MTA-STS
Что такое MTA-STS?
MTA-STSМеханизм почтовой безопасности (RFC 8461), позволяющий домену требовать TLS для входящего SMTP и фиксировать список доверенных MX-хостов, противодействуя downgrade- и STARTTLS-stripping-атакам.
MTA Strict Transport Security (MTA-STS) описан в RFC 8461. Домен публикует TXT-запись в _mta-sts.example.com и политику, доступную по HTTPS в https://mta-sts.example.com/.well-known/mta-sts.txt, где задаются обязательный TLS, разрешённые MX и режим (none, testing, enforce). Отправляющие MTA кешируют политику и в режиме enforce отказывают в доставке, если STARTTLS, проверка сертификата или соответствие MX не выполнены. MTA-STS дополняет DANE/TLSA для операторов без DNSSEC и устраняет слабости оппортунистического TLS при активных атаках. SMTP TLS Reporting (RFC 8460) обеспечивает ежедневные JSON-отчёты о сбоях TLS.
● Примеры
- 01
Публикация политики в режиме enforce, ограничивающей входящий SMTP только mx1.example.com и mx2.example.com по TLS 1.2 и выше.
- 02
Получение ежедневных TLSRPT-отчётов без сбоев TLS после успешного развёртывания MTA-STS.
● Частые вопросы
Что такое MTA-STS?
Механизм почтовой безопасности (RFC 8461), позволяющий домену требовать TLS для входящего SMTP и фиксировать список доверенных MX-хостов, противодействуя downgrade- и STARTTLS-stripping-атакам. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает MTA-STS?
Механизм почтовой безопасности (RFC 8461), позволяющий домену требовать TLS для входящего SMTP и фиксировать список доверенных MX-хостов, противодействуя downgrade- и STARTTLS-stripping-атакам.
Как работает MTA-STS?
MTA Strict Transport Security (MTA-STS) описан в RFC 8461. Домен публикует TXT-запись в _mta-sts.example.com и политику, доступную по HTTPS в https://mta-sts.example.com/.well-known/mta-sts.txt, где задаются обязательный TLS, разрешённые MX и режим (none, testing, enforce). Отправляющие MTA кешируют политику и в режиме enforce отказывают в доставке, если STARTTLS, проверка сертификата или соответствие MX не выполнены. MTA-STS дополняет DANE/TLSA для операторов без DNSSEC и устраняет слабости оппортунистического TLS при активных атаках. SMTP TLS Reporting (RFC 8460) обеспечивает ежедневные JSON-отчёты о сбоях TLS.
Как защититься от MTA-STS?
Защита от MTA-STS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия MTA-STS?
Распространённые альтернативные названия: MTA Strict Transport Security.
● Связанные термины
- network-security№ 1098
STARTTLS
Расширение SMTP, IMAP, POP3 и XMPP по RFC 3207, переводящее открытое соединение в TLS после приветствия протокола и обеспечивающее оппортунистическое шифрование между серверами и клиентами почты.
- network-security№ 764
Оппортунистический TLS
Подход к шифрованию, при котором обе стороны используют TLS, если поддерживают его, и переходят к открытому тексту в противном случае; типичен для SMTP между серверами с STARTTLS без строгой аутентификации.
- network-security№ 270
DANE
Семейство протоколов по RFC 6698, использующее подписанные DNSSEC записи TLSA для привязки TLS-сертификатов или публичных ключей к сервису, снижая зависимость от публичных CA.
- network-security№ 333
DMARC
Стандарт аутентификации почты по RFC 7489, позволяющий владельцу домена опубликовать политику, какой обработке подвергать сообщения, не прошедшие SPF/DKIM и проверку выравнивания.
- network-security№ 1159
TLS (Transport Layer Security)
Стандартизованный IETF криптографический протокол, обеспечивающий конфиденциальность, целостность и аутентификацию трафика между двумя сетевыми приложениями.
- network-security№ 984
Защитный почтовый шлюз
Периметровый или облачный сервис, фильтрующий входящую и исходящую почту на спам, фишинг, вредоносное ПО, утечки данных и нарушения политик до доставки в почтовые ящики.