Ограниченное время: скидка 50% на первый платёж.

Проверьте свою запись MTA-STS

Проверьте свою DNS-запись MTA-STS бесплатно и подтвердите, что ваш домен сигнализирует о доставке почты с шифрованием TLS. Обнаружьте отсутствующую или неправильно сформированную политику, прежде чем отправители вернутся к открытому тексту.

Введите домен

У вас осталось 5 бесплатных проверок на сегодня.

Что такое МТА-СТС?

MTA-STS (строгая транспортная безопасность агента передачи почты) позволяет домену объявить, что входящие SMTP-соединения должны использовать TLS с действительным сертификатом. Он объединяет запись DNS TXT по адресу _mta-sts.yourdomain.com с файлом политики, передаваемым через HTTPS по адресу mta-sts.yourdomain.com/.well-known/mta-sts.txt. Запись DNS сообщает о существовании политики и содержит идентификатор, который меняется при каждом обновлении политики.

Без MTA-STS оппортунистический TLS SMTP может быть незаметно отключен злоумышленником на пути, заставляя почту доставляться в открытом виде. MTA-STS закрывает этот пробел, предписывая серверам-отправителям отказываться от доставки, если согласование TLS невозможно. Он естественным образом сочетается с TLS-RPT, который сообщает вам по электронной почте, когда отправитель не может соблюдать политику. Стандарт определен в RFC 8461.

Зачем проверять свою запись MTA-STS?

1Подтвердите, что политика доступна для обнаружения

Если запись DNS отсутствует или имеет неправильный формат, отправители никогда не будут искать ваш файл политики — убедитесь, что он разрешается.

2Поймайте идентификатор, который никогда не меняется

Идентификатор должен обновляться при каждом изменении политики, иначе кэши будут использовать устаревшую политику — средство проверки выявляет текущее значение.

3Предотвращение автоматического перехода на более раннюю версию TLS

Рабочая запись сигнализирует отправителям о необходимости шифрования, защищая почту в пути от перехвата.

4Подтвердить перед применением режима

Убедитесь, что запись и политика согласованы в режиме тестирования, чтобы переключение на принудительное применение не приводило к возврату законной почты.

Как работает MTA-STS — шаг за шагом

1

Вы размещаете файл политики по адресу https://mta-sts.yourdomain.com/.well-known/mta-sts.txt, описывающий режим, хосты MX и max_age.

2

Вы публикуете запись TXT по адресу _mta-sts.yourdomain.com, содержащую версию и уникальный идентификатор.

3

Объявляется отправляющий сервер, который собирается доставить почтовые запросы, которые записывают TXT и видят политику.

4

Он извлекает файл политики HTTPS, проверяет на соответствие ему принимающий MX и его сертификат TLS.

5

Если политика находится в принудительном режиме и TLS не может быть проверен, отправитель отказывается от доставки, а не возвращается к открытому тексту.

Синтаксис записи MTA-STS

Пример записи DNS TXT и файла политики
_mta-sts.example.com.  3600  IN  TXT  "v=STSv1; id=20240118T120000Z"

# https://mta-sts.example.com/.well-known/mta-sts.txt
version: STSv1
mode: enforce
mx: mail.example.com
max_age: 604800

Разбивка DNS-тегов

v=STSv1— версия протокола, всегда первая
идентификатор =— уникальный токен, меняется при каждом обновлении политики

Поля файла политики

режим
принудительное выполнение, тестирование или отсутствие — принудительное выполнение отказывается от доставки при сбое TLS, тестирование только сообщает.
мх
Имена хостов почтовых серверов, к которым применяется политика; допускаются подстановочные знаки, такие как *.example.com.
максимальный_возраст
Как долго (в секундах) отправители могут кэшировать политику — обычно от одной до четырех недель.
версия
Всегда STSv1; определяет формат политики в обслуживаемом файле.

Распространенные сбои и исправления MTA-STS

Файл политики недоступен

Файл .well-known должен загружаться через HTTPS с действительным сертификатом — исправьте хост, прежде чем отправители смогут его применить.

Устаревший идентификатор

Если вы забываете указать идентификатор после редактирования политики, отправители сохраняют старый — меняйте его при каждом обновлении.

Несоответствие MX

Если записи mx не соответствуют вашим реальным записям MX, режим принудительного применения блокирует легитимную почту — синхронизируйте их.

Прыгайте прямо, чтобы обеспечить соблюдение

Начните тестирование с TLS-RPT, чтобы выявить проблемы до того, как режим принудительного применения сможет отклонить сообщения.

Часто задаваемые вопросы

Часто задаваемые вопросы

MTA-STS (строгая транспортная безопасность агента передачи почты) позволяет вашему домену сообщать отправляющим серверам, что почта должна доставляться через TLS с действительным сертификатом. Он объединяет запись DNS TXT по адресу _mta-sts.yourdomain.com с файлом политики, размещенным по протоколу HTTPS. Без этого оппортунистическое шифрование SMTP может быть взломано злоумышленником на сетевом пути, в результате чего ваша почта будет передаваться в виде открытого текста.

Запись TXT по адресу _mta-sts.yourdomain.com содержит две вещи: версию (v=STSv1) и идентификатор — уникальный токен, который вы должны менять каждый раз при обновлении файла политики. Запись не содержит самой политики; он просто объявляет о существовании политики и сигнализирует через измененный идентификатор, когда отправителям следует повторно получить ее.

Режим устанавливается в файле политики HTTPS, а не в записи DNS. В режиме тестирования отправители сообщают об ошибках TLS (через TLS-RPT), но продолжают доставлять почту, что позволяет безопасно находить проблемы. В принудительном режиме отправители отказываются доставлять сообщения, если TLS не может быть проверен. Лучше всего сначала запустить тестирование с включенной отчетностью, а затем переключиться на принудительное применение, как только вы убедитесь, что все работает.

Оба требуют TLS для входящей почты, но они по-разному закрепляют доверие. DANE использует записи DNSSEC и TLSA для закрепления сертификатов, поэтому это зависит от развернутого DNSSEC. MTA-STS использует общедоступную веб-инфраструктуру PKI и политику, размещенную на HTTPS, поэтому он работает без DNSSEC. Многие домены сначала принимают MTA-STS, поскольку его проще развернуть в существующей инфраструктуре.

Распространенными причинами являются отсутствующая или неверная запись TXT, идентификатор, который не был обновлен после изменения политики, или файл политики, который не загружается по HTTPS с действительным сертификатом. Эта программа проверки проверяет запись DNS; также убедитесь, что файл /.well-known/mta-sts.txt доступен и что его записи mx соответствуют вашим реальным записям MX.