MTA-STS (Mail Transfer Agent Strict Transport Security) — это стандарт безопасности электронной почты, который помогает гарантировать, что электронные письма всегда передаются между серверами в зашифрованном и безопасном виде.
Как правило, почтовые серверы используют протокол STARTTLS для шифрования соединений, но по умолчанию он работает только при наличии такой возможности. Это означает, что если установить зашифрованное соединение не удается, для обеспечения доставки сообщение может быть отправлено в незашифрованном виде.
MTA-STS позволяет владельцу домена публично указать, что подключения к его почтовым серверам должны осуществляться исключительно через доверенное соединение TLS. Если безопасное соединение не может быть установлено, отправляющий сервер не должен доставлять сообщение.
Для чего нужен MTA-STS?
MTA-STS делает использование зашифрованных и доверенных (TLS) соединений обязательным для отправляющих почтовых серверов при условии, что отправляющий сервер поддерживает MTA-STS.
Без MTA-STS потенциальный злоумышленник может принудительно перевести соединение между почтовыми серверами в режим открытого текста или в недоверенное соединение. Действительность сертификата не проверяется, а использование TLS является необязательным.
MTA-STS помогает предотвратить такие ситуации, поскольку:
- между почтовыми серверами устанавливается соединение TLS
- сертификат сервера должен быть действительным
- если безопасное соединение не может быть установлено, сообщение не доставляется
Как работает MTA-STS?
MTA-STS использует два основных компонента:
- Запись DNS — сообщает другим серверам, что домен использует политику MTA-STS.
- Файл политики, передаваемый по HTTPS — содержит информацию о том, каким серверам разрешено принимать электронную почту для данного домена и какие требования безопасности применяются.
MTA-STS дополняет другие протоколы безопасности электронной почты
В то время как SPF, DKIM и DMARC защищают личность отправителя и предотвращают подделку, MTA-STS защищает передачу сообщений между серверами. MTA-STS не заменяет SPF, DKIM или DMARC, а дополняет их.
Как включить MTA-STS?
Чтобы включить MTA-STS, обратитесь в нашу службу поддержки клиентов.