Что такое МТА-СТС?
MTA-STS (строгая транспортная безопасность агента передачи почты) позволяет домену объявить, что входящие SMTP-соединения должны использовать TLS с действительным сертификатом. Он объединяет запись DNS TXT по адресу _mta-sts.yourdomain.com с файлом политики, передаваемым через HTTPS по адресу mta-sts.yourdomain.com/.well-known/mta-sts.txt. Запись DNS сообщает о существовании политики и содержит идентификатор, который меняется при каждом обновлении политики.
Без MTA-STS оппортунистический TLS SMTP может быть незаметно отключен злоумышленником на пути, заставляя почту доставляться в открытом виде. MTA-STS закрывает этот пробел, предписывая серверам-отправителям отказываться от доставки, если согласование TLS невозможно. Он естественным образом сочетается с TLS-RPT, который сообщает вам по электронной почте, когда отправитель не может соблюдать политику. Стандарт определен в RFC 8461.
Зачем проверять свою запись MTA-STS?
1Подтвердите, что политика доступна для обнаружения
Если запись DNS отсутствует или имеет неправильный формат, отправители никогда не будут искать ваш файл политики — убедитесь, что он разрешается.
2Поймайте идентификатор, который никогда не меняется
Идентификатор должен обновляться при каждом изменении политики, иначе кэши будут использовать устаревшую политику — средство проверки выявляет текущее значение.
3Предотвращение автоматического перехода на более раннюю версию TLS
Рабочая запись сигнализирует отправителям о необходимости шифрования, защищая почту в пути от перехвата.
4Подтвердить перед применением режима
Убедитесь, что запись и политика согласованы в режиме тестирования, чтобы переключение на принудительное применение не приводило к возврату законной почты.
Как работает MTA-STS — шаг за шагом
Вы размещаете файл политики по адресу https://mta-sts.yourdomain.com/.well-known/mta-sts.txt, описывающий режим, хосты MX и max_age.
Вы публикуете запись TXT по адресу _mta-sts.yourdomain.com, содержащую версию и уникальный идентификатор.
Объявляется отправляющий сервер, который собирается доставить почтовые запросы, которые записывают TXT и видят политику.
Он извлекает файл политики HTTPS, проверяет на соответствие ему принимающий MX и его сертификат TLS.
Если политика находится в принудительном режиме и TLS не может быть проверен, отправитель отказывается от доставки, а не возвращается к открытому тексту.
Синтаксис записи MTA-STS
_mta-sts.example.com. 3600 IN TXT "v=STSv1; id=20240118T120000Z"
# https://mta-sts.example.com/.well-known/mta-sts.txt
version: STSv1
mode: enforce
mx: mail.example.com
max_age: 604800Разбивка DNS-тегов
v=STSv1— версия протокола, всегда перваяидентификатор =— уникальный токен, меняется при каждом обновлении политикиПоля файла политики
Распространенные сбои и исправления MTA-STS
Файл политики недоступен
Файл .well-known должен загружаться через HTTPS с действительным сертификатом — исправьте хост, прежде чем отправители смогут его применить.
Устаревший идентификатор
Если вы забываете указать идентификатор после редактирования политики, отправители сохраняют старый — меняйте его при каждом обновлении.
Несоответствие MX
Если записи mx не соответствуют вашим реальным записям MX, режим принудительного применения блокирует легитимную почту — синхронизируйте их.
Прыгайте прямо, чтобы обеспечить соблюдение
Начните тестирование с TLS-RPT, чтобы выявить проблемы до того, как режим принудительного применения сможет отклонить сообщения.
Часто задаваемые вопросы
MTA-STS (строгая транспортная безопасность агента передачи почты) позволяет вашему домену сообщать отправляющим серверам, что почта должна доставляться через TLS с действительным сертификатом. Он объединяет запись DNS TXT по адресу _mta-sts.yourdomain.com с файлом политики, размещенным по протоколу HTTPS. Без этого оппортунистическое шифрование SMTP может быть взломано злоумышленником на сетевом пути, в результате чего ваша почта будет передаваться в виде открытого текста.
Запись TXT по адресу _mta-sts.yourdomain.com содержит две вещи: версию (v=STSv1) и идентификатор — уникальный токен, который вы должны менять каждый раз при обновлении файла политики. Запись не содержит самой политики; он просто объявляет о существовании политики и сигнализирует через измененный идентификатор, когда отправителям следует повторно получить ее.
Режим устанавливается в файле политики HTTPS, а не в записи DNS. В режиме тестирования отправители сообщают об ошибках TLS (через TLS-RPT), но продолжают доставлять почту, что позволяет безопасно находить проблемы. В принудительном режиме отправители отказываются доставлять сообщения, если TLS не может быть проверен. Лучше всего сначала запустить тестирование с включенной отчетностью, а затем переключиться на принудительное применение, как только вы убедитесь, что все работает.
Оба требуют TLS для входящей почты, но они по-разному закрепляют доверие. DANE использует записи DNSSEC и TLSA для закрепления сертификатов, поэтому это зависит от развернутого DNSSEC. MTA-STS использует общедоступную веб-инфраструктуру PKI и политику, размещенную на HTTPS, поэтому он работает без DNSSEC. Многие домены сначала принимают MTA-STS, поскольку его проще развернуть в существующей инфраструктуре.
Распространенными причинами являются отсутствующая или неверная запись TXT, идентификатор, который не был обновлен после изменения политики, или файл политики, который не загружается по HTTPS с действительным сертификатом. Эта программа проверки проверяет запись DNS; также убедитесь, что файл /.well-known/mta-sts.txt доступен и что его записи mx соответствуют вашим реальным записям MX.