MTA-STS сервер на офшорном VPS

MTA-STS - это политика, которую почтовый домен публикует через DNS и HTTPS endpoint, явно указывая принимающим серверам, что коммуникация должна происходить только через STARTTLS с валидным сертификатом. Это закрывает классические дыры в защите межсерверной почты.

• Downgrade атака: активный атакующий может вырезать STARTTLS из ответа сервера, заставляя отправителя отправить письмо plaintext.
• MITM с подложным сертификатом: без проверки сертификата опять же возможен перехват в зашифрованном виде, но злоумышленник имеет доступ.
• MTA-STS политика: domain объявляет "только TLS, только валидный сертификат, только эти MX серверы" - попытка обхода блокирует доставку.
• Reporting: TLS-RPT механизм позволяет получать отчёты о попытках обхода политики и downgrade-атаках.
• Поддержка крупными провайдерами: Google, Microsoft, Yahoo, Yandex - все поддерживают MTA-STS на принимающей и отправляющей стороне.
• RFC 8461: утверждённый IETF стандарт 2018 года, активно развивающийся.

Без MTA-STS почтовый сервер уязвим к самому простому виду перехвата на уровне сетевого провайдера или государственного актора, поэтому включение этой политики - базовая security гигиена.

MTA-STS состоит из двух частей: TXT-записи в DNS, которая объявляет наличие политики, и HTTPS-endpoint на mta-sts.вашдомен, который отдаёт текстовый файл с политикой.

• DNS TXT запись: _mta-sts.вашдомен IN TXT "v=STSv1; id=20250515" - id меняется при обновлении политики.
• HTTPS endpoint: на mta-sts.вашдомен нужен валидный TLS сертификат от Let's Encrypt и доступ по https://mta-sts.вашдомен/.well-known/mta-sts.txt
• Содержимое политики: version: STSv1, mode: enforce, mx: mx.вашдомен, max_age: 604800.
• Mode testing: для первого запуска используйте mode: testing, чтобы видеть нарушения без блокировки доставки.
• Mode enforce: после 1-2 недель тестирования переключитесь на enforce - теперь любые downgrade-попытки блокируются.
• TLS-RPT: добавьте _smtp._tls.вашдомен IN TXT "v=TLSRPTv1; rua=mailto:tls-reports@вашдомен" для отчётности.
• Caddy или nginx: на офшорном VPS Anubiz Host любой веб-сервер с Let's Encrypt справится с MTA-STS endpoint.
• Cron rotation: id в DNS меняется при каждом обновлении max_age, это нормальная практика.

После настройки MTA-STS пройдите проверку через aykevl.nl/apps/mta-sts/ или mxtoolbox MTA-STS check - должен показывать enforce mode и валидную политику.

MTA-STS - это не единственный способ защиты от downgrade-атак. DANE (DNS-based Authentication of Named Entities) через TLSA-записи даёт ещё более строгую гарантию, но требует DNSSEC. Грамотная конфигурация комбинирует обе техники.

• MTA-STS: работает без DNSSEC, полагается на TLS сертификат HTTPS endpoint для валидации политики.
• DANE TLSA: требует DNSSEC, привязывает SMTP сервер к конкретному сертификату через DNS-запись.
• Защита от MITM: DANE защищает от компрометации CA, MTA-STS - от downgrade-атак.
• Совместимость: Google и Microsoft поддерживают MTA-STS глубже, чем DANE, поэтому MTA-STS даёт более широкое покрытие.
• DNSSEC подписи: Anubiz Host позволяет настроить DNSSEC для домена через любого DNS-провайдера (Cloudflare, Hover, Gandi).
• TLSA-запись: _25._tcp.mx IN TLSA 3 1 1 SHA256_OF_CERT - привязывает MX сервер к конкретному сертификату.
• Cert rotation strategy: при ротации сертификата нужно заранее добавить новую TLSA, дать TTL пройти, потом сменить сертификат.
• Reporting: TLS-RPT логирует и MTA-STS и DANE нарушения для аудита.

В продакшен конфигурации на офшорном VPS Anubiz Host рекомендуется включить и MTA-STS, и DANE, что даёт максимальную защиту против самых продвинутых атак на межсерверную почту.