فاحص MTA-STS المجاني — التحقق من سياسة أمان نقل البريد الإلكتروني
تحقق مما إذا كان نطاقك ينشر سجل MTA-STS صالحًا. يُجبر MTA-STS خوادم البريد المستقبِلة على استخدام TLS عند التسليم إلى نطاقك، مما يمنع هجمات التخفيض والتنصت.
أهمية MTA-STS لأمان البريد الإلكتروني
ما يُعيده فاحص MTA-STS
نستعلم عن سجل TXT الخاص بـ _mta-sts DNS ونعيد محتواه الكامل وحالة التحقق.
حالات الاستخدام الشائعة لـ MTA-STS
MTA-STS مهم بشكل خاص للنطاقات التي تتعامل مع بريد إلكتروني حساس أو منظَّم.
التحقق من الإعداد الأولي — تأكد من تفعيل سجل MTA-STS بعد نشر DNS
تدقيق وضع السياسة — تحقق من وضع enforce مقابل testing بعد طرح السياسة
فحص ما بعد الترحيل — تأكد من بقاء سجل MTA-STS بعد تغييرات النطاق أو مزود DNS
تدقيق الامتثال — التحقق من تطبيق TLS لمتطلبات HIPAA أو GDPR أو ISO 27001
مراجعة الأمان — تضمين MTA-STS في تقييم أمان البنية التحتية للبريد الكامل
استكشاف الأخطاء — تشخيص إخفاقات البريد الوارد التي قد تتعلق بخطأ في تهيئة سياسة TLS
كيفية قراءة نتائج MTA-STS
فهم النتيجة يساعدك على تهيئة تطبيق TLS واستكشاف أخطائه بشكل صحيح لنطاقك.
تحقق من حالة السجل
"صالح" يعني العثور على سجل TXT الخاص بـ MTA-STS DNS ويبدأ بـ v=STSv1. "غير موجود" يعني عدم الإشارة لخوادم الإرسال بتطبيق TLS. "غير صالح" يعني أن السجل مُشوَّه أو مكرر.
راجع السجل الخام
يُظهر سجل TXT الخام إدخال MTA-STS الكامل بما في ذلك الإصدار والحقول الاختيارية. تأكد من تطابقه مع ما يُظهره مزود DNS لديك.
تحقق من ملف السياسة
يتطلب MTA-STS أيضًا ملف سياسة مستضافًا على https://mta-sts.yourdomain.com/.well-known/mta-sts.txt. يجب أن يكون سجل DNS وملف السياسة كلاهما موجودَين ومتسقَين.
تحقق من الوضع
ابدأ في وضع testing (mode: testing) لتلقي تقارير TLS-RPT دون حجب البريد. انتقل إلى وضع enforce فقط بعد التأكد من قدرة جميع المرسِلين على التسليم عبر TLS بنجاح.
من يستخدم فاحص MTA-STS
يُستخدم التحقق من MTA-STS من قبل مسؤولي البريد وفرق الأمان ومسؤولي الامتثال.
مسؤولو البريد الإلكتروني يتحققون من تفعيل سياسة تطبيق TLS وصحتها
مهندسو الأمان يدققون أمان نقل البريد لمراجعات الامتثال
مديرو IT الذين يفحصون MTA-STS كجزء من تقييم أشمل للبنية التحتية للبريد
مستشارو قابلية التسليم يتحققون من تهيئة أمان النطاق للعملاء
مسؤولو الامتثال يتحققون من متطلبات TLS أثناء النقل للصناعات المنظَّمة
الأسئلة المتكررة
ما هو MTA-STS؟
MTA-STS (أمان النقل الصارم لعامل نقل البريد) معيار أمان البريد الإلكتروني (RFC 8461) يُشير لخوادم البريد المرسِلة بأن نطاقك يتطلب TLS لتسليم البريد الإلكتروني. يمنع هجمات التخفيض التي تجرّد TLS من اتصالات SMTP.
ما سجل DNS الذي يستخدمه MTA-STS؟
يتطلب MTA-STS سجل TXT على _mta-sts.yourdomain.com يبدأ بـ v=STSv1. يتطلب أيضًا ملف سياسة مستضافًا على https://mta-sts.yourdomain.com/.well-known/mta-sts.txt.
ما أوضاع سياسة MTA-STS؟
هناك ثلاثة أوضاع: none (تقارير فقط، بدون تطبيق)، وtesting (الإبلاغ عن الإخفاقات لكن التسليم يستمر)، وenforce (رفض التسليم إذا لم يمكن إنشاء TLS). ابدأ بـ testing للمراقبة قبل التحويل إلى enforce.
هل يستبدل MTA-STS بروتوكول STARTTLS؟
لا. يُرقّي STARTTLS الاتصالات إلى TLS بشكل انتهازي لكن يمكن تجريده من المهاجمين. يُضيف MTA-STS تطبيقًا صارمًا والتحقق من الشهادة فوق STARTTLS، مما يمنع هجمات التخفيض.
ما TLS-RPT وكيف يرتبط بـ MTA-STS؟
TLS-RPT (تقارير TLS، RFC 8460) يُرسل تقارير إجمالية حول إخفاقات تسليم TLS إلى بريد إلكتروني أو نقطة نهاية HTTPS محددة. اقرنه مع MTA-STS لتلقي إشعارات عند فشل تسليم TLS إلى نطاقك.
هل سيحجب MTA-STS البريد الإلكتروني الشرعي؟
في وضع enforce، نعم — إذا لم يتمكن خادم الإرسال من إنشاء اتصال TLS صالح، سيرفض التسليم. استخدم وضع testing أولًا لتحديد أي مرسِلين لديهم مشاكل TLS قبل التحويل إلى enforce.
كيف يتحقق هذا الفاحص من MTA-STS؟
تستعلم الأداة عن سجل TXT الخاص بـ _mta-sts DNS في الوقت الفعلي وتعيد محتوى السجل الخام وحالة التحقق. ملاحظة: تفحص هذه الأداة سجل DNS فقط، وليس ملف السياسة المستضاف على mta-sts.yourdomain.com.
هل تخزّن هذه الأداة النطاقات التي أفحصها؟
لا. تُجرى جميع عمليات بحث DNS في الوقت الفعلي دون الاحتفاظ بأي بيانات نطاق بعد اكتمال الاستعلام.