Как исправить "Политика MTA-STS отсутствует"?
Последнее обновление:
5 Время чтения: 5 минут
Если вы столкнулись с проблемой "ПолитикаMTA-STS отсутствует: STSFetchResult.NONE " при использовании онлайн-инструментов, то вы попали по адресу. Сегодня мы поговорим о том, как исправить это сообщение об ошибке и избавиться от нее, включив политику MTA-STS для вашего домена.
Простой протокол передачи почты, он же SMTP, - это стандартный протокол передачи электронной почты, используемый большинством поставщиков услуг электронной почты. Не чуждое понятие, что SMTP сталкивается с проблемами безопасности с начала времен, с проблемами, которые они до сих пор не смогли решить. Это связано с тем, что для обеспечения обратной совместимости электронной почты SMTP ввел оппортунистическое шифрование в виде команды STARTTLS. По сути, это означает, что в случае, если зашифрованное соединение не может быть согласовано между двумя взаимодействующими SMTP-серверами, соединение сворачивается до незашифрованного, и сообщения отправляются в открытом виде.
Это делает электронную почту, передаваемую по протоколу SMTP, уязвимой для повсеместного мониторинга и кибернетических атак типа Man-in-the-middle. Это опасно как для отправителя, так и для получателя и может привести к утечке конфиденциальных данных. Именно поэтому MTA-STS вступает в дело и делает шифрование TLS обязательным в SMTP, чтобы предотвратить доставку писем по незащищенным соединениям.
Ключевые выводы
- MTA-STS необходим для обеспечения обязательного шифрования TLS, что снижает уязвимость электронной почты во время передачи.
- Создание и публикация TXT-записи MTA-STS DNS - это первый шаг к включению этого стандарта в вашем домене.
- Реализация политики MTA-STS в режиме тестирования позволяет отслеживать и устранять потенциальные проблемы с соединением SMTP TLS без немедленного применения.
- Каждый домен должен иметь уникальный файл политики MTA-STS, так как наличие нескольких файлов может привести к неверной настройке и ошибкам.
- Использование размещенных служб MTA-STS позволяет упростить процесс развертывания и обеспечить соответствие последним стандартам TLS.
Что такое политика MTA-STS?
Для того чтобы повысить безопасность SMTP-почты и максимально использовать такие протоколы аутентификации, как MTA-STS, сервер-отправитель должен поддерживать этот протокол, а сервер-получатель электронной почты должен иметь политику MTA-STS, определенную в DNS. Для дальнейшего усиления стандартов безопасности также рекомендуется использовать режим принудительной политики. Политика MTA-STS определяет почтовые серверы, использующие MTA-STS в домене получателя.
Чтобы включить MTA-STS для вашего домена в качестве получателя электронной почты, вам необходимо разместить файл политики MTA-STS в вашем DNS. Это позволит внешним отправителям электронной почты отправлять на ваш домен электронные письма, которые аутентифицированы и зашифрованы TLS с помощью обновленной версии TLS (1.2 или выше).
Отсутствие опубликованного или обновленного файла политики для вашего домена может быть основной причиной появления сообщений об ошибках типа "Политика MTA-STS отсутствует: STSFetchResult.NONE", что означает, что сервер отправителя не смог получить файл политики MTA-STS, когда он запрашивал DNS получателя и обнаружил, что он отсутствует.
Предварительные условия для MTA-STS:
Серверы электронной почты, для которых будет включена функция MTA-STS, должны использовать TLS версии 1.2 или выше, а также иметь сертификаты TLS, соответствующие текущим стандартам и спецификациям RFC, не просроченные, и сертификаты сервера, подписанные доверенным корневым центром сертификации.
Упростите безопасность с помощью PowerDMARC!
Шаги по устранению "Политика MTA-STS отсутствует"
1. Создание и публикация TXT-записи DNS MTA-STS
Первый шаг - создание записи MTA-STS для вашего домена. Вы можете создать запись мгновенно, используя генератор записей MTA-STS, который обеспечит вам индивидуальную запись DNS для вашего домена.
2. Определение режима политики MTA-STS
MTA-STS предлагает пользователям два режима политики для работы.
- Режим тестирования: Этот режим идеально подходит для новичков, которые ранее не настраивали протокол. Режим тестирования MTA-STS позволяет вам получать отчеты SMTP TLS о проблемах в политиках MTA-STS, проблемах в установлении зашифрованных SMTP-соединений или сбоях в доставке электронной почты. Это поможет вам реагировать на существующие проблемы безопасности, относящиеся к вашим доменам и серверам, не применяя шифрование TLS.
