连接邮件服务器并检测 STARTTLS
DNS 与记录
DNS 查询 查询任意域名的全部 DNS 记录 A 记录查询 域名的 IPv4 地址 AAAA 记录查询 域名的 IPv6 地址 MX 查询 域名的邮件服务器 NS 查询 权威名称服务器 TXT 查询 TXT 记录、SPF、验证 CNAME 查询 规范名称(别名)记录 SOA 查询 起始授权机构记录 SRV 查询 服务位置记录 CAA 查询 哪些 CA 可以签发证书 反向 DNS(PTR) IP 地址到主机名 DNSSEC 检测 该域名是否已签名并通过验证? DNS 健康检测 完整的委派与 DNS 诊断报告电子邮件送达率
SPF 检测 验证您的发件人策略框架记录 DMARC 检测 检查并评估您的 DMARC 策略 DKIM 检测 查找并验证您的 DKIM 公钥 黑名单检测 对照电子邮件黑名单(DNSBL)检测 IP SMTP 测试 连接邮件服务器并检测 STARTTLS MTA-STS 检测 入站邮件的强制 TLS 策略 BIMI 检测 电子邮件的品牌徽标记录 TLS-RPT 检测 SMTP TLS 报告策略网络与网站
SSL 证书检测 检查网站的 TLS 证书和到期情况 HTTP 标头检测 检查响应标头、重定向和安全性 Ping(TCP) 通过 TCP 检测可达性和延迟 端口检测 哪些常用端口处于开放状态域名
WHOIS 查询 域名、IP 和 ASN 的注册数据本 SMTP 测试会解析域名的主 MX,在 25 端口上建立连接,读取欢迎横幅(banner)和 EHLO 能力列表,并报告服务器是否提供用于加密投递的 STARTTLS。这是确认邮件服务器可达且支持 TLS 的快捷方式。
当你提交一个域名时,IPeek 查询其 MX 记录,挑选优先级最高的主机,并在 25 端口上建立 TCP 连接。服务器以 220 欢迎横幅应答,横幅会标明所用软件,通常是 Postfix、Exim 或 Microsoft。IPeek 随后发送 EHLO 并解析列出所支持扩展的多行 250 响应。在该列表中查找 STARTTLS:它表明服务器能在交换任何邮件数据之前,将明文会话升级为加密的 TLS 通道。SIZE、PIPELINING 和 8BITMIME 通常会一同出现。
先看横幅。220 响应表示服务器已接受连接并准备就绪。若 EHLO 能力列表中出现 STARTTLS,说明服务器能加密入站投递;其缺失则意味着邮件可能以明文中继。超时或连接被拒通常指向防火墙、错误的 MX 目标或宕机的主机。请注意,25 端口用于服务器间投递,而非客户端提交——客户端提交使用 587 或 465。横幅中的主机名应与你的 PTR 记录匹配,以满足会做检查的接收方。
连接被拒或超时是最常见的故障,通常是防火墙屏蔽了 25 端口,或 MX 记录指向了错误主机。缺少 STARTTLS 行意味着接收服务器无法协商 TLS,请添加证书并在你的 MTA 中启用它。自签名或过期的证书仍会通告 STARTTLS,但会破坏 MTA-STS 和 DANE 等严格 TLS 策略。如果横幅报告的通用主机名与你的反向 DNS 不一致,请修正 PTR 记录,因为当横幅与 PTR 不符时,许多接收方会拒收邮件。
服务器间邮件投递使用 25 端口,这正是本测试所连接的端口。587 和 465 端口保留给来自客户端和应用程序的邮件提交,其中 587 使用 STARTTLS,465 使用隐式 TLS。IPeek 检查 25 端口,因为那是接收方 MX 服务器从互联网接受入站邮件的地方。
STARTTLS 将明文 SMTP 会话升级为加密的 TLS 连接。服务器在其 EHLO 响应中通告 STARTTLS,发送方服务器在传输任何邮件数据之前发出该命令以协商 TLS。没有它,邮件会以明文穿越网络,可能在传输中被读取或篡改。除非由 MTA-STS 或 DANE 强制执行,否则 STARTTLS 是机会性的。
超时几乎总是意味着防火墙屏蔽了 25 端口,或 MX 记录指向了宕机或不可达的主机。许多家庭和云网络默认屏蔽出站 25 端口。请确认 MX 目标正确解析、检查邮件服务器是否在监听,并核实没有安全组或防火墙规则丢弃该连接。
它意味着发往该服务器的入站邮件可以在不加密的情况下投递,使其在传输途中面临被截获的风险。多数现代接收方仍会接受这些邮件,但无法加密会话。要修复,请安装有效的 TLS 证书并在 MTA 配置中启用 STARTTLS,然后重新运行测试以确认该能力已出现。
欢迎横幅是邮件服务器在你连接后发送的第一行,以响应码 220 开头。它标明服务器软件和主机名,并确认服务器已准备好接受命令。接收方常将横幅中的主机名与连接 IP 的 PTR 记录进行比对,因此不匹配可能触发垃圾邮件过滤或直接拒收。