Sähköposti · TLS · MTA-STS

MTA-STS-tarkistus

Q: Mitä MTA-STS mode testing tarkoittaa?

testing tarkoittaa käyttöönoton testivaihetta. Se auttaa seuraamaan mahdollisia ongelmia ennen enforce-tilaan siirtymistä.

Tarkista verkkotunnuksen MTA-STS-asetukset: DNS TXT -tietue ja HTTPS:n kautta julkaistu policy-tiedosto.

Syötä pelkkä verkkotunnus ilman https://-alkua, esimerkiksi domain.com.

Syötä verkkotunnus ja aloita tarkistus.

Opas · MTA-STS

Mikä MTA-STS-tarkistus on?

MTA-STS-tarkistus selvittää, onko verkkotunnukselle määritetty Mail Transfer Agent Strict Transport Security. MTA-STS auttaa kertomaan lähettäville sähköpostipalvelimille, että verkkotunnuksen sähköposti pitää toimittaa TLS-suojatulla yhteydellä hyväksytyille MX-palvelimille.

TXT-tietue

MTA-STS alkaa DNS-tietueesta _mta-sts.verkkotunnus. Tietue sisältää version ja id-arvon.

Policy-tiedosto

Varsinainen käytäntö julkaistaan osoitteessa https://mta-sts.verkkotunnus/.well-known/mta-sts.txt.

mode

Policy voi olla tilassa none, testing tai enforce. Vahvin tila on enforce.

mx

mx-rivit kertovat, mille MX-palvelimille sähköpostia saa toimittaa MTA-STS-käytännön mukaan.

Miksi MTA-STS on tärkeä?

MTA-STS parantaa sähköpostin kuljetuksen TLS-suojausta. Ilman MTA-STS:ää lähettävä palvelin voi joissain tilanteissa palata salaamattomaan SMTP-yhteyteen, jos TLS-yhteys epäonnistuu tai sitä yritetään häiritä.

Kun MTA-STS on määritetty oikein ja tila on enforce, sitä tukevat lähettävät palvelimet osaavat vaatia TLS-yhteyttä ja hyväksyttyä MX-palvelinta. MTA-STS täydentää SPF-, DKIM-, DMARC-, DNSSEC- ja TLS-asetuksia.

Miten tulosta tulkitaan?

Hyvä tulos tarkoittaa, että sekä _mta-sts-TXT-tietue että HTTPS-policy löytyvät ja policy on muodollisesti oikein. testing sopii käyttöönoton alkuvaiheeseen, mutta tuotannossa enforce tarjoaa vahvemman suojan.

Jos TXT-tietue löytyy mutta policy-tiedostoa ei voi hakea, MTA-STS on virheellisessä tilassa. Jos policyssä ei ole mx-rivejä tai max_age-arvoa, asetukset kannattaa korjata ennen käyttöönottoa.

Usein kysytyt kysymykset

Korvaako MTA-STS DNSSECin tai DANE:n?

Ei. MTA-STS on oma suojausmekanisminsa sähköpostin TLS-kuljetukselle. DNSSEC ja DANE/TLSA tarjoavat toisenlaisen DNSSECiin perustuvan mallin.

Mitä MTA-STS mode testing tarkoittaa?

testing tarkoittaa käyttöönoton testivaihetta. Se auttaa seuraamaan mahdollisia ongelmia ennen kuin käytäntö muutetaan enforce-tilaan.

Voiko virheellinen MTA-STS rikkoa sähköpostin vastaanoton?

Kyllä. Jos policy on enforce-tilassa mutta MX-palvelimet, varmenteet tai policy-tiedosto ovat väärin, osa lähettäjistä voi jättää viestit toimittamatta.