SMTP 扩展
启用 REQUIRETLS (RFC 8689)
RequireTLS 允许您标记必须使用 TLS 发送的邮件。如果无法使用 TLS(或者 TLS 证书交换的参数不可接受),则退回邮件,而不是不安全地投递邮件。有关 RequireTLS 的完整说明,请参阅: RFC 8689: SMTP Require TLS Option.
默认情况下,启用 RequireTLS,但是将受 RequireTLS 进程约束的唯一邮件是被使用新的内容过滤器操作, “为 REQUIRETLS 标记邮件...”的“内容过滤器”规则特别标记的邮件,或发送至 <local-part>+requiretls@domain.tld (例如 arvel+requiretls@mdaemon.com)的邮件。将所有其他邮件视为已禁用该服务。此外,必须满足几个要求才能使用 RequireTLS 发送邮件。如果它们中的任何一个失败,该邮件将弹回,而不是以明文形式发送。这些要求是:
•必须启用 RequireTLS。
•必须通过“内容过滤器”操作或“<localpart>+requiretls@...”地址将该邮件标记为需要 RequireTLS 处理。
•针对收件 MX 主机的 DNS 查询必须使用 DNSSEC (见下),或者 MX 必须由 MTA-STS 验证。
•指向收件主机的连接必须使用 SSL (STARTTLS)。
•收件主机的 SSL 证书必须与 MX 主机名匹配,并链接到受信任的 CA。
•收件邮件服务器必须支持 REQUIRETLS,并在 EHLO 响应中声明。
RequireTLS 需要 MX 记录主机的 DNSSEC 查找,否则 MX 必须由 MTA-STS 验证。您可以通过指定查询根据什么条件请求 DNSSEC 服务区来配置 DNSSEC。MDaemon 的 IP 缓存 拥有一个选项,用来接受 DNSSEC 声明,在 MX 主机文件顶部还有与 DNSSEC 相关的指令。最后,DNSSEC 需要适当配置的 DNS 服务器,这超出了此帮助文件的范围。
默认情况下启用 MTA-STS 支持,详细说明请参阅 RFC 8461: SMTP MTA Strict Transport Security (MTA-STS).
SMTP MTA 严格传输安全(MTA-STS)是一种机制,使邮件服务供应商(SP)能够声明其接收传输层安全(TLS)和保护 SMTP 连接的能力,并指定发件 SMTP 服务器是否应拒绝投递给不为 TLS 提供受信任的服务器证书的 MX 主机。要为您自己的域设置 MTA-STS,您需要一个 MTA-STS 策略文件,该文件可以通过 HTTPS 从 URL https://mta-sts.domain.tld/.well-known/mta-sts.txt 下载,其中“ domain.tld”是您的域名。策略文本文件应包含以下格式的几行信息:
version: STSv1
mode: testing
mx: mail.domain.tld
max_age: 86400
模式可以是“none”、“testing”或“enforce”。每个 MX 主机名应有一个“mx”行。通配符可用于子域,例如“*.domain.tld”。存在时间最大值以秒为单位。常规值是 86400 (1 天) 和 604800 (1 周)。
还需要 _mta-sts.domain.tld 上的 DNS TXT 记录,其中“domain.tld”是您的域名。它必须具有以下格式的值:
v=STSv1; id=20200206T010101;
每次更改策略文件时,都必须更改“id”的值。通常为这个 id 使用时间戳。
豁免列表
使用此列表可使特定域免于 MTA-STS。
缓存 MTA-STS DNS 记录
默认情况下,MDaemon 缓存 MTA-STS DNS 记录。请点击“编辑”来查看或编辑当前的缓存文件。
默认情况下禁用 TLS 报告功能,更多详细信息请参阅RFC 8460: SMTP TLS Reporting.
TLS 报告功能允许使用 MTA-STS 的域收到有关检索 MTA-STS 策略或使用 STARTTLS 协商安全通道的任何失败的通知。启用后,MDaemon 会每天向已在当天向其发送(或尝试发送)邮件的每个启用 STS 的域发送报告。提供了多个选项来配置报告将包含的信息。
要为您的域设置 TLS 报告,请启用 DKIM 签名,并在 _smtp._tls.domain.tld 创建一个 DNS TXT 记录,其中“domain.tld”是您的域名,具有以下格式的值:
v=TLSRPTv1; rua=mailto:mailbox@domain.tld
其中 mailbox@domain.tld 是您要向其发送域报告的电子邮件地址。
