Назад в базу знаний

MTA-STS и TLS-RPT

Что такое MTA-STS и TLS-RPT и как они контролируются

Краткое объяснение MTA-STS и TLS-RPT: зачем нужны политики TLS-доставки, где публикуются записи и что мониторить.

Что проверяем

  • _mta-sts TXT и policy id
  • HTTPS policy-файл mta-sts.domain
  • MX в policy
  • _smtp._tls TXT для TLS-RPT
  • адрес приема отчетов TLS-RPT

Почему это важно

  • MTA-STS защищает входящую SMTP-доставку от downgrade-атак.
  • TLS-RPT сообщает о проблемах TLS-доставки.
  • Ошибочная политика MTA-STS может повредить входящей почте.

Симптомы проблемы

  • policy-файл недоступен
  • MX в политике не совпадает с DNS
  • TLS-RPT отчеты не приходят

Как исправить

  • Опубликуйте _mta-sts TXT.
  • Разместите HTTPS policy на mta-sts.domain.
  • Начните с mode testing.
  • Добавьте _smtp._tls TXT с rua.
  • Мониторьте доступность policy, MX и сертификата.

Как проверить после исправления

  • Проверьте TXT и HTTPS URL снаружи.
  • Сравните MX в DNS и policy.
  • Проверьте прием отчетов TLS-RPT.

Типовые ошибки

  • включают enforce до тестирования
  • забывают обновить id при изменении policy
  • policy-хост имеет просроченный сертификат

Проверьте это на своем письме

Отправьте письмо в MailAudit и получите отчет с конкретными значениями SPF, DKIM, DMARC, заголовков и рекомендациями.

Получить помощь по этой проблеме

Оставьте домен и контакт. Мы проверим письмо, DNS и подскажем, что исправить первым.