Генератор политики
Генератор MTA-STS и TLS-RPT
Подготовьте DNS TXT-записи и файл политики MTA-STS для контроля TLS-доставки между почтовыми серверами.
Параметры политики
DNS TXT: MTA-STS
Имя записи: _mta-sts.example.ru
v=STSv1; id=2026070601
DNS TXT: TLS-RPT
Имя записи: _smtp._tls.example.ru
v=TLSRPTv1; rua=mailto:tlsrpt@example.ru
DNS и HTTPS для policy host
MTA-STS использует отдельный HTTPS-хост. Для домена нужно создать адресную запись и опубликовать файл политики по стандартному пути.
A/AAAA запись
mta-sts.example.ru A <IP вашего веб-сервера>
Вместо A можно использовать AAAA, если policy host доступен по IPv6. IP должен вести на веб-сервер или reverse proxy с HTTPS.
HTTPS URL
https://mta-sts.example.ru/.well-known/mta-sts.txt
Сертификат должен быть валидным для mta-sts.example.ru. Если используется nginx/reverse proxy, настройте отдачу файла по пути /.well-known/mta-sts.txt.
HTTPS policy file
URL: https://mta-sts.example.ru/.well-known/mta-sts.txt
version: STSv1 mode: testing max_age: 86400
Рекомендации
- • Укажите домен, для которого настраивается MTA-STS.
- • Добавьте все MX hostname домена. Без mx строк policy file неполный.
- • Начинайте с mode=testing, затем переходите на enforce после проверки отчётов TLS-RPT.
- • Добавьте A или AAAA запись для mta-sts.example.ru на веб-сервер, где будет опубликован policy file.
- • Файл политики должен открываться по HTTPS на поддомене mta-sts с валидным сертификатом.
- • При каждом изменении policy file меняйте id в TXT _mta-sts, чтобы получатели обновили кэш.
