Wij willen MTA-STS in enforce-modus, maar zijn bang voor uitval
MTA-STS (RFC 8461) dwingt verzenders om TLS te gebruiken naar jouw MX en valideert de cert. In testing-mode rapporteer je alleen, in enforce wordt mail geweigerd bij TLS-fouten. De juiste route is testing draaien tot je TLS-RPT-rapporten weken stabiel zijn, dan pas enforce.
Probeer dit eerst zelf
- 1Publiceer eerst een policy-bestand op https://mta-sts.jouwdomein.nl/.well-known/mta-sts.txt met mode: testing, mx-records en max_age.
- 2Publiceer DNS-records: _mta-sts.jouwdomein.nl TXT v=STSv1; id=... en _smtp._tls.jouwdomein.nl TXT v=TLSRPTv1; rua=mailto:tlsrpt@jouwdomein.nl
- 3Zorg dat al je MX-hosts geldige certificaten hebben die matchen op de hostname die in MX staat, niet alleen op het apex.
- 4Lees TLS-RPT rapporten een paar weken. Bij Microsoft 365 en Google Workspace komen die binnen via grote senders.
- 5Als rapporten clean blijven, switch het policy-bestand naar mode: enforce en verhoog id=. Cache van ontvangers ververst dan.
Wanneer ons inschakelen
Heb je een hybrid mailflow met een on-prem relay of een third-party scrubber, controleer of die ook geldige certs heeft. Een vergeten hop sloopt enforce.
Zie ook
- Onze mails komen bij sommige ontvangers in de spamBijna altijd is dit een SPF-, DKIM- of DMARC-instelling die niet klopt of ontbreekt, of een afzender-naam die te veel op een bekend merk lijkt.
- Iemand meldt dat ze namens ons phishing-mail ontvangenLees: spoofing. Iemand misbruikt jouw afzendernaam, niet noodzakelijk je echte mailbox.
- Een mail bouncet (NDR) - delivery failedDe NDR heeft bijna altijd een precieze reden in de tekst zelf. Lezen is stap één.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.