ما هو MTA-STS؟
يتيح MTA-STS (أمان النقل الصارم لعامل نقل البريد) للمجال الإعلان عن أن اتصالات SMTP الواردة يجب أن تستخدم TLS بشهادة صالحة. فهو يجمع بين سجل DNS TXT في _mta-sts.yourdomain.com مع ملف سياسة يتم تقديمه عبر HTTPS على mta-sts.yourdomain.com/.well-known/mta-sts.txt. يعلن سجل DNS عن وجود سياسة ويحمل معرفًا يتغير كلما تم تحديث السياسة.
بدون MTA-STS، يمكن تجريد بروتوكول TLS الانتهازي لـ SMTP بصمت بواسطة مهاجم على المسار، مما يجبر تسليم البريد بنص عادي. تعمل MTA-STS على سد هذه الفجوة من خلال توجيه الخوادم المرسلة لرفض التسليم إذا لم يكن من الممكن التفاوض على TLS. إنه يقترن بشكل طبيعي مع TLS-RPT، الذي يرسل إليك تقارير عبر البريد الإلكتروني عندما لا يتمكن المرسل من احترام السياسة. تم تعريف المعيار في RFC 8461.
لماذا يجب التحقق من سجل MTA-STS الخاص بك؟
1تأكد من أن السياسة قابلة للاكتشاف
إذا كان سجل DNS مفقودًا أو مشوهًا، فلن يبحث المرسلون أبدًا عن ملف السياسة الخاص بك - تأكد من حله
2احصل على معرف لا يتغير أبدًا
يجب أن يتم تحديث المعرف عند كل تغيير في السياسة أو أن ذاكرات التخزين المؤقت تخدم سياسة قديمة - يظهر المدقق القيمة الحالية
3منع خفض مستوى TLS الصامت
يشير سجل العمل إلى المرسلين بضرورة التشفير، مما يحمي البريد أثناء النقل من الاعتراض
4التحقق من صحة قبل فرض الوضع
تأكد من محاذاة السجل والسياسة أثناء وجودك في وضع الاختبار حتى لا يؤدي التبديل إلى الفرض إلى ارتداد البريد الشرعي
كيف تعمل MTA-STS – خطوة بخطوة
يمكنك استضافة ملف سياسة على https://mta-sts.yourdomain.com/.well-known/mta-sts.txt يصف الوضع ومضيفي MX وmax_age.
تقوم بنشر سجل TXT على _mta-sts.yourdomain.com الذي يحتوي على الإصدار والمعرف الفريد.
يتم الإعلان عن خادم إرسال على وشك تسليم استعلامات البريد التي تسجلها TXT وترى السياسة.
يقوم بجلب ملف سياسة HTTPS، والتحقق من صحة MX المتلقي وشهادة TLS الخاصة به مقابله.
إذا كانت السياسة في وضع الفرض ولا يمكن التحقق من صحة TLS، فإن المرسل يرفض التسليم بدلاً من الرجوع إلى النص العادي.
بناء جملة سجل MTA-STS
_mta-sts.example.com. 3600 IN TXT "v=STSv1; id=20240118T120000Z"
# https://mta-sts.example.com/.well-known/mta-sts.txt
version: STSv1
mode: enforce
mx: mail.example.com
max_age: 604800انهيار علامة DNS
v=STSv1— إصدار البروتوكول، دائمًا الأولالمعرف=— رمز مميز، يتغير عند كل تحديث للسياسةحقول ملف السياسة
أعطال وإصلاحات MTA-STS الشائعة
ملف السياسة غير قابل للوصول
يجب تحميل الملف .well-known عبر HTTPS بشهادة صالحة — قم بإصلاح المضيف قبل أن يتمكن المرسلون من تطبيقه
معرف قديم
إن نسيان إضافة المعرف بعد تعديل السياسة يجعل المرسلين يحتفظون بالمعرف القديم - ويغيرونه في كل تحديث
عدم تطابق MX
إذا كانت إدخالات mx لا تتطابق مع سجلات MX الحقيقية، فقم بوضع فرض حظر البريد الشرعي - واحتفظ بها متزامنة
القفز مباشرة لإنفاذ
ابدأ في الاختبار باستخدام TLS-RPT حتى تتمكن من اكتشاف المشكلات قبل أن يتمكن وضع الفرض من ارتداد الرسائل
الأسئلة الأكثر شيوعاً
يتيح MTA-STS (أمان النقل الصارم لوكيل نقل البريد) لنطاقك إخبار خوادم الإرسال بوجوب تسليم البريد عبر TLS بشهادة صالحة. فهو يجمع بين سجل DNS TXT في _mta-sts.yourdomain.com وملف سياسة مستضاف على HTTPS. وبدون ذلك، يمكن للمهاجم تجريد التشفير الانتهازي لـ SMTP من مسار الشبكة، مما يجبر بريدك على الانتقال بنص عادي.
يحتوي سجل TXT في _mta-sts.yourdomain.com على شيئين: الإصدار (v=STSv1) والمعرف - وهو رمز فريد يجب عليك تغييره في كل مرة تقوم فيها بتحديث ملف السياسة. لا يحتوي السجل على السياسة نفسها؛ فهو ببساطة يعلن عن وجود سياسة ويشير، عبر معرف تم تغييره، إلى متى يجب على المرسلين إعادة جلبها.
يتم تعيين الوضع في ملف سياسة HTTPS، وليس في سجل DNS. في وضع الاختبار، يقوم المرسلون بالإبلاغ عن حالات فشل TLS (عبر TLS-RPT) ولكنهم يستمرون في تسليم البريد، مما يتيح لك العثور على المشكلات بأمان. في وضع الفرض، يرفض المرسلون التسليم إذا تعذر التحقق من صحة TLS. أفضل الممارسات هي إجراء الاختبار مع تمكين إعداد التقارير أولاً، ثم التبديل إلى التنفيذ بمجرد التأكد من أن كل شيء يعمل.
كلاهما يتطلب TLS للبريد الوارد، لكنهما يرسخان الثقة بشكل مختلف. تستخدم DANE سجلات DNSSEC وTLSA لتثبيت الشهادات، لذلك يعتمد الأمر على نشر DNSSEC. يستخدم MTA-STS البنية التحتية للمفاتيح العمومية (PKI) على الويب العامة وسياسة مستضافة عبر HTTPS، لذا فهو يعمل بدون DNSSEC. تعتمد العديد من النطاقات MTA-STS أولاً لأنه من الأسهل نشرها على البنية التحتية الحالية.
الأسباب الشائعة هي سجل TXT مفقود أو مشوه، أو معرف لم يتم تحديثه بعد تغيير السياسة، أو ملف سياسة لا يتم تحميله عبر HTTPS بشهادة صالحة. يتحقق هذا المدقق من سجل DNS؛ تأكد أيضًا من إمكانية الوصول إلى الملف الموجود على /.well-known/mta-sts.txt وأن إدخالات mx الخاصة به تتطابق مع سجلات MX الحقيقية.