật truyền tải nghiêm ngặt HTTP (HSTS) , trong đó policy force-TLS được cài đặt và sau đó được lưu vào bộ nhớ cache trong một khoảng thời gian cụ thể, giảm nguy cơ tấn công kẻ trung gian hoặc hạ cấp.

MTA-STS được bổ sung bởi Báo cáo SMTP TLS (TLSRPT), cung cấp cho bạn thông tin chi tiết về email nào được gửi thành công qua TLS và email nào không. TLSRPT tương tự như báo cáo DMARC , nhưng đối với TLS.

Lý do chính để triển khai MTA-STS cho domain của bạn là đảm bảo rằng email bí mật được gửi cho bạn được truyền một cách an toàn qua TLS. Các phương pháp khác để khuyến khích TLS cho liên lạc qua email, chẳng hạn như STARTTLS, vẫn dễ bị tấn công trung gian, vì kết nối ban đầu không được mã hóa. MTA-STS giúp đảm bảo khi ít nhất một kết nối an toàn đã được cài đặt , TLS sẽ được sử dụng theo mặc định từ đó trở đi, điều này làm giảm đáng kể nguy cơ xảy ra các cuộc tấn công này.

Ví dụ về trường hợp sử dụng cho MTA-STS và Báo cáo TLS là giúp tạo hệ thống email dịch vụ khách hàng an toàn cho doanh nghiệp của bạn. Khách hàng có thể gửi phiếu hỗ trợ qua email chứa thông tin cá nhân bí mật cần kết nối TLS an toàn. MTA-STS giúp đảm bảo tính bảo mật của kết nối và TLSRPT sẽ cung cấp các báo cáo hàng ngày xác định bất kỳ email nào không được gửi một cách an toàn — cung cấp thông tin chi tiết quan trọng về bất kỳ cuộc tấn công nào đang diễn ra hoặc trước đó nhằm vào hệ thống email của bạn.

Trong hướng dẫn này, bạn sẽ học cách cấu hình MTA-STS và TLSRPT cho domain của bạn , sau đó diễn giải Báo cáo TLS đầu tiên của bạn. Mặc dù hướng dẫn này trình bày các bước sử dụng Apache trên Ubuntu 18.04 với certificate Let's Encrypt, cấu hình MTA-STS / TLSRPT cũng sẽ hoạt động trên các lựa chọn thay thế, chẳng hạn như Nginx trên Debian.

Yêu cầu

Trước khi bắt đầu hướng dẫn này, bạn cần:

Tên domain đã được cấu hình để nhận email, sử dụng server thư của bạn hoặc dịch vụ thư được lưu trữ, chẳng hạn như G Suite hoặc Office 365 . Hướng dẫn này sẽ sử dụng your-domain xuyên suốt, tuy nhiên điều này nên được thay thế bằng domain của bạn . Bạn cần cài đặt domain phụ như một phần của hướng dẫn, vì vậy hãy đảm bảo bạn có thể truy cập cài đặt DNS cho domain của bạn .
Một server Ubuntu 18.04 được cài đặt theo Cài đặt server ban đầu với Ubuntu 18.04 , bao gồm cả user không phải root có quyền sudo .
Một web server Apache được cài đặt và cấu hình theo Cách cài đặt Server Web Apache trên Ubuntu 18.04 .
Một ứng dụng client Certbot được cấu hình để có được certificate Let's Encrypt, theo Cách bảo mật Apache bằng Let's Encrypt trên Ubuntu 18.04 .

Khi đã sẵn sàng những thứ này, hãy đăng nhập vào server của bạn với quyền là user không phải root của bạn để bắt đầu.

Lưu ý: Khi bạn đã hoàn thành các bước triển khai cho MTA-STS và TLSRPT, bạn có thể phải đợi tối đa 24 giờ để nhận được Báo cáo TLS đầu tiên của bạn .Điều này là do hầu hết các nhà cung cấp dịch vụ email gửi báo cáo một lần mỗi ngày. Bạn có thể tiếp tục hướng dẫn từ Bước 5 sau khi nhận được báo cáo đầu tiên của bạn .

