Назад в базу знаний

MTA-STS

MTA-STS: политика защищенной SMTP-доставки

MTA-STS позволяет домену объявить, что входящая почта должна доставляться только по TLS на указанные MX.

Что проверяем

  • TXT-запись _mta-sts
  • HTTPS policy-файл по адресу mta-sts.domain/.well-known/mta-sts.txt
  • соответствие MX в политике реальным MX
  • валидный TLS-сертификат policy-хоста

Почему это важно

  • MTA-STS снижает риск downgrade-атак при доставке почты.
  • Ошибочная политика может нарушить входящую доставку, поэтому ее нужно мониторить.

Симптомы проблемы

  • policy-файл недоступен по HTTPS
  • MX в политике не совпадают с DNS
  • сертификат mta-sts домена истек или невалиден

Как исправить

  • Опубликуйте TXT _mta-sts с id.
  • Разместите policy-файл на mta-sts.domain по HTTPS.
  • Начните с mode: testing, затем переходите к enforce.
  • Обновляйте id при изменении политики.

Как проверить после исправления

  • Проверьте TXT и HTTPS policy-файл снаружи.
  • Сравните MX в DNS и policy.
  • Проверьте TLS-сертификат policy-хоста.

Типовые ошибки

  • policy размещен не на mta-sts.domain
  • забыли обновить id после изменения политики
  • enforce включили до проверки всех MX

Проверьте это на своем письме

Отправьте письмо в MailAudit и получите отчет с конкретными значениями SPF, DKIM, DMARC, заголовков и рекомендациями.

Получить помощь по этой проблеме

Оставьте домен и контакт. Мы проверим письмо, DNS и подскажем, что исправить первым.