Sla over naar inhoud
Vectel

MTA-STS

Forceert TLS tussen mailservers, voorkomt downgrade-aanvallen.

check: email.mta-sts04/15

Wat is dit

MTA-STS (Mail Transfer Agent Strict Transport Security) dwingt verzendende mailservers om TLS te gebruiken voor mail naar jouw domein. Het bestaat uit een TXT-record op _mta-sts plus een policy-bestand op https://mta-sts.<domein>/.well-known/mta-sts.txt.

Waarom belangrijk

Zonder MTA-STS kan een man-in-the-middle de verbinding terugzetten naar plaintext en mail meelezen of wijzigen. MTA-STS sluit dat downgrade-pad af.

Hoe los ik dit op

TransIP: Maak een subdomein mta-sts.jouwdomein.nl, host daar een statische pagina met mta-sts.txt. Voeg in DNS een TXT toe op _mta-sts met v=STSv1; id=20260427T000000Z.

CloudFlare: Gebruik Cloudflare Pages of een Worker om https://mta-sts.<domein>/.well-known/mta-sts.txt te serveren. Voeg de _mta-sts TXT toe in DNS.

Strato of Antagonist: Plaats een eenvoudig HTML-hostingpakket op mta-sts.<domein>, upload .well-known/mta-sts.txt met version: STSv1, mode: enforce, mx: <jouw-mx>, max_age: 604800. Voeg de TXT toe in DNS.

Anders: Host het policy-bestand op https://mta-sts.<domein>/.well-known/mta-sts.txt met geldig TLS, en plaats het TXT-record op _mta-sts.<domein>.

Verifieren

dig TXT _mta-sts.jouwdomein.nl +short en curl https://mta-sts.jouwdomein.nl/.well-known/mta-sts.txt. Controleer dat het policy-bestand met HTTPS bereikbaar is en mode: enforce bevat.

Bron

Andere checks

SPF-recordVertelt mailservers welke IPs namens jouw domein mogen versturen.DKIM-handtekeningCryptografische handtekening die bewijst dat een mail echt van jouw domein komt.DMARC-beleidVertelt ontvangers wat te doen met mail die SPF en DKIM niet haalt.