Bước 1 - Tạo file policy MTA-STS

MTA-STS được bật và cấu hình bằng file cấu hình văn bản thuần túy mà bạn lưu trữ trên trang web của bạn . Sau đó, các server thư được hỗ trợ sẽ tự động kết nối với trang web để truy xuất file , điều này khiến MTA-STS được bật. Trong bước đầu tiên này, bạn sẽ hiểu các tùy chọn có sẵn cho file này và chọn tùy chọn thích hợp nhất cho file của bạn.

Trước tiên, hãy mở một file văn bản mới trong folder chính của bạn để bạn có nơi nào đó để viết ra cấu hình mong muốn của bạn :

nano mta-sts.txt

Đầu tiên ta sẽ xem qua một ví dụ, sau đó bạn sẽ viết file cấu hình của riêng mình.

Sau đây là ví dụ về file cấu hình MTA-STS:

Tệp cấu hình MTA-STS mẫu

version: STSv1 mode: enforce mx: mail1.your-domain mx: mail2.your-domain max_age: 604800

Tệp cấu hình ví dụ này chỉ định rằng tất cả email được gửi đến mail1. your-domain và mail2. your-domain từ các nhà cung cấp được hỗ trợ phải được phân phối qua kết nối TLS hợp lệ. Nếu không thể cài đặt kết nối TLS hợp lệ với server thư của bạn (ví dụ: nếu certificate đã hết hạn hoặc được tự ký), email sẽ không được gửi.

Điều này sẽ khiến kẻ tấn công khó khăn hơn nhiều trong việc chặn và rình mò / sửa đổi email của bạn trong một tình huống như một cuộc tấn công trung gian. Điều này là do việc bật MTA-STS đúng cách chỉ cho phép email được truyền qua kết nối TLS hợp lệ, kết nối này certificate request TLS hợp lệ. Kẻ tấn công sẽ khó có được certificate như vậy, vì làm như vậy thường yêu cầu quyền truy cập quyền vào domain và / hoặc trang web .

Như trong ví dụ trước đó ở bước này, file cấu hình bao gồm một số cặp khóa / giá trị:

version :
- Mục đích : Để chỉ định version đặc tả MTA-STS sẽ sử dụng.
- Giá trị được chấp nhận : Hiện tại giá trị được chấp nhận duy nhất là STSv1 .
- Ví dụ : version: STSv1
mode :
- Mục đích : Chỉ định chế độ MTA-STS nên được bật.
- Giá trị được chấp nhận :
  - enforce : Buộc tất cả email đến từ các nhà cung cấp được hỗ trợ sử dụng TLS hợp lệ.
  - testing : Chế độ chỉ báo cáo. email sẽ không bị chặn, nhưng báo cáo TLSRPT vẫn được gửi.
  - none : Tắt MTA-STS.
- Ví dụ : mode: enforce
mx :
- Mục đích : Để chỉ định server thư nào được phép xử lý email cho domain của bạn. Điều này phải trùng với các server được chỉ định trong bản ghi mx của bạn.
- Giá trị được Chấp nhận : Tên domain đủ điều kiện của server thư hoặc server ký tự đại diện. Nhiều giá trị mx: phải được sử dụng để chỉ định nhiều server thư.
- Ví dụ : mx: mail1. your-domain , mx: mail2. your-domain , mx: *.example.org
max_age :
- Mục đích : Để chỉ định thời gian tồn tại tối đa của policy MTA-STS, tính bằng giây.
- Giá trị được chấp nhận : Bất kỳ số nguyên dương nào lên đến 31557600.
- Ví dụ : max_age: 604800 : max_age: 604800 (1 tuần)

Bạn cũng có thể xem thông số kỹ thuật chính thức cho các cặp khóa / giá trị trong Phần 3.2 của MTA-STS RFC .

