免费MTA-STS检查器 — 验证邮件传输安全策略
检查您的域名是否发布了有效的MTA-STS记录。MTA-STS强制接收邮件服务器在向您的域名投递邮件时使用TLS,防止降级攻击和窃听。
MTA-STS对邮件安全的重要性
此MTA-STS检查器返回的内容
我们查询_mta-sts DNS TXT记录,并返回其完整内容和验证状态。
MTA-STS常见使用场景
MTA-STS对处理敏感或受监管邮件的域名尤为重要。
初始配置验证——发布DNS后确认MTA-STS记录已生效
策略模式审计——策略部署后验证enforce与testing模式
迁移后检查——确认MTA-STS记录在域名或DNS服务商变更后依然完好
合规审计——验证HIPAA、GDPR或ISO 27001要求的TLS强制执行
安全审查——将MTA-STS纳入完整邮件基础设施安全评估
故障排查——诊断可能与TLS策略配置错误相关的入站邮件故障
如何解读MTA-STS查询结果
理解查询结果有助于您正确配置和排查域名的TLS强制执行问题。
检查记录状态
"有效"表示找到MTA-STS DNS TXT记录且以v=STSv1开头。"未找到"表示未向发送服务器发送TLS强制信号。"无效"表示记录格式错误或存在重复。
查看原始记录
原始TXT记录显示包含版本和可选字段的完整MTA-STS条目,请确认与DNS服务商显示的内容一致。
检查策略文件
MTA-STS还需要在https://mta-sts.yourdomain.com/.well-known/mta-sts.txt托管一个策略文件,DNS记录和策略文件必须同时存在且保持一致。
验证模式设置
从testing模式(mode: testing)开始,在不阻断邮件的情况下接收TLS-RPT报告。只有在确认所有发件人均能通过TLS成功投递后,再切换到enforce模式。
谁会使用MTA-STS检查器
MTA-STS验证适用于邮件管理员、安全团队和合规官员。
邮件管理员——验证TLS强制策略是否有效且配置正确
安全工程师——为合规审查审计邮件传输安全
IT经理——将MTA-STS检查纳入更广泛的邮件基础设施评估
送达率顾问——为客户验证域名安全配置
合规官员——验证受监管行业的传输中TLS要求
常见问题解答
什么是MTA-STS?
MTA-STS(邮件传输代理严格传输安全,RFC 8461)是一种邮件安全标准,向发送邮件服务器表明您的域名要求使用TLS进行邮件投递。它可以防止剥除SMTP连接TLS加密的降级攻击。
MTA-STS使用哪种DNS记录?
MTA-STS需要在_mta-sts.yourdomain.com处设置一条以v=STSv1开头的TXT记录,同时还需要在https://mta-sts.yourdomain.com/.well-known/mta-sts.txt托管一个策略文件。
MTA-STS有哪些策略模式?
共有三种模式:none(仅报告,不强制执行)、testing(报告失败但仍投递)和enforce(如果无法建立TLS则拒绝投递)。切换到enforce之前,请先使用testing模式进行监控。
MTA-STS是否取代STARTTLS?
不是。STARTTLS以机会主义方式将连接升级到TLS,但可能被攻击者剥除。MTA-STS在STARTTLS之上增加了严格的强制执行和证书验证,防止降级攻击。
什么是TLS-RPT,它与MTA-STS有何关联?
TLS-RPT(TLS报告,RFC 8460)将有关TLS投递失败的汇总报告发送到指定的邮件或HTTPS端点。将其与MTA-STS配合使用,可在向您的域名进行TLS投递失败时收到通知。
MTA-STS会阻断合法邮件吗?
在enforce模式下,如果发送服务器无法建立有效的TLS连接,它将拒绝投递。切换到enforce之前,请先使用testing模式识别存在TLS问题的发件人。
此工具如何验证MTA-STS?
该工具实时查询_mta-sts DNS TXT记录,并返回原始记录内容和验证状态。注意:此工具仅检查DNS记录,不检查托管在mta-sts.yourdomain.com的策略文件。
此工具是否存储我查询的域名?
不存储。所有DNS查询均实时执行,查询完成后不会保留任何域名数据。