Extensiones SMTP
Habilitar REQUIRETLS (RFC 8689)
RequireTLS le permite marcar mensajes que deben ser enviados utilizando TLS. Si no es posible TLS (o si los parámetros del intercambio de certificado TLS son inaceptables) los mensajes serán rechazados en lugar de ser entregados inseguramente. Para una descripción completa de RequireTLS, vea: RFC 8689: SMTP Require TLS Option.
RequireTLS se encuentra habilitado por omisión pero los únicos mensajes que estarán sujetos al proceso RequireTLS son los mensajes específicamente marcados por una regla del Filtro de contenido utilizando la nueva acción del Filtro de Contenido, "Marcar mensajes para REQUIRETLS...", o mensajes enviados a <local-part>+requiretls@domain.tld (por ejemplo, arvel+requiretls@mdaemon.com). Todos los demás mensajes serán tratados como si el servicio estuviera deshabilitado. Se deben cumplir varios requerimientos a fin de que un mensaje se envíe utilizando RequireTLS. Si cualquiera de ellos falla, el mensaje será rechazado en lugar de ser enviado si validación. Los requerimientos son:
•RequireTLS debe estar habilitado.
•El mensaje debe estar marcado como que requiere el tratamiento RequireTLS, vía la acción del Filtro de contenido o la dirección "<localpart>+requiretls@...".
•Las consultas DNS para hosts MX destino deben utilizar DNSSEC (ver abajo) o el MX debe ser validado vía MTA-STS.
•La conexión al host destino debe utilizar SSL (STARTTLS).
•El certificado SSL del host destino debe coincidir con el nombre del host MX y la cadena de una entidad certificadora confiable.
•El servidor destino debe soportar REQUIRETLS y manifestarlo en la respuesta EHLO.
RequireTLS requiere de consultas DNSSEC de registros MX de hosts, o el MX debe ser validado vía MTA-STS. Puede configurar DNSSEC especificando los criterios con los que las consultas solicitarán el servicio DNSSEC. La funcionalidad Caché de IP cuenta con una opción para aceptar declaraciones DNSSEC y existen instrucciones relativas a DNSSEC en el encabezado del archivo de Hosts MX Hosts. Finalmente, DNSSEC requiere de servidores de DNS configurados adecuadamente, lo cual va más allá del alcance de este archivo de ayuda.
El soporte a MTA-STS se encuentra habilitado por omisión y se describe en RFC 8461: SMTP MTA Strict Transport Security (MTA-STS).
SMTP MTA Strict Transport Security (MTA-STS) es un mecanismo que habilita a los proveedores de correo (SPs) a declarar su capacidad de recibir conexiones SMTP seguras utilizando TLS (Transport Layer Security) y a especificar si los servidores SMTP remitentes deberán rehusar la entrega a hosts MX que no ofrezcan TLS con un certificado de servidor confiable. Para configurar MTA-STS para su propio dominio, necesitará un archivo de política MTA-STS que se puede descargar vía HTTPS de la URL https://mta-sts.domain.tld/.well-known/mta-sts.txt, donde "domain.tld" es su nombre de dominio. El archivo de política debe contener líneas con el formato siguiente:
version: STSv1
mode: testing
mx: mail.domain.tld
max_age: 86400
Mode puede ser "none", "testing", o "enforce". Debe haber una línea "mx" para cada uno de sus nombres de host MX. Se puede utilizar comodines para subdominios, tal como "*.domain.tld". Max age es en segundos. Los valores comunes son 86400 (1 día) y 604800 (1 semana).
También se necesita un registro DNS TXT en _mta-sts.domain.tld, donde "domain.tld" es su nombre de dominio. Debe tener un valor con el formato:
v=STSv1; id=20200206T010101;
El valor para "id" se debe modificar cada vez que el archivo de política se modifique. Es común utilizar la fecha/hora (timestamp) para el id.
Lista de Exentos
Utilice esta lista para exentar dominios específicos de MTA-STA .
Cache de registros MTA-STS DNS
MDaemon por omisión guarda en caché registros MTA-STS DNS. Dé clic en Editar para visualizar o editar el archivo de caché actual.
Habilitar reporteo TLS (RFC 8460)
El reporteo TLS se encuentra deshabilitado por omisión y se discute en RFC 8460: SMTP TLS Reporting.
El reporteo TLS permite a los dominios que utilizan MTA-STS ser notificados sobre cualquier fallo para recuperar la política MTA-STS o negociar un canal seguro utilizando STARTTLS. Al habilitarse, MDaemon enviará un reporte diario a cada dominio habilitado para STS al que ha enviado (o intentado enviar) correo ese día. Existen varias opciones proporcionadas para configurar la información que contendrán sus reportes.
Para configurar el Reporteo TLS para su dominio, habilite Firma DKIM y cree un registro DNS TXT en_smtp._tls.domain.tld, donde "domain.tld" es su nombre de dominio, con un valor con el formato:
v=TLSRPTv1; rua=mailto:mailbox@domain.tld
Donde mailbox@domain.tld es la dirección de correo donde quiere que se envíen los reportes de su dominio.
