Email Authentication

MTA-STS — SMTP Strict Transport Security

Επιβάλλει κρυπτογραφημένη TLS παράδοση για τα εισερχόμενα emails του domain.

Τι είναι το MTA-STS

Το MTA-STS είναι ένα νεότερο πρότυπο (RFC 8461, 2018) που επιβάλλει κρυπτογραφημένη TLS παράδοση για τα emails που έρχονται προς το domain σου. Χωρίς MTA-STS, ένας επιτιθέμενος που έχει πρόσβαση στη διαδρομή μπορεί να κάνει downgrade attack και να αναγκάσει τους sending servers να στείλουν τα emails σε plaintext.

Πώς λειτουργεί

Το MTA-STS συνδυάζει δύο πράγματα: ένα DNS TXT signal που λέει «έχω policy» και ένα policy αρχείο που διανέμεται μέσω HTTPS.

  1. Δημοσιεύεις ένα TXT record στο _mta-sts.example.com με version & id.
  2. Φιλοξενείς ένα policy αρχείο στο https://mta-sts.example.com/.well-known/mta-sts.txt.
  3. Sending servers κατεβάζουν το policy μέσω HTTPS (έχει βεβαιότητα μέσω SSL/TLS).
  4. Αναγκάζονται να χρησιμοποιήσουν TLS και να επαληθεύσουν το cert των δικών σου mail servers.

Παράδειγμα

DNS TXT record:

_mta-sts.example.com.  IN  TXT  "v=STSv1; id=20250115T130000Z;"

Policy file (https://mta-sts.example.com/.well-known/mta-sts.txt):

version: STSv1
mode: enforce
mx: mail.example.com
mx: *.mail.example.com
max_age: 604800

Modes

  • none — η πολιτική είναι σε αναμονή, ισοδύναμο με μη-δημοσίευση
  • testing — sending servers αναφέρουν αποτυχίες αλλά παραδίδουν κανονικά (καλό για roll-out)
  • enforce — TLS υποχρεωτικό, αλλιώς το email μπλοκάρεται

Συνδυασμός με TLS-RPT

Το MTA-STS συνδυάζεται με το TLS-RPT για να λαμβάνεις αναφορές όταν κάποιος αποτύχει να σου παραδώσει email λόγω TLS issue. Έτσι ξέρεις άμεσα αν κάτι έσπασε στο cert ή στο handshake.

Σήμερα υποστηρίζεται από Google, Microsoft, Yahoo, Comcast και άλλους μεγάλους providers. Αν δουλεύεις σε domain που στέλνει σοβαρά emails (transactional, financial), αξίζει να το ενεργοποιήσεις.

Σχετικοί όροι

TLS-RPT — SMTP TLS Reporting DMARC — Domain-based Message Authentication
← Όλοι οι όροι