Cảnh báo: Việc bật MTA-STS ở chế độ enforce có thể khiến một số email không được gửi đến bạn một cách bất ngờ. Thay vào đó, bạn nên sử dụng mode: testing và giá trị max_age: thấp lúc đầu đảm bảo rằng mọi thứ hoạt động chính xác trước khi bật MTA-STS hoàn toàn.

Sử dụng file ví dụ trước đó trong bước, cũng như các ví dụ về cặp khóa / giá trị trước đó, hãy ghi file policy MTA-STS mong muốn của bạn và lưu vào file mà bạn đã tạo ở đầu bước.

Tệp ví dụ sau là file lý tưởng để thử nghiệm MTA-STS, vì nó sẽ không khiến bất kỳ email nào bị chặn đột ngột và có thời max_age đa chỉ là 1 ngày, nghĩa là nếu bạn quyết định vô hiệu hóa nó, cấu hình sẽ nhanh chóng hết hạn. Lưu ý một số nhà cung cấp email sẽ chỉ gửi báo cáo TLSRPT nếu max_age lớn hơn 1 ngày, đó là lý do tại sao 86401 giây là một lựa chọn tốt (1 ngày 1 giây).

Kiểm tra ví dụ Tệp cấu hình MTA-STS

version: STSv1 mode: testing mx: mail1.your-domain mx: mail2.your-domain max_age: 86401

Trong bước này, bạn đã tạo file cấu hình MTA-STS mong muốn và lưu nó vào khu vực chính của bạn. Trong bước tiếp theo, bạn sẽ cấu hình web server Apache để phân phát file ở định dạng chính xác.

Bước 2 - Cấu hình Apache để cung cấp file policy MTA-STS của bạn

Trong bước này, bạn sẽ cấu hình server ảo Apache để phục vụ file cấu hình MTA-STS của bạn, sau đó thêm bản ghi DNS để cho phép trang web được truy cập từ domain phụ.

Để server thư tự động phát hiện file cấu hình MTA-STS của bạn, file đó phải được cung cấp ở đúng đường dẫn: https://mta-sts. your-domain /.well-known/mta-sts.txt . Bạn phải sử dụng domain phụ mta-sts qua HTTPS và đường dẫn /.well-known/mta-sts.txt , nếu không cấu hình của bạn sẽ không hoạt động.

Điều này có thể đạt được bằng cách tạo một server ảo Apache mới cho domain phụ mta-sts , domain này sẽ phục vụ file policy MTA-STS. Bước này được xây dựng dựa trên cấu hình cơ sở mà bạn đã cài đặt trong bước yêu cầu Cách cài đặt Server Web Apache trên Ubuntu 18.04 .

Đầu tiên, tạo một folder cho server ảo của bạn:

sudo mkdir /var/www/mta-sts

Nếu bạn đang lưu trữ nhiều domain khác nhau trên web server của bạn , bạn nên sử dụng một server ảo MTA-STS khác nhau cho từng domain , ví dụ: /var/www/mta-sts-site1 và /var/www/mta-sts-site2 .

Tiếp theo, bạn cần tạo folder .well-known , đây là nơi lưu trữ file cấu hình MTA-STS của bạn. .well-known là một folder được chuẩn hóa cho các file 'nổi tiếng', chẳng hạn như file xác thực certificate TLS, security.txt , v.v.

sudo mkdir /var/www/mta-sts/.well-known

Đến đây bạn có thể di chuyển file policy MTA-STS mà bạn đã tạo ở Bước 1 vào folder web server mà bạn vừa tạo:

sudo mv ~/mta-sts.txt /var/www/mta-sts/.well-known/mta-sts.txt

Bạn có thể kiểm tra xem file đã được sao chép chính xác hay chưa nếu bạn muốn:

cat /var/www/mta-sts/.well-known/mta-sts.txt

Thao tác này sẽ xuất ra nội dung của file mà bạn đã tạo ở Bước 1.

Để Apache phân phát file , bạn cần phải cấu hình server ảo mới và kích hoạt nó. MTA-STS chỉ hoạt động qua HTTPS, vì vậy bạn sẽ sử dụng riêng cổng 443 (HTTPS), thay vì sử dụng cổng 80 (HTTP).