- Режим принудительного исполнения: Пока вы все еще получаете отчеты о TLS, со временем пользователям будет оптимально внедрить политику MTA-STS, чтобы сделать шифрование обязательным при получении электронной почты с помощью SMTP. Это предотвращает изменение или подделку сообщений во время их пересылки.
3. Создание файла политики MTA-STS
Следующим шагом будет размещение файлов политик MTA-STS для ваших доменов. Обратите внимание, что хотя содержимое каждого файла может быть одинаковым, обязательно размещать политики отдельно для разных доменов, и один домен может иметь только один файл политики MTA-STS. Несколько файлов политик MTA-STS, размещенных для одного домена, могут привести к неправильной конфигурации протокола.
Стандартный формат файла политики MTA-STS приведен ниже:
Имя файла: mta-sts.txt
Максимальный размер файла: 64 КБ
версия: STSv1
режим: тестирование
mx: mail.yourdomain.com
mx: *.yourdomain.com
max_age: 806400
Примечание: Файл политики, показанный выше, является просто примером.
4. Публикация файла политики MTA-STS
Далее необходимо опубликовать файл политики MTA-STS на общедоступном веб-сервере, который доступен для внешних серверов. Убедитесь, что сервер, на котором вы размещаете файл, поддерживает HTTPS или SSL. Процедура для этого проста. Предположим, что ваш домен предварительно сконфигурирован с публичным веб-сервером:
- Добавьте к существующему домену поддомен, который должен начинаться с текста: mta-sts (например, mta-sts.domain.com).
- Ваш файл политики будет указывать на этот созданный вами поддомен, который должен храниться в файле .well-known директории
- URL-адрес файла политики добавляется в запись DNS при публикации DNS-записи MTA-STS, чтобы сервер мог запрашивать DNS для получения файла политики во время передачи электронной почты.
5. Активируйте MTA-STS и TLS-RPT
Наконец, вам необходимо опубликовать ваши MTA-STS и TLS-RPT DNS-записи в DNS вашего домена, используя TXT в качестве типа ресурса, размещенные на двух отдельных поддоменах (_smtp._tls и _mta-sts). Это позволит только TLS-шифрованным сообщениям достигать вашего почтового ящика, проверенным и несанкционированным. Более того, вы будете ежедневно получать отчеты о проблемах доставки и шифрования на настроенный вами адрес электронной почты или веб-сервер с внешних серверов.
Вы можете проверить действительность своих DNS-записей, выполнив поиск записи MTA-STS после того, как запись будет опубликована и начнет работать.
Примечание: Каждый раз, когда вы вносите изменения в содержимое файла политики MTA-STS, вы должны обновлять его как на публичном веб-сервере, на котором вы размещаете свой файл, так и на DNS-записи, содержащей URL вашей политики. То же самое относится и к каждому обновлению или добавлению доменов или серверов.
Как хостируемые службы MTA-STS могут помочь в решении проблемы "Политика MTA-STS отсутствует"?
Ручная реализация MTA-STS может быть трудной и сложной и оставлять место для ошибок. PowerDMARC размещенные MTA-STS помогает ускорить процесс для владельцев доменов, делая развертывание протокола легким и быстрым. Вы можете:
- Публикация записей CNAME для MTA-STS с помощью нескольких щелчков мыши
- Передайте на аутсорсинг тяжелую работу, связанную с обслуживанием и размещением файлов политики MTA-STS и веб-серверов
- Изменяйте режим политики, когда захотите, прямо с индивидуально настроенной приборной панели, без необходимости доступа к DNS.
- Мы отображаем JSON-файлы отчетов SMTP TLS в организованном и человекочитаемом формате, удобном и понятном как для технических, так и для нетехнических специалистов.
Самое лучшее? Мы совместимы с RFC и поддерживаем последние стандарты TLS. Это поможет вам начать безошибочную настройку MTA-STS для вашего домена и наслаждаться его преимуществами, оставив все хлопоты и сложности на наше усмотрение!
Надеюсь, эта статья помогла вам избавиться от подсказки "Политика MTA-STS отсутствует: STSFetchResult.NONE", а также правильно настроить протоколы для вашего домена, чтобы уменьшить лазейки и проблемы в безопасности SMTP.
Включите MTA-STS для своей электронной почты сегодня, пройдя бесплатную проверку аутентификация электронной почты испытание DMARCдля улучшения защиты от MITM и других кибернетических подслушивающих атак!
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Объяснение DMARCbis — что меняется и как подготовиться - 16 апреля 2026 г.
- Неверный формат серийного номера SOA: причины и способы устранения - 13 апреля 2026 г.
- Как отправлять защищенные письма в Gmail: пошаговое руководство - 7 апреля 2026 г.
