Бесплатная проверка MTA-STS — верификация политики безопасности транспорта email
Проверьте, публикует ли ваш домен действительную MTA-STS запись. MTA-STS обязывает принимающие почтовые серверы использовать TLS при доставке на ваш домен, предотвращая атаки на понижение уровня защиты и перехват.
Почему MTA-STS важен для безопасности email
Что возвращает проверка MTA-STS
Мы запрашиваем DNS TXT-запись _mta-sts и возвращаем её полное содержимое и статус валидации.
Распространённые сценарии использования MTA-STS
MTA-STS особенно важен для доменов, обрабатывающих конфиденциальную или регулируемую электронную почту.
Проверка начальной настройки — убедитесь, что MTA-STS запись активна после публикации в DNS
Аудит режима политики — проверьте режим enforce или testing после развёртывания политики
Проверка после миграции — убедитесь, что MTA-STS запись сохранилась после смены домена или DNS-провайдера
Аудит соответствия — проверьте принудительное применение TLS для требований HIPAA, GDPR или ISO 27001
Проверка безопасности — включите MTA-STS в полную оценку безопасности email-инфраструктуры
Диагностика — выявляйте сбои входящей почты, которые могут быть связаны с неверной настройкой политики TLS
Как читать результаты проверки MTA-STS
Понимание результата помогает правильно настроить и устранить неполадки с принудительным применением TLS для вашего домена.
Проверьте статус записи
«Действительный» означает, что DNS TXT-запись MTA-STS найдена и начинается с v=STSv1. «Не найдено» означает, что принудительное применение TLS не сигнализируется отправляющим серверам. «Недействительный» означает, что запись неверно сформирована или дублирована.
Проверьте исходную запись
Исходная TXT-запись показывает полную запись MTA-STS, включая версию и дополнительные поля. Убедитесь, что она совпадает с тем, что отображает ваш DNS-провайдер.
Проверьте файл политики
MTA-STS также требует файла политики, размещённого по адресу https://mta-sts.yourdomain.com/.well-known/mta-sts.txt. DNS-запись и файл политики должны присутствовать и быть согласованными.
Проверьте режим
Начните с режима testing, чтобы получать TLS-RPT отчёты без блокировки почты. Переключайтесь на режим enforce только после подтверждения того, что все отправители могут успешно доставлять почту по TLS.
Кто использует проверку MTA-STS
Верификация MTA-STS используется email-администраторами, командами безопасности и сотрудниками по соответствию требованиям.
Email-администраторы, проверяющие активность и корректность политики принудительного применения TLS
Инженеры по безопасности, проводящие аудит безопасности транспорта email для соответствия требованиям
IT-менеджеры, проверяющие MTA-STS в рамках комплексной оценки email-инфраструктуры
Консультанты по доставляемости, проверяющие конфигурацию безопасности домена для клиентов
Сотрудники по соответствию, проверяющие требования TLS при передаче данных в регулируемых отраслях
Часто задаваемые вопросы
Что такое MTA-STS?
MTA-STS (Mail Transfer Agent Strict Transport Security) — стандарт безопасности email (RFC 8461), сигнализирующий отправляющим почтовым серверам о том, что ваш домен требует TLS для доставки email. Он предотвращает атаки на понижение, которые снимают TLS со SMTP-соединений.
Какую DNS-запись использует MTA-STS?
MTA-STS требует TXT-запись по адресу _mta-sts.yourdomain.com, начинающуюся с v=STSv1. Также требуется файл политики, размещённый по адресу https://mta-sts.yourdomain.com/.well-known/mta-sts.txt.
Каковы режимы политики MTA-STS?
Существует три режима: none (только отчётность, без принудительного применения), testing (сообщать об ошибках, но всё равно доставлять) и enforce (отклонять доставку, если TLS не может быть установлен). Начните с testing для мониторинга перед переключением на enforce.
Заменяет ли MTA-STS STARTTLS?
Нет. STARTTLS обновляет соединения до TLS оппортунистически, но может быть снят атакующими. MTA-STS добавляет строгое принудительное применение и проверку сертификата поверх STARTTLS, предотвращая атаки на понижение.
Что такое TLS-RPT и как он связан с MTA-STS?
TLS-RPT (TLS Reporting, RFC 8460) отправляет агрегированные отчёты о сбоях доставки по TLS на указанный email или HTTPS-эндпоинт. Используйте его совместно с MTA-STS для получения уведомлений о сбоях доставки по TLS на ваш домен.
Заблокирует ли MTA-STS легитимный email?
В режиме enforce — да: если отправляющий сервер не может установить действительное TLS-соединение, он откажется доставлять почту. Сначала используйте режим testing, чтобы выявить отправителей с проблемами TLS, прежде чем переключаться на enforce.
Как этот инструмент проверяет MTA-STS?
Инструмент запрашивает DNS TXT-запись _mta-sts в реальном времени и возвращает содержимое исходной записи и статус валидации. Примечание: этот инструмент проверяет только DNS-запись, но не файл политики, размещённый по адресу mta-sts.yourdomain.com.
Сохраняет ли этот инструмент проверяемые домены?
Нет. Все DNS-запросы выполняются в реальном времени без сохранения каких-либо данных домена после завершения запроса.