Перейти к содержанию

Настройка MTA-STS

Примечание

Для этого руководства требуется animails версии 2025-09 или новее.

Для тех, кто выполнял настройку вручную ранее

Если вы ранее настраивали MTA-STS для своего домена в animails вручную, учтите, что любые существующие файлы MTA-STS (например, .well-known/mta-sts.txt) станут недоступны после этого обновления. Теперь animails отдает политики MTA-STS динамически на основе настроек домена в панели управления и использует хранящуюся там конфигурацию.

animails не создает никаких файлов MTA-STS в директории .well-known, весь контент генерируется динамически через PHP-код.

Важно

MTA-STS особенно полезен для доменов, которые не поддерживают (или не могут поддерживать) DANE. Если вы уже используете DANE (DNS-based Authentication of Named Entities), MTA-STS не является строго обязательным, но может использоваться в дополнение для дальнейшего повышения безопасности.

Что такое MTA-STS?

MTA-STS (Mail Transfer Agent Strict Transport Security) — это стандарт безопасности, разработанный для повышения защиты передачи электронной почты. Он позволяет владельцам доменов публиковать политики, требующие передачи писем только через безопасные соединения (TLS). Это помогает предотвратить атаки типа «человек посередине» (MITM) и обеспечивает целостность и конфиденциальность почтовой связи.

Теперь animails поддерживает управление политиками MTA-STS напрямую через интерфейс, что было реализовано в рамках инициативы «Год безопасности электронной почты 2025» (E-Mail-Sicherheitsjahr 2025) Федерального управления по информационной безопасности Германии (BSI). animails активно участвует в этой инициативе для содействия общему улучшению безопасности почты и упрощения процесса настройки.

Требования

  • animails версии 2025-09 или новее
  • Домен, указывающий на вашу установку animails
  • Действующий SSL-сертификат для вашего домена (например, от Let's Encrypt)
  • Доступ к настройкам DNS вашего домена

Шаг 1: Включение MTA-STS в интерфейсе animails

  1. Войдите в интерфейс animails под учетной записью администратора.
  2. Перейдите в раздел E-Mail Конфигурация, затем откройте вкладку Домены.
  3. Отредактируйте домен, для которого хотите включить MTA-STS (нажмите Редактировать).
  4. Теперь вы должны увидеть вкладку MTA-STS, которая выглядит примерно так: MTA-STS Tab
  5. Кратко разберем все опции:
    • Версия: Текущая версия политики MTA-STS. На данный момент стандартом RFC определена только версия 1 (STSv1).
    • Режим: Выберите желаемый режим:
      • none: политика отключена (только мониторинг)
      • testing: политика активна, но нарушения только логируются
      • enforce: политика активна, нарушения блокируются
    • Максимальный возраст: Укажите, как долго почтовые серверы должны кешировать политику (в секундах). Рекомендуемое значение — 86400 секунд (1 день).
    • Записи MX: Введите здесь MX-записи вашего домена через запятую. Эти записи указывают, какие почтовые серверы авторизованы принимать почту для вашего домена.
  6. После установки нужных настроек отметьте галочку Активен и нажмите Сохранить изменения.

Шаг 2: Добавление DNS-записи для MTA-STS

  1. Создайте новую DNS-запись типа TXT для вашего домена с именем _mta-sts.yourdomain.tld (замените yourdomain.tld на ваш актуальный домен).

  2. Значение TXT-записи должно выглядеть следующим образом:

     v=STSv1; id=2024090101
    - v=STSv1: Указывает версию политики MTA-STS. - id=2024090101: Уникальный идентификатор политики, который следует увеличивать при каждом изменении политики (например, дата изменения в формате ГГГГММДДЧЧ).

    Примечание

    При изменении политики MTA-STS (например, смене режима или MX-записей), id в DNS-записи должен быть увеличен, чтобы принимающие почтовые серверы распознали новую политику.

    animails автоматически генерирует новый id, когда вы вносите и сохраняете изменения в интерфейсе animails.

    Вы всегда можете узнать актуальный id с помощью проверки DNS внутри интерфейса animails (синяя кнопка «Проверка DNS»).

В целом, после включения MTA-STS в интерфейсе animails всегда следует использовать «Проверку DNS», чтобы убедиться, что записи DNS (TXT и CNAME) установлены правильно и разошлись по сети.

  3. Создайте еще одну DNS-запись типа CNAME для вашего домена с именем mta-sts.yourdomain.tld, которая указывает на FQDN вашего animails (например, mail.yourdomain.tld, замените на ваш актуальный FQDN).

    Важно

    Запись CNAME необходима для генерации валидного SSL-сертификата (при условии, что сертификаты генерирует animails) и для того, чтобы принимающие серверы могли получить политику MTA-STS. animails размещает файл политики централизованно для упрощения управления.

  4. Дождитесь обновления DNS. Это может занять некоторое время в зависимости от настроек TTL ваших записей.

Шаг 3: Проверка конфигурации MTA-STS

  1. После того как записи DNS обновятся, вы можете проверить конфигурацию MTA-STS.
  2. Используйте онлайн-инструменты, такие как Hardenize или MTA-STS Validator от Mailhardener, чтобы убедиться в правильности настройки политики.
  3. Кроме того, вы можете использовать «Проверку DNS» в интерфейсе animails для подтверждения корректности записей.

Шаг 4: Мониторинг и корректировка

  1. Следите за почтовыми логами в интерфейсе animails, чтобы убедиться, что легитимные письма не блокируются.
  2. Если вы обнаружите блокировку легитимных писем, временно переключите режим в testing, чтобы фиксировать нарушения без блокировки почты.
  3. При необходимости корректируйте MX-записи и другие параметры, не забывая увеличивать id в DNS-записи при каждом изменении.
  4. Как только вы убедитесь, что все работает правильно, установите режим enforce для полного применения политики.