MTA-STS
Что такое MTA-STS?
MTA-STSМеханизм почтовой безопасности (RFC 8461), позволяющий домену требовать TLS для входящего SMTP и фиксировать список доверенных MX-хостов, противодействуя downgrade- и STARTTLS-stripping-атакам.
MTA Strict Transport Security (MTA-STS) описан в RFC 8461. Домен публикует TXT-запись в _mta-sts.example.com и политику, доступную по HTTPS в https://mta-sts.example.com/.well-known/mta-sts.txt, где задаются обязательный TLS, разрешённые MX и режим (none, testing, enforce). Отправляющие MTA кешируют политику и в режиме enforce отказывают в доставке, если STARTTLS, проверка сертификата или соответствие MX не выполнены. MTA-STS дополняет DANE/TLSA для операторов без DNSSEC и устраняет слабости оппортунистического TLS при активных атаках. SMTP TLS Reporting (RFC 8460) обеспечивает ежедневные JSON-отчёты о сбоях TLS.
● Примеры
- 01
Публикация политики в режиме enforce, ограничивающей входящий SMTP только mx1.example.com и mx2.example.com по TLS 1.2 и выше.
- 02
Получение ежедневных TLSRPT-отчётов без сбоев TLS после успешного развёртывания MTA-STS.
● Частые вопросы
Что такое MTA-STS?
Механизм почтовой безопасности (RFC 8461), позволяющий домену требовать TLS для входящего SMTP и фиксировать список доверенных MX-хостов, противодействуя downgrade- и STARTTLS-stripping-атакам. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает MTA-STS?
Механизм почтовой безопасности (RFC 8461), позволяющий домену требовать TLS для входящего SMTP и фиксировать список доверенных MX-хостов, противодействуя downgrade- и STARTTLS-stripping-атакам.
Как защититься от MTA-STS?
Защита от MTA-STS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия MTA-STS?
Распространённые альтернативные названия: MTA Strict Transport Security.