Ce este MTA-STS?

Forteaza criptarea TLS pentru emailurile primite

Definiție MTA-STS

MTA-STS (Mail Transfer Agent Strict Transport Security) asigura ca emailurile trimise catre domeniul tau sunt obligatoriu criptate cu TLS. Fara MTA-STS, un atacator ar putea intercepta emailurile in tranzit printr-un atac man-in-the-middle, fortand o conexiune necriptata.

De ce contează MTA-STS

MTA-STS forteaza serverele de email sa foloseasca TLS criptat cand trimit mesaje catre domeniul tau — fara el, conexiunea SMTP poate fi downgrade-ata la text clar printr-un atac MITM, permitand interceptarea continutului emailurilor. Este deosebit de important pentru business-uri care primesc date sensibile pe email: facturi, contracte, date personale ale clientilor.

Cum verifici MTA-STS

SoftAudit verifica existenta inregistrarii DNS _mta-sts.domeniu.ro (TXT) si descarca fisierul de politica de la https://mta-sts.domeniu.ro/.well-known/mta-sts.txt. Valideaza ca modul este enforce (nu testing), ca mx-urile listate corespund cu MX records si ca max_age este rezonabil.

Greșeli frecvente

Publicarea unei politici MTA-STS cu mode: testing dar fara a configura TLS-RPT inseamna ca nu vei afla niciodata daca politica functioneaza corect sau daca sunt esecuri de conexiune. Listarea unui MX in politica care nu are certificat SSL valid cauzeaza respingerea emailurilor de la serverele care respecta politica.

Bune practici

Incepe cu mode: testing si TLS-RPT configurat pentru a monitoriza 2-4 saptamani, apoi comuta la mode: enforce dupa confirmarea ca toate conexiunile reusesc. Asigura-te ca toate serverele MX listate au certificate SSL valide emise pentru hostname-urile exacte. Seteaza max_age la 604800 (7 zile) si actualizeaza id-ul din DNS la fiecare modificare a politicii.