@邮件域名体检

MTA-STS · TLS reporting

MTA-STS 与 TLS-RPT 的组成

一个有效部署同时依赖 DNS 公告和受信任 HTTPS policy。只看到 TXT 记录,并不能证明接收策略可用。

第一部分:DNS 公告

_mta-sts.example.com 发布唯一一条 TXT 记录。id 用于通知发送方 policy 已发生变化。

v=STSv1; id=20260717T001500Z

第二部分:HTTPS policy

policy 必须位于固定 URL,并通过受信任的 HTTPS 证书访问:

https://mta-sts.example.com/.well-known/mta-sts.txt

version: STSv1
mode: testing
mx: mail.example.com
max_age: 86400

mx 模式要覆盖实际 MX;testing 用于观察,enforce 才要求符合策略的 TLS 连接。切换 enforce 前应先确认所有接收主机和证书。

第三部分:TLS-RPT

_smtp._tls.example.com 发布报告地址,用于接收 TLS 传输失败摘要:

v=TLSRPTv1; rua=mailto:tls-reports@example.com

报告地址必须由组织控制或已获得第三方授权,并配套数据保留策略。

常见故障

  • DNS 有公告,但 HTTPS URL 返回 404、证书错误或重定向到错误位置。
  • policy 的 MX 模式与真实 MX 不匹配。
  • 直接从 testing 切到 enforce,未观察第三方发送者的失败报告。
  • 把扫描节点的网络超时误认为目标域名错误。

网络超时只能说明本次验证未完成。应从另一网络重试;HTTP、证书或不安全地址解析等确定性证据才应作为配置失败处理。

安全部署顺序

  1. 先保证 MX 与证书稳定。
  2. 发布可访问的 testing policy。
  3. 添加 TLS-RPT 并观察报告。
  4. 修复所有 MX 覆盖和证书问题。
  5. 切换 enforce,并更新 DNS id。

官方来源