Генератор политики

Генератор MTA-STS и TLS-RPT

Подготовьте DNS TXT-записи и файл политики MTA-STS для контроля TLS-доставки между почтовыми серверами.

Параметры политики

DNS TXT: MTA-STS

Имя записи: _mta-sts.example.ru

v=STSv1; id=2026070601

DNS TXT: TLS-RPT

Имя записи: _smtp._tls.example.ru

v=TLSRPTv1; rua=mailto:tlsrpt@example.ru

DNS и HTTPS для policy host

MTA-STS использует отдельный HTTPS-хост. Для домена нужно создать адресную запись и опубликовать файл политики по стандартному пути.

A/AAAA запись
mta-sts.example.ru  A  <IP вашего веб-сервера>

Вместо A можно использовать AAAA, если policy host доступен по IPv6. IP должен вести на веб-сервер или reverse proxy с HTTPS.

HTTPS URL
https://mta-sts.example.ru/.well-known/mta-sts.txt

Сертификат должен быть валидным для mta-sts.example.ru. Если используется nginx/reverse proxy, настройте отдачу файла по пути /.well-known/mta-sts.txt.

HTTPS policy file

URL: https://mta-sts.example.ru/.well-known/mta-sts.txt

version: STSv1
mode: testing
max_age: 86400

Рекомендации

  • Укажите домен, для которого настраивается MTA-STS.
  • Добавьте все MX hostname домена. Без mx строк policy file неполный.
  • Начинайте с mode=testing, затем переходите на enforce после проверки отчётов TLS-RPT.
  • Добавьте A или AAAA запись для mta-sts.example.ru на веб-сервер, где будет опубликован policy file.
  • Файл политики должен открываться по HTTPS на поддомене mta-sts с валидным сертификатом.
  • При каждом изменении policy file меняйте id в TXT _mta-sts, чтобы получатели обновили кэш.