Đầu tiên, tạo file cấu hình server ảo mới:

sudo nano /etc/apache2/sites-available/mta-sts.conf

Giống như với folder server ảo, nếu bạn đang lưu trữ nhiều domain khác nhau trên cùng một web server , bạn nên sử dụng tên server ảo khác nhau cho mỗi domain .

Sau đó, sao chép cấu hình mẫu sau vào file và điền các biến nếu cần:

~ / etc / apache2 / sites-available / mta-sts.conf

<IfModule mod_ssl.c> <VirtualHost your-server-ipv4-address:443 [your-server-ipv6-address]:443>     ServerName mta-sts.your-domain     DocumentRoot /var/www/mta-sts      ErrorDocument 403 "403 Forbidden - This site is used to specify the MTA-STS policy for this domain, please see '/.well-known/mta-sts.txt'. If you were not expecting to see this, please use <a href=\"https://your-domain\" rel=\"noopener\">https://your-domain</a> instead."      RewriteEngine On     RewriteOptions IgnoreInherit     RewriteRule !^/.well-known/mta-sts.txt - [L,R=403]      SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem     SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key     Include /etc/letsencrypt/options-ssl-apache.conf </VirtualHost> </IfModule>

Cấu hình này sẽ tạo server ảo mta-sts server này sẽ được phân phát tại mta-sts. your-domain . Nó cũng sẽ chuyển hướng tất cả các yêu cầu, ngoại trừ các yêu cầu đến chính file mta-sts.txt , đến trang lỗi 403 Forbidden tùy chỉnh, với giải thích thân thiện về trang web domain phụ dùng để làm gì. Điều này nhằm giúp đảm bảo bất kỳ khách truy cập nào vô tình xem qua trang MTA-STS của bạn đều không vô tình nhầm lẫn.

Hiện tại, certificate TLS tự ký được sử dụng. Điều này không lý tưởng, vì cần có certificate hoàn toàn hợp lệ / tin cậy để MTA-STS hoạt động chính xác. Ở Bước 3, bạn sẽ nhận được certificate TLS bằng Let's Encrypt.

Tiếp theo, đảm bảo các module Apache bắt buộc đã được bật:

sudo a2enmod rewrite ssl

Sau đó, bật server ảo mới:

sudo a2ensite mta-sts

Sau đó, chạy kiểm tra cú pháp của các file cấu hình Apache, đảm bảo rằng không có bất kỳ lỗi không mong muốn nào:

sudo apachectl configtest

Khi quá trình kiểm tra vượt qua mà không có lỗi, bạn có thể khởi động lại Apache để kích hoạt hoàn toàn server ảo mới:

sudo service apache2 restart

Bây giờ server ảo Apache đã được cài đặt và cấu hình , bạn cần tạo (các) bản ghi DNS cần thiết để cho phép nó được truy cập bằng domain mta-sts. your-domain đủ điều kiện mta-sts. your-domain .

Cách thực hiện điều này phụ thuộc vào nhà cung cấp dịch vụ lưu trữ DNS mà bạn sử dụng. Tuy nhiên, nếu bạn sử dụng DigitalOcean làm nhà cung cấp DNS của bạn , chỉ cần chuyển đến dự án của bạn, sau đó nhấp vào domain của bạn.

Cuối cùng, thêm các bản ghi DNS cần thiết cho domain phụ mta-sts . Nếu Server chỉ sử dụng IPv4, hãy tạo bản ghi A cho mta-sts , trỏ đến địa chỉ- server -ipv4 của bạn . Nếu bạn cũng sử dụng IPv6, hãy tạo bản ghi AAAA trỏ đến địa chỉ- server -ipv6 của bạn .

Ảnh chụp màn hình console DigitalOcean DNS, hiển thị bản ghi DNS mẫu cho mta-sts trỏ đến địa chỉ IPv4.

