Verificador Gratuito de MTA-STS — Verifique a Política de Segurança de Transporte de Email
Verifique se o seu domínio publica um registro MTA-STS válido. O MTA-STS força os servidores de email receptores a usar TLS ao entregar ao seu domínio, prevenindo ataques de downgrade e espionagem.
Por que o MTA-STS é Importante para a Segurança de Email
O que Este Verificador MTA-STS Retorna
Consultamos o registro TXT DNS _mta-sts e retornamos seu conteúdo completo e status de validação.
Casos de Uso Comuns do MTA-STS
O MTA-STS é especialmente importante para domínios que lidam com email sensível ou regulamentado.
Verificação de configuração inicial — confirme que o registro MTA-STS está ativo após publicação no DNS
Auditoria de modo de política — verifique o modo enforce vs. testing após implantação da política
Verificação pós-migração — confirme que o registro MTA-STS sobreviveu a alterações de domínio ou provedor DNS
Auditoria de conformidade — valide a aplicação de TLS para requisitos HIPAA, GDPR ou ISO 27001
Revisão de segurança — inclua o MTA-STS na avaliação completa de segurança da infraestrutura de email
Solução de problemas — diagnostique falhas de emails recebidos que podem estar relacionadas a configuração incorreta de política TLS
Como Interpretar os Resultados do MTA-STS
Entender o resultado ajuda a configurar e solucionar corretamente a aplicação de TLS para o seu domínio.
Verifique o Status do Registro
Válido significa que o registro TXT DNS MTA-STS foi encontrado e começa com v=STSv1. Não Encontrado significa que a aplicação de TLS não está sinalizada para servidores de envio. Inválido significa que o registro está malformado ou duplicado.
Revise o Registro Bruto
O registro TXT bruto mostra a entrada MTA-STS completa, incluindo versão e campos opcionais. Confirme que corresponde ao que o seu provedor DNS exibe.
Verifique o Arquivo de Política
O MTA-STS também requer um arquivo de política hospedado em https://mta-sts.seudominio.com/.well-known/mta-sts.txt. O registro DNS e o arquivo de política devem estar presentes e consistentes.
Verifique o Modo
Comece no modo testing (mode: testing) para receber relatórios TLS-RPT sem bloquear emails. Mude para o modo enforce somente após confirmar que todos os remetentes conseguem entregar por TLS com sucesso.
Quem Usa o Verificador MTA-STS
A verificação MTA-STS é usada por administradores de email, equipes de segurança e responsáveis por conformidade.
Administradores de email verificando se a política de aplicação de TLS está ativa e correta
Engenheiros de segurança auditando a segurança de transporte de email para revisões de conformidade
Gerentes de TI verificando MTA-STS como parte de uma avaliação mais ampla de infraestrutura de email
Consultores de entregabilidade verificando a configuração de segurança de domínio para clientes
Responsáveis por conformidade validando requisitos de TLS em trânsito para setores regulamentados
Perguntas Frequentes
O que é MTA-STS?
O MTA-STS (Mail Transfer Agent Strict Transport Security) é um padrão de segurança de email (RFC 8461) que sinaliza aos servidores de email de envio que o seu domínio requer TLS para entrega de email. Ele previne ataques de downgrade que removem o TLS de conexões SMTP.
Qual registro DNS o MTA-STS usa?
O MTA-STS requer um registro TXT em _mta-sts.seudominio.com começando com v=STSv1. Também requer um arquivo de política hospedado em https://mta-sts.seudominio.com/.well-known/mta-sts.txt.
Quais são os modos de política do MTA-STS?
Existem três modos: none (somente relatório, sem aplicação), testing (reportar falhas, mas ainda entregar) e enforce (rejeitar entrega se o TLS não puder ser estabelecido). Comece com testing para monitorar antes de mudar para enforce.
O MTA-STS substitui o STARTTLS?
Não. O STARTTLS atualiza conexões para TLS de forma oportunística, mas pode ser removido por invasores. O MTA-STS adiciona aplicação estrita e validação de certificado em cima do STARTTLS, prevenindo ataques de downgrade.
O que é TLS-RPT e como se relaciona com MTA-STS?
O TLS-RPT (TLS Reporting, RFC 8460) envia relatórios agregados sobre falhas de entrega por TLS para um email ou endpoint HTTPS especificado. Combine-o com o MTA-STS para receber notificações quando a entrega por TLS ao seu domínio falhar.
O MTA-STS vai bloquear emails legítimos?
No modo enforce, sim — se um servidor de envio não conseguir estabelecer uma conexão TLS válida, ele se recusará a entregar. Use o modo testing primeiro para identificar os remetentes com problemas de TLS antes de mudar para enforce.
Como este verificador valida o MTA-STS?
A ferramenta consulta o registro TXT DNS _mta-sts em tempo real e retorna o conteúdo bruto do registro e o status de validação. Nota: esta ferramenta verifica apenas o registro DNS, não o arquivo de política hospedado em mta-sts.seudominio.com.
Esta ferramenta armazena os domínios que verifico?
Não. Todas as consultas DNS são realizadas em tempo real sem reter nenhum dado de domínio após a conclusão da consulta.