Назад в базу знаний
MTA-STS и TLS-RPT
Что такое MTA-STS и TLS-RPT и как они контролируются
Краткое объяснение MTA-STS и TLS-RPT: зачем нужны политики TLS-доставки, где публикуются записи и что мониторить.
Что проверяем
- _mta-sts TXT и policy id
- HTTPS policy-файл mta-sts.domain
- MX в policy
- _smtp._tls TXT для TLS-RPT
- адрес приема отчетов TLS-RPT
Почему это важно
- MTA-STS защищает входящую SMTP-доставку от downgrade-атак.
- TLS-RPT сообщает о проблемах TLS-доставки.
- Ошибочная политика MTA-STS может повредить входящей почте.
Симптомы проблемы
- policy-файл недоступен
- MX в политике не совпадает с DNS
- TLS-RPT отчеты не приходят
Как исправить
- Опубликуйте _mta-sts TXT.
- Разместите HTTPS policy на mta-sts.domain.
- Начните с mode testing.
- Добавьте _smtp._tls TXT с rua.
- Мониторьте доступность policy, MX и сертификата.
Как проверить после исправления
- Проверьте TXT и HTTPS URL снаружи.
- Сравните MX в DNS и policy.
- Проверьте прием отчетов TLS-RPT.
Типовые ошибки
- включают enforce до тестирования
- забывают обновить id при изменении policy
- policy-хост имеет просроченный сертификат
Проверьте это на своем письме
Отправьте письмо в MailAudit и получите отчет с конкретными значениями SPF, DKIM, DMARC, заголовков и рекомендациями.