Trong bước này, bạn đã tạo và cấu hình một server ảo Apache mới cho domain phụ MTA-STS của bạn , sau đó thêm (các) bản ghi DNS cần thiết để cho phép truy cập dễ dàng. Trong bước tiếp theo, bạn sẽ có được certificate Let's Encrypt tin cậy cho domain phụ MTA-STS của bạn .

Bước 3 - Nhận certificate Let's Encrypt cho domain phụ MTA-STS của bạn

Trong bước này, bạn sẽ nhận được certificate TLS từ Let's Encrypt, để cho phép mta-sts. your-domain của bạn mta-sts. your-domain trang web mta-sts. your-domain để được phân phối chính xác qua HTTPS.

Để thực hiện việc này, bạn sẽ sử dụng certbot mà bạn đã cài đặt như một phần của bước yêu cầu Cách bảo mật Apache bằng Let's Encrypt trên Ubuntu 18.04 .

Trước tiên, hãy chạy certbot để cấp certificate cho domain phụ mta-sts của bạn bằng cách sử dụng phương pháp xác minh plugin Apache:

sudo certbot --apache -d mta-sts.your-domain

Điều này sẽ tự động cấp một certificate tin cậy và cài đặt nó trên web server Apache của bạn. Khi trình hướng dẫn Certbot hỏi về việc cấu hình chuyển hướng HTTP -> HTTPS, hãy chọn 'Không', vì điều này không bắt buộc đối với MTA-STS.

Để kết thúc, hãy kiểm tra server ảo mới của bạn đảm bảo rằng nó đang hoạt động chính xác. Sử dụng trình duyệt web để truy cập https://mta-sts. your-domain /.well-known/mta-sts.txt hoặc sử dụng một công cụ dòng lệnh như curl :

curl https://mta-sts.your-domain/.well-known/mta-sts.txt

Thao tác này sẽ xuất ra file policy MTA-STS mà bạn đã tạo ở Bước 1:

Output
version: STSv1 mode: testing mx: mail1.your-domain mx: mail2.your-domain max_age: 86401

Nếu xảy ra lỗi, hãy đảm bảo cấu hình server ảo từ Bước 2 là chính xác và bạn đã thêm bản ghi DNS cho domain phụ mta-sts .

Trong bước này, bạn đã cấp certificate Let's Encrypt TLS cho domain phụ mta-sts và kiểm tra xem nó có hoạt động không. Tiếp theo, bạn sẽ đặt một số bản ghi DNS TXT để kích hoạt đầy đủ MTA-STS và TLSRPT.

Bước 4 - Cấu hình các bản ghi DNS cần thiết để kích hoạt MTA-STS và TLSRPT

Trong bước này, bạn sẽ cấu hình hai bản ghi DNS TXT, bản ghi này sẽ kích hoạt hoàn toàn policy MTA-STS mà bạn đã tạo và cũng bật Báo cáo TLS (TLSRPT).

Các bản ghi DNS này có thể được cấu hình bằng bất kỳ nhà cung cấp dịch vụ lưu trữ DNS nào, nhưng trong ví dụ này, DigitalOcean được sử dụng làm nhà cung cấp.

Trước tiên, đăng nhập vào console DigitalOcean của bạn và chuyển đến dự án của bạn, sau đó nhấp vào domain của bạn.

Sau đó, bạn cần thêm hai bản ghi TXT sau:

_mta-sts.your-domain IN TXT "v=STSv1; id=id-value" _smtp._tls.your-domain IN TXT "v=TLSRPTv1; rua=reporting-address"

id-value là một chuỗi được sử dụng để xác định version của policy MTA-STS của bạn. Nếu cập nhật policy của bạn , bạn cũng cần cập nhật giá trị id đảm bảo rằng các nhà cung cấp dịch vụ thư phát hiện version mới. Bạn nên sử dụng tem ngày hiện tại làm id , ví dụ: 20190811231231 (23:12:31 vào ngày 11 tháng 8 năm 2019).

reporting-address là địa chỉ mà các báo cáo TLS của bạn sẽ được gửi đến. Đây có thể là một địa chỉ email có tiền tố là mailto: hoặc một URI web, ví dụ: đối với một API thu thập báo cáo. Địa chỉ báo cáo không nhất thiết phải là một địa chỉ trên your-domain . Bạn có thể sử dụng một domain hoàn toàn khác nếu bạn muốn.

