Сервер сообщений MDaemon 24.0

Расширения SMTP

Включить REQUIRETLS (RFC 8689)

RequireTLS позволяет помечать сообщения, которые должны быть отправлены с помощью TLS. Если TLS невозможен (например, если параметры обмена сертификатами TLS неприемлемы), сообщения будут не доставляться небезопасным способом, а отклоняться. Полное описание RequireTLS см.:RFC 8689: SMTP Require TLS Option.

RequireTLS включен по умолчанию. При этом единственными сообщениями, которые контролируются процессом RequireTLS, являются сообщения, специально помеченные правилом фильтра содержимого с использованием новогоДействие фильтра содержимого, "Flag message for REQUIRETLS...", или сообщения, отправленные на<local-part>+requiretls@domain.tld (например,arvel+requiretls@mdaemon.com). Все остальные сообщения обрабатываются так, как будто эта служба отключена. Для отправки сообщения с использованием RequireTLS необходимо выполнить несколько требований. Если какое-либо из таких требований выполнено не будет, сообщение будет возвращено и в открытом виде отправлено не будет. Такими являются следующие требования:

•REQUIRETLS должен быть включен.

•Сообщение должно быть помечено как нуждающееся в обработке RequireTLS с помощью Действия фильтра содержания или адреса "<localpart>+requiretls@...".

•DNS-запросы для получателей MX-хостов должны использоватьDNSSEC (см. ниже). Возможно также подтверждение MTA-STS записи MX.

•Соединение с принимающим хостом должно использовать SSL (STARTTLS).

•Сертификат SSL принимающего хоста должен соответствовать имени хоста MX и цепочке доверенного ЦС.

•Принимающий почтовый сервер должен поддерживать REQUIRETLS и заявлять об этом в ответе EHLO.

RequireTLS требует поиска DNSSEC хостов записи MX. В качестве альтернативы MTA-STS может проверить запись MX. Вы можетенастроить DNSSEC, указав критерии, по которым поиск будет запрашивать службу DNSSEC. IP-кэш MDaemon имеет опцию принятия утверждений DNSSEC, а в верхней части файла MX Hosts есть инструкции, касающиеся DNSSEC. Наконец, DNSSEC требует правильно настроенных DNS-серверов, что выходит за рамки информации в этом файле справки.

Включите опциюMTA-STS (RFC 8461)

Поддержка MTA-STS включена по умолчанию и описана в стандартеRFC 8461: SMTP MTA Strict Transport Security (MTA-STS).

SMTP MTA Strict Transport Security (MTA-STS) - это механизм, позволяющий поставщикам почтовых услуг (SP) заявлять о своей способности получать защищенные SMTP-соединения Transport Layer Security (TLS) и указывать, должны ли отправляющие SMTP-серверы отказываться от доставки на хосты MX, которые не предлагают TLS с сертификатом доверенного сервера. Чтобы настроить MTA-STS для своего собственного домена, вам потребуется файл политики MTA-STS, который можно загрузить через HTTPS с URL-адреса https://mta-sts.domain.tld/.well-known/mta-sts.txt, где "domain.tld" - это ваше доменное имя. Текстовый файл политики должен содержать строки в следующем формате:

version: STSv1

mode: testing

mx: mail.domain.tld

max_age: 86400

Режим может быть "none", "testing" или "enforce". Строка "mx" должна присутствовать для каждого из ваших имен хостов MX. Для субдоменов можно использовать подстановочный знак, например "*.domain.tld". Максимальный период в секундах. Популярные значения - 86400 (1 день) и 604800 (1 неделя).

Также необходима запись DNS TXT в _mta-sts.domain.tld, где "domain.tld" - это имя вашего домена. Она должен иметь следующий формат:

v=STSv1; id=20200206T010101;

Значение "id" должно меняться каждый раз при изменении файла политики. Обычно для id используется идентификатор времени.

Список исключений

Используйте этот список, чтобы исключить определенные домены из MTA-STS.

КэшDNS-записи MTA-STSs

По умолчанию MDaemon кэширует DNS-записи MTA-STS. НажмитеРедактировать, чтобы просмотреть или отредактировать текущий файл кэша.

Включить отчеты TLS (RFC 8460)

Отчетность TLS по умолчанию отключена и обсуждается в стандартеRFC 8460: SMTP TLS Reporting.

TLS Reporting позволяет доменам, использующим MTA-STS, получать уведомления о любых сбоях при получении политики MTA-STS, или же согласовывать безопасный канал с использованием STARTTLS. Когда этот параметр включен, MDaemon ежедневно отправляет отчет каждому домену с поддержкой STS, который отправил (или попытался отправить) почту в такой день. Существует несколько вариантов настройки информации, которая будет содержаться в ваших отчетах.

Чтобы настроить отчеты TLS для вашего домена, включитеDKIM-подписи и создайте запись DNS TXT в_smtp._tls.domain.tld, где "domain.tld" - это имя вашего домена со значением в формате:

v=TLSRPTv1; rua=mailto:mailbox@domain.tld

mailbox@domain.tld - это адрес электронной почты, на который вы хотите отправлять отчеты по вашему домену.