Назад в базу знаний
MTA-STS
MTA-STS: политика защищенной SMTP-доставки
MTA-STS позволяет домену объявить, что входящая почта должна доставляться только по TLS на указанные MX.
Что проверяем
- TXT-запись _mta-sts
- HTTPS policy-файл по адресу mta-sts.domain/.well-known/mta-sts.txt
- соответствие MX в политике реальным MX
- валидный TLS-сертификат policy-хоста
Почему это важно
- MTA-STS снижает риск downgrade-атак при доставке почты.
- Ошибочная политика может нарушить входящую доставку, поэтому ее нужно мониторить.
Симптомы проблемы
- policy-файл недоступен по HTTPS
- MX в политике не совпадают с DNS
- сертификат mta-sts домена истек или невалиден
Как исправить
- Опубликуйте TXT _mta-sts с id.
- Разместите policy-файл на mta-sts.domain по HTTPS.
- Начните с mode: testing, затем переходите к enforce.
- Обновляйте id при изменении политики.
Как проверить после исправления
- Проверьте TXT и HTTPS policy-файл снаружи.
- Сравните MX в DNS и policy.
- Проверьте TLS-сертификат policy-хоста.
Типовые ошибки
- policy размещен не на mta-sts.domain
- забыли обновить id после изменения политики
- enforce включили до проверки всех MX
Проверьте это на своем письме
Отправьте письмо в MailAudit и получите отчет с конкретными значениями SPF, DKIM, DMARC, заголовков и рекомендациями.