Ví dụ: hai bản ghi mẫu sau đều hợp lệ:

_mta-sts.your-domain IN TXT "v=STSv1; id=20190811231231" _smtp._tls.your-domain IN TXT "v=TLSRPTv1; rua=mailto:tls-reports@your-domain"

Điều chỉnh các biến theo yêu cầu và đặt các bản ghi DNS TXT này trong console DigitalOcean của bạn (hoặc bất kỳ nhà cung cấp DNS nào bạn đang sử dụng):

Ảnh chụp màn hình console DigitalOcean, hiển thị bản ghi DNS TXT _mta-sts đang được cài đặt .

Ảnh chụp màn hình console DigitalOcean, hiển thị bản ghi DNS TXT _smtp._tls đang được cài đặt .

Sau khi các bản ghi DNS này đã được cài đặt và được phổ biến, MTA-STS sẽ được bật với policy mà bạn đã tạo ở Bước 1 và sẽ bắt đầu nhận báo cáo TLSRPT tại địa chỉ mà bạn đã chỉ định.

Trong bước này, bạn đã cấu hình các bản ghi DNS cần thiết để bật MTA-STS. Tiếp theo, bạn sẽ nhận được và sau đó diễn giải báo cáo TLSRPT đầu tiên của bạn .

Bước 5 - Diễn giải Báo cáo TLSRPT đầu tiên của bạn

Đến đây bạn đã bật MTA-STS và TLSRPT (Báo cáo TLS) cho domain của bạn , bạn sẽ bắt đầu nhận được báo cáo từ các nhà cung cấp email được hỗ trợ. Các báo cáo này sẽ hiển thị số lượng email đã được hoặc không được gửi thành công qua TLS và lý do gây ra bất kỳ lỗi nào.

Các nhà cung cấp email khác nhau gửi báo cáo của họ vào những thời điểm khác nhau; ví dụ: Google Mail gửi báo cáo của họ hàng ngày vào khoảng 10:00 UTC.

Tùy thuộc vào cách bạn cấu hình bản ghi DNS TLSRPT ở Bước 5, bạn sẽ nhận được báo cáo của bạn qua email hoặc qua API web. Hướng dẫn này tập trung vào phương pháp email, vì đó là cấu hình phổ biến nhất.

Nếu bạn vừa hoàn thành phần còn lại của hướng dẫn này, hãy đợi cho đến khi bạn nhận được báo cáo đầu tiên, sau đó bạn có thể tiếp tục.

Báo cáo TLSRPT hàng ngày của bạn qua email thường sẽ có dòng chủ đề tương tự như sau:

Report Domain: your-domain Submitter: google.com Report-ID: <2019.08.10T00.00.00Z+your-domain@google.com>

Email này sẽ có file đính kèm ở định dạng .gz , là file lưu trữ nén Gzip, với tên file tương tự như sau:

google.com!your-domain!1565222400!1565308799!001.json.gz

Đối với phần còn lại của hướng dẫn này, file này sẽ được gọi là report.json.gz .

Lưu file này vào máy local của bạn và extract bằng bất kỳ công cụ nào bạn thích.

Nếu bạn đang sử dụng hệ thống Linux dựa trên Debian, bạn có thể chạy lệnh gzip -d để extract file lưu trữ:

gzip -d report.json.gz

Điều này sẽ dẫn đến một file JSON có tên là report.json .

Tiếp theo, bạn có thể xem báo cáo trực tiếp dưới dạng chuỗi JSON thô hoặc sử dụng editor JSON yêu thích của bạn để đưa báo cáo sang định dạng dễ đọc hơn. Trong ví dụ này, jq sẽ được sử dụng, nhưng bạn cũng có thể sử dụng json.tool của Python nếu muốn.

