Інструменти мережевої діагностики
Примусова політика TLS для вхідної пошти
DNS та записи
Пошук DNS Усі записи DNS для будь-якого домену Пошук запису A IPv4-адреси домену Пошук запису AAAA IPv6-адреси домену Пошук MX Поштові сервери домену Пошук NS Авторитетні сервери імен Пошук TXT Записи TXT, SPF, верифікація Пошук CNAME Записи канонічного імені (псевдонім) Пошук SOA Запис Start of Authority Пошук SRV Записи розташування сервісів Пошук CAA Які CA можуть видавати сертифікати Зворотний DNS (PTR) IP-адреса до імені хоста Перевірка DNSSEC Чи підписаний і валідований домен? Перевірка стану DNS Повний звіт про делегування та стан DNSДоставлюваність пошти
Перевірка SPF Перевірте свій запис Sender Policy Framework Перевірка DMARC Перевірте та оцініть свою політику DMARC Перевірка DKIM Знайдіть і перевірте свій відкритий ключ DKIM Перевірка чорних списків Перевірте IP за поштовими чорними списками (DNSBL) Тест SMTP Підключіться до поштового сервера та перевірте STARTTLS Перевірка MTA-STS Примусова політика TLS для вхідної пошти Перевірка BIMI Запис логотипа бренду для пошти Перевірка TLS-RPT Політика звітності SMTP TLSМережа та веб
Перевірка SSL-сертифіката Перевірте TLS-сертифікат сайту та термін дії Перевірка заголовків HTTP Перевірте заголовки відповіді, перенаправлення та безпеку Ping (TCP) Доступність і затримка через TCP Перевірка портів Які поширені порти відкритіДомен
Пошук WHOIS Реєстраційні дані для доменів, IP та ASNMTA-STS дозволяє домену вимагати, щоб вхідна пошта доставлялася через автентифікований TLS, захищаючи від атак пониження й «людина посередині». IPeek читає TXT-запис _mta-sts і отримує файл політики, опублікований за адресою mta-sts.your-domain. Він закриває прогалину, залишену опортуністичним STARTTLS, який зловмисник може тихо зрізати.
MTA-STS складається з двох частин. TXT-запис за адресою _mta-sts.your-domain містить версію та ідентифікатор політики, що повідомляє серверам-відправникам про існування політики й змінюється, коли ви її оновлюєте. Сама політика зберігається у текстовому файлі, що віддається через HTTPS за адресою https://mta-sts.your-domain/.well-known/mta-sts.txt. Цей файл містить версію, режим, дозволені імена хостів MX і час кешування max_age. Відправник, що підтримує MTA-STS, отримує й кешує політику, а потім відмовляється доставляти до будь-якого MX, чий сертифікат не валідується за нею.
IPeek показує, чи існує TXT-запис _mta-sts і чи доступний файл політики через HTTPS. Найважливіше значення — режим. none означає, що жодна політика не діє, testing означає, що про збої повідомляється, але пошта все одно проходить, а enforce означає, що відправник має перервати доставку, якщо автентифікація TLS не вдалася. Перевірте, що записи mx у політиці збігаються з вашими реальними записами MX і що сертифікат HTTPS на хості політики чинний. Високий max_age, часто 604800 секунд, покращує захист, бо кешовані політики стійкі до підробки в реальному часі.
Найпоширеніша помилка — TXT-запис, що існує, тоді як файл політики повертає 404 чи переадресацію, що робить політику непридатною. Хост політики має віддавати чинний HTTPS, тож прострочений чи невідповідний сертифікат на mta-sts.your-domain повністю ламає застосування. Записи MX, що розходяться з вашим DNS, спричиняють збої доставки, щойно ви перейдете на enforce. Розгортайте спершу в testing, відстежуйте звіти TLS-RPT на предмет збоїв і переходьте на enforce лише після того, як підтвердите, що кожен MX пред’являє чинний відповідний сертифікат.
У режимі testing відправники, які виявляють збій TLS, усе одно доставляють пошту, але повідомляють про проблему, дозволяючи вам знайти проблеми без блокування трафіку. У режимі enforce відправник має перервати доставку до будь-якого MX, чий сертифікат не пройшов перевірку. Почніть із testing, стежте за звітами TLS-RPT і переходьте на enforce лише тоді, коли збоїв не з’являється.
Файл політики віддається через HTTPS за адресою https://mta-sts.your-domain/.well-known/mta-sts.txt, на субдомені з ім’ям mta-sts. TXT-запис DNS за адресою _mta-sts.your-domain лише оголошує, що політика існує, і містить ідентифікатор; самі правила, зокрема режим і дозволені хости MX, зберігаються у цьому файлі HTTPS. Обидва мають бути присутні й чинні, щоб MTA-STS працював.
STARTTLS опортуністичний: він пропонує шифрування, але мережевий зловмисник може зрізати оголошення STARTTLS і непомітно примусити доставку у відкритому вигляді. MTA-STS додає опубліковану політику, що повідомляє відправникам, що TLS обов’язковий і яким сертифікатам MX довіряти, тож зрізане чи невалідне з’єднання TLS спричиняє збій доставки, а не тихе пониження. Він захищає STARTTLS від атак пониження.
Ні. MTA-STS навмисно покладається на HTTPS і вебінфраструктуру PKI для своєї довіри, а не на DNSSEC, що робить його простішим у розгортанні, ніж DANE. Сертифікат HTTPS файлу політики забезпечує автентифікацію. Якщо у вашого домену вже є DNSSEC, ви можете запускати DANE поряд із MTA-STS, бо ці два механізми доповнюють, а не суперечать один одному.
Спершу опублікуйте TXT-запис і файл політики в режимі testing, потім увімкніть TLS-RPT, щоб сервери-відправники надсилали вам звіти про будь-які збої TLS. Підтвердьте, що імена хостів MX у політиці збігаються з DNS і що кожен MX пред’являє чинний сертифікат. Щойно звіти не показуватимуть збоїв протягом звичайного циклу звітності, змініть режим на enforce й оновіть ідентифікатор політики.