Guida e risoluzione dei problemi
MTA-STS
Di cosa si tratta
L'MTA-STS consente a un dominio di richiedere che la posta in arrivo sia consegnata solo tramite TLS autenticato ai suoi host MX elencati. Combina un record DNS (_mta-sts) con un file di policy servito su https://mta-sts.tuodominio.com/.well-known/mta-sts.txt.
Come leggere il risultato
Una configurazione sana mostra sia il record DNS sia un file di policy recuperabile, con mode: enforce per una protezione reale (testing produce solo report). Verifica che le voci mx: della policy corrispondano effettivamente ai tuoi nomi host MX.
Problemi comuni e come risolverli
Il record DNS esiste ma il file di policy è irraggiungibile
Come si manifesta: I mittenti non riescono a recuperare la policy, quindi l'MTA-STS non offre silenziosamente nulla; il controllo segnala il mancato recupero.
Come risolverlo: Servi il file esattamente su https://mta-sts.tuodominio.com/.well-known/mta-sts.txt con un certificato valido per il sottodominio mta-sts. Un piccolo sito statico o un worker CDN è sufficiente, ma deve rimanere attivo.
Le voci mx della policy non corrispondono ai record MX reali
Come si manifesta: In modalità enforce, la posta legittima dai mittenti rigorosi inizia a essere rifiutata dopo un cambio di MX.
Come risolverlo: Aggiorna il file di policy ogni volta che i record MX cambiano (e incrementa l'id= nel record DNS in modo che le cache si aggiornino). Automatizza questo abbinamento se i cambi di MX sono frequenti.
Bloccato per sempre in modalità testing
Come si manifesta: I report TLSRPT arrivano ma gli attacchi di downgrade avrebbero comunque successo: la modalità testing non blocca mai nulla.
Come risolverlo: Dopo un periodo pulito in testing (osserva i tuoi report TLSRPT), imposta mode: su enforce e incrementa l'id=.