testing
Tryb testowy. Nadawcy mogą raportować problemy z polityką, ale nie powinni blokować dostarczenia wiadomości wyłącznie na podstawie MTA-STS.
Narzędzie
MTA-STS: TLS dla poczty domeny
Praktyczny opis MTA-STS: rekord _mta-sts, plik polityki HTTPS, tryby testing i enforce oraz bezpieczny transport SMTP.
MTA-STS, czyli Mail Transfer Agent Strict Transport Security, pozwala domenie opublikować politykę wymuszającą bezpieczniejszy transport SMTP po TLS. Dzięki temu serwery wysyłające mogą sprawdzić, czy poczta do domeny powinna być dostarczana wyłącznie do wskazanych hostów MX i przez szyfrowane połączenie.
Tester poczty
Sprawdź MX, SPF i DMARC domeny.
SSL checker
Zweryfikuj certyfikat HTTPS domeny polityki.
Co to jest MX?
Zobacz, które hosty muszą pasować do polityki.
Rekord TXT
Zobacz rekord _mta-sts uruchamiający politykę.
Co to jest DMARC?
Połącz ochronę nadawcy z bezpiecznym odbiorem poczty.
Co to jest TLS-RPT?
Odbieraj raporty o problemach SMTP TLS.
Serwery poczty
Wróć do huba poczty firmowej.
Co to jest MTA-STS?
MTA-STS publikuje politykę, z której serwery wysyłające pocztę mogą odczytać, czy dla domeny wymagany jest poprawny TLS przy dostarczaniu wiadomości. Mechanizm składa się z rekordu TXT pod nazwą _mta-sts.domena oraz pliku polityki udostępnionego po HTTPS pod adresem https://mta-sts.domena/.well-known/mta-sts.txt.
Przykład konfiguracji MTA-STS
_mta-sts.twojadomena.pl TXT "v=STSv1; id=20260617"
https://mta-sts.twojadomena.pl/.well-known/mta-sts.txt
version: STSv1
mode: testing
mx: mx1.twojadomena.pl
mx: mx2.twojadomena.pl
max_age: 86400Elementy polityki MTA-STS
| Element | Znaczenie |
|---|---|
| _mta-sts | Rekord TXT informujący, że domena publikuje politykę MTA-STS. |
| id | Identyfikator wersji polityki. Zmiana id wymusza ponowne pobranie polityki przez nadawców. |
| mta-sts.domena | Host HTTPS, z którego pobierany jest plik polityki. |
| mode | Tryb działania: testing, enforce albo none. |
| mx | Lista hostów MX zgodnych z polityką. Musi pasować do realnych rekordów MX domeny. |
| max_age | Czas cache polityki po stronie serwerów wysyłających. |
enforce
Tryb egzekwowania. Jeżeli host MX albo TLS nie spełnia polityki, nadawca może wstrzymać dostarczenie wiadomości zamiast degradować połączenie.
MX i certyfikat
Hosty w polityce muszą odpowiadać rekordom MX, a połączenie SMTP powinno mieć poprawny certyfikat TLS zgodny z nazwą hosta.
TLS-RPT
MTA-STS warto wdrażać razem z TLS-RPT, żeby widzieć problemy z TLS, certyfikatami i zgodnością hostów MX po stronie nadawców.
Najczęstsze błędy MTA-STS
- Rekord TXT _mta-sts istnieje, ale host HTTPS z polityką nie działa.
- Polityka zawiera hosty MX inne niż realne rekordy MX domeny.
- Certyfikat TLS hosta MX nie pasuje do nazwy albo jest nieważny.
- Tryb enforce został włączony bez wcześniejszego testowania.
- Po zmianie pliku polityki nie zmieniono identyfikatora id w rekordzie TXT.
- Brak TLS-RPT, przez co administrator nie widzi raportów o problemach z transportem poczty.
FAQ: MTA-STS
Czy MTA-STS zastępuje SPF, DKIM albo DMARC?
Nie. SPF, DKIM i DMARC dotyczą uwierzytelniania nadawcy i polityki domeny, a MTA-STS dotyczy transportu poczty do serwerów MX po TLS.
Od jakiego trybu MTA-STS zacząć?
Najbezpieczniej zacząć od mode=testing i raportowania problemów, sprawdzić zgodność hostów MX oraz certyfikatów, a dopiero potem przejść do mode=enforce.
Gdzie dodaje się rekord MTA-STS?
Rekord MTA-STS dodaje się w DNS jako TXT pod nazwą _mta-sts.domena, na przykład _mta-sts.twojadomena.pl, z wartością v=STSv1 i identyfikatorem id.
Czy MTA-STS wymaga strony HTTPS?
Tak. Poza rekordem TXT potrzebny jest host mta-sts.domena z poprawnym HTTPS oraz plik .well-known/mta-sts.txt zawierający politykę dla domeny.