MTA-STS
MTA-STS 是什么?
MTA-STSRFC 8461 定义的邮件安全机制,域名可对入站 SMTP 强制启用 TLS 并固定受信任的 MX 主机,从而防御降级和 STARTTLS 剥离攻击。
MTA-STS (MTA Strict Transport Security) 由 RFC 8461 规定,域名通过在 _mta-sts.example.com 发布 TXT 记录,并在 https://mta-sts.example.com/.well-known/mta-sts.txt 提供 HTTPS 策略文件,声明所需 TLS、允许的 MX 主机名以及模式 (none、testing、enforce)。发送方 MTA 会缓存策略;在 enforce 模式下,如果 STARTTLS、证书验证或 MX 匹配失败,就拒绝投递。对没有部署 DNSSEC 的运营者来说,MTA-STS 是 DANE/TLSA 的有效补充,可缓解 STARTTLS 剥离与伪证书的主动攻击。SMTP TLS Reporting (RFC 8460) 还提供每日 JSON 报告,帮助监控覆盖率与异常。
● 示例
- 01
在 enforce 模式下发布策略,将入站 SMTP 限定为通过 TLS 1.2 及以上连接的 mx1.example.com 和 mx2.example.com。
- 02
MTA-STS 顺利上线后,TLSRPT 每日报告显示零 TLS 失败。
● 常见问题
MTA-STS 是什么?
RFC 8461 定义的邮件安全机制,域名可对入站 SMTP 强制启用 TLS 并固定受信任的 MX 主机,从而防御降级和 STARTTLS 剥离攻击。 它属于网络安全的 网络安全 分类。
MTA-STS 是什么意思?
RFC 8461 定义的邮件安全机制,域名可对入站 SMTP 强制启用 TLS 并固定受信任的 MX 主机,从而防御降级和 STARTTLS 剥离攻击。
MTA-STS 是如何工作的?
MTA-STS (MTA Strict Transport Security) 由 RFC 8461 规定,域名通过在 _mta-sts.example.com 发布 TXT 记录,并在 https://mta-sts.example.com/.well-known/mta-sts.txt 提供 HTTPS 策略文件,声明所需 TLS、允许的 MX 主机名以及模式 (none、testing、enforce)。发送方 MTA 会缓存策略;在 enforce 模式下,如果 STARTTLS、证书验证或 MX 匹配失败,就拒绝投递。对没有部署 DNSSEC 的运营者来说,MTA-STS 是 DANE/TLSA 的有效补充,可缓解 STARTTLS 剥离与伪证书的主动攻击。SMTP TLS Reporting (RFC 8460) 还提供每日 JSON 报告,帮助监控覆盖率与异常。
如何防御 MTA-STS?
针对 MTA-STS 的防御通常结合技术控制与运营实践,详见上方完整定义。
MTA-STS 还有哪些其他名称?
常见的别称包括: MTA 严格传输安全。
● 相关术语
- network-security№ 1098
STARTTLS
RFC 3207 定义的 SMTP/IMAP/POP3/XMPP 扩展,在协议握手之后将明文连接升级到 TLS,实现邮件服务器与客户端之间的机会性加密。
- network-security№ 764
机会性 TLS
双方在均支持时使用 TLS、否则回退到明文的加密策略,典型见于使用 STARTTLS 但缺乏强认证的邮件服务器之间。
- network-security№ 270
DANE
RFC 6698 定义的协议族,利用经 DNSSEC 签名的 TLSA 记录,将服务的 TLS 证书或公钥绑定到 DNS 中,降低对公共 CA 的依赖。
- network-security№ 333
DMARC
RFC 7489 定义的邮件认证标准,域名所有者可发布策略告诉接收方如何处理 SPF/DKIM 失败或不对齐的邮件。
- network-security№ 1159
TLS(传输层安全)
由 IETF 标准化的加密协议,为两个联网应用之间的通信提供机密性、完整性与认证。
- network-security№ 984
安全邮件网关
位于网络边界或云端的服务,在邮件抵达用户邮箱前过滤入站和出站邮件中的垃圾邮件、钓鱼、恶意软件、数据泄漏和违规行为。