Strumenti diagnostici di rete

Verifica MTA-STS

Policy TLS forzata per la posta in entrata

Che cos'è MTA-STS?

MTA-STS consente a un dominio di richiedere che la posta in entrata venga consegnata su TLS autenticato, difendendo da attacchi di downgrade e man-in-the-middle. IPeek legge il record TXT _mta-sts e recupera il file di policy pubblicato su mta-sts.tuo-dominio. Colma la lacuna lasciata dallo STARTTLS opportunistico, che un aggressore può rimuovere silenziosamente.

Come MTA-STS pubblica e applica una policy

MTA-STS usa due componenti. Un record TXT su _mta-sts.tuo-dominio contiene una versione e un ID di policy che comunica ai server mittenti che una policy esiste e che cambia quando la aggiorni. La policy stessa risiede in un file di testo servito su HTTPS all'indirizzo https://mta-sts.tuo-dominio/.well-known/mta-sts.txt. Quel file elenca la versione, la modalità, gli hostname MX consentiti e una durata di caching max_age. Un mittente che supporta MTA-STS recupera e memorizza in cache la policy, poi rifiuta di consegnare a qualsiasi MX il cui certificato non si convalida rispetto a essa.

Come interpretare i risultati MTA-STS

IPeek mostra se il record TXT _mta-sts esiste e se il file di policy è raggiungibile su HTTPS. Il valore della modalità è ciò che conta di più. none significa che nessuna policy è in vigore, testing significa che i fallimenti vengono segnalati ma la posta scorre comunque, ed enforce significa che un mittente deve interrompere la consegna se l'autenticazione TLS fallisce. Verifica che le voci mx nella policy corrispondano ai tuoi record MX reali e che il certificato HTTPS sull'host della policy sia valido. Un max_age elevato, spesso 604800 secondi, migliora la protezione perché le policy in cache resistono alla manomissione in tempo reale.

Problemi comuni MTA-STS e come risolverli

L'errore più comune è un record TXT esistente mentre il file di policy restituisce un 404 o un reindirizzamento, il che rende la policy inutilizzabile. L'host della policy deve servire HTTPS valido, quindi un certificato scaduto o non corrispondente su mta-sts.tuo-dominio interrompe del tutto l'applicazione. Voci mx che si disallineano dal tuo DNS causano fallimenti di consegna una volta passati a enforce. Esegui il rollout prima in testing, monitora i report TLS-RPT per i fallimenti, e passa a enforce solo dopo aver confermato che ogni MX presenta un certificato valido e corrispondente.

Domande frequenti

Qual è la differenza tra le modalità testing ed enforce di MTA-STS?

In modalità testing, i mittenti che rilevano un fallimento TLS consegnano comunque la posta ma segnalano il problema, permettendoti di individuare gli errori senza bloccare il traffico. In modalità enforce, un mittente deve interrompere la consegna a qualsiasi MX il cui certificato non si convalida. Parti da testing, osserva i tuoi report TLS-RPT e passa a enforce solo quando non compaiono più fallimenti.

Dove si trova il file di policy MTA-STS?

Il file di policy è servito su HTTPS all'indirizzo https://mta-sts.tuo-dominio/.well-known/mta-sts.txt, su un sottodominio chiamato mta-sts. Il record DNS TXT su _mta-sts.tuo-dominio si limita ad annunciare che una policy esiste e ne trasporta un ID; le regole effettive, tra cui modalità e host MX consentiti, risiedono in quel file HTTPS. Entrambi devono essere presenti e validi perché MTA-STS funzioni.

In cosa MTA-STS differisce da STARTTLS?

STARTTLS è opportunistico: offre cifratura ma un aggressore di rete può rimuovere l'annuncio STARTTLS e forzare la consegna in chiaro, senza essere rilevato. MTA-STS aggiunge una policy pubblicata che comunica ai mittenti che TLS è obbligatorio e quali certificati MX considerare attendibili, così una connessione TLS rimossa o non valida fa fallire la consegna anziché degradarla silenziosamente. Irrobustisce STARTTLS contro gli attacchi di downgrade.

MTA-STS richiede DNSSEC?

No. MTA-STS si basa deliberatamente su HTTPS e sulla PKI web per la sua fiducia, non su DNSSEC, il che lo rende più facile da implementare rispetto a DANE. Il certificato HTTPS del file di policy fornisce l'autenticazione. Se il tuo dominio ha già DNSSEC, puoi usare DANE insieme a MTA-STS, dato che i due meccanismi si completano anziché entrare in conflitto.

Come implemento MTA-STS in sicurezza?

Pubblica prima il record TXT e il file di policy in modalità testing, poi abilita TLS-RPT così i server mittenti ti inviano via email i report di eventuali fallimenti TLS. Conferma che gli hostname MX nella policy corrispondano al DNS e che ogni MX presenti un certificato valido. Una volta che i report non mostrano fallimenti per un normale ciclo di reportistica, cambia la modalità in enforce e aggiorna l'ID della policy.

Strumenti correlati

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어