Lưu ý: Nếu bạn chưa cài đặt jq, bạn có thể cài đặt nó bằng cách sử dụng apt install jq . Hoặc, đối với các hệ điều hành khác, sử dụng các hướng dẫn cài đặt cần thiết từ jq.

jq . report.json

Điều này sẽ xuất ra một cái gì đó tương tự như sau:

Prettified report.json
{     "organization-name": "Google Inc.",     "date-range": {         "start-datetime": "2019-08-10T00:00:00Z",         "end-datetime": "2019-08-10T23:59:59Z"     },     "contact-info": "smtp-tls-reporting@google.com",     "report-id": "2019-08-10T00:00:00Z_your-domain",     "policies": [         {             "policy": {                 "policy-type": "sts",                 "policy-string": [                     "version: STSv1",                     "mode: testing",                     "mx: mail1.your-domain",                     "mx: mail2.your-domain",                     "max_age: 86401"                 ],                 "policy-domain": "your-domain"             },             "summary": {                 "total-successful-session-count": 230,                 "total-failure-session-count": 0             }         }     ] }

Báo cáo cho biết nhà cung cấp đã tạo báo cáo và khoảng thời gian báo cáo, cũng như policy MTA-STS đã được áp dụng. Tuy nhiên, phần chính mà bạn sẽ quan tâm là summary , cụ thể là số phiên thành công và thất bại.

Báo cáo mẫu này cho thấy 230 email đã được gửi thành công qua TLS từ nhà cung cấp thư đã tạo báo cáo và 0 lần gửi email không cài đặt được kết nối TLS thích hợp.

Trong trường hợp có lỗi — ví dụ: nếu certificate TLS hết hạn hoặc có kẻ tấn công trên mạng — thì chế độ lỗi sẽ được ghi lại trong báo cáo. Một số ví dụ về các chế độ lỗi là:

starttls-not-supported : Nếu server nhận thư không hỗ trợ STARTTLS.
certificate-expired : Nếu certificate đã hết hạn.
certificate-not-trusted : Nếu certificate-not-trusted tự ký hoặc certificate không tin cậy khác được sử dụng.

Trong bước cuối cùng này, bạn đã nhận được và sau đó diễn giải báo cáo TLSRPT đầu tiên của bạn .

Kết luận

Trong bài viết này, bạn đã cài đặt và cấu hình Báo cáo MTA-STS và TLS cho domain của bạn , đồng thời diễn giải báo cáo TLSRPT đầu tiên của bạn.

Sau khi MTA-STS đã được bật và hoạt động ổn định trong một thời gian, bạn nên điều chỉnh policy , tăng giá trị max_age và cuối cùng chuyển nó sang chế độ enforce khi bạn chắc chắn rằng tất cả email từ các nhà cung cấp được hỗ trợ đang được gửi thành công qua TLS .

Cuối cùng, nếu bạn muốn tìm hiểu thêm về các thông số kỹ thuật MTA-STS và TLSRPT, bạn có thể xem lại RFC cho cả hai thông số này:

Tags:

Các tin liên quan

Cách viết lại URL bằng mod_rewrite cho Apache trên Debian 10
2019-08-22
Cách tạo chứng chỉ SSL tự ký cho Apache trong Debian 10
2019-07-22
Cách cài đặt web server Apache trên Debian 10
2019-07-19
Cách cấu hình Apache HTTP với Sự kiện MPM và PHP-FPM trên FreeBSD 12.0
2019-07-12
Cách cài đặt một Apache, MySQL và PHP (FAMP) trên FreeBSD 12.0
2019-06-28
Cách cài đặt web server Apache trên CentOS 7
2019-05-29
Cách bảo mật Apache bằng Let's Encrypt trên CentOS 7
2019-05-23
Cách cài đặt Apache Kafka trên Ubuntu 18.04
2019-05-10
Cách cài đặt Apache Kafka trên Debian 9
2019-05-10
Cách backup, nhập và di chuyển dữ liệu Apache Kafka của bạn trên Debian 9
2019-03-28