第一部分:DNS 公告
在 _mta-sts.example.com 发布唯一一条 TXT 记录。id 用于通知发送方 policy 已发生变化。
v=STSv1; id=20260717T001500Z
第二部分:HTTPS policy
policy 必须位于固定 URL,并通过受信任的 HTTPS 证书访问:
https://mta-sts.example.com/.well-known/mta-sts.txt version: STSv1 mode: testing mx: mail.example.com max_age: 86400
mx 模式要覆盖实际 MX;testing 用于观察,enforce 才要求符合策略的 TLS 连接。切换 enforce 前应先确认所有接收主机和证书。
第三部分:TLS-RPT
在 _smtp._tls.example.com 发布报告地址,用于接收 TLS 传输失败摘要:
v=TLSRPTv1; rua=mailto:tls-reports@example.com
报告地址必须由组织控制或已获得第三方授权,并配套数据保留策略。
常见故障
- DNS 有公告,但 HTTPS URL 返回 404、证书错误或重定向到错误位置。
- policy 的 MX 模式与真实 MX 不匹配。
- 直接从 testing 切到 enforce,未观察第三方发送者的失败报告。
- 把扫描节点的网络超时误认为目标域名错误。
网络超时只能说明本次验证未完成。应从另一网络重试;HTTP、证书或不安全地址解析等确定性证据才应作为配置失败处理。
安全部署顺序
- 先保证 MX 与证书稳定。
- 发布可访问的 testing policy。
- 添加 TLS-RPT 并观察报告。
- 修复所有 MX 覆盖和证书问题。
- 切换 enforce,并更新 DNS id。