Masy nadawców w Polsce stają dziś przed tym samym pytaniem: jak utrzymać dobrą reputację u Gmaila, WP.pl czy Outloooka, gdy wymagania bezpieczeństwa poczty rosną eksponencjalnie? Odpowiedź brzmi: MTA-STS. Ten standard, którego wiele osób nigdy nie słyszała, stał się de facto obowiązkowy dla każdego, kto wysyła wiadomości hurtowo. Artykuł wyjaśnia, co to jest, dlaczego polskie dostawcy poczty zaczęli go egzekwować i jak go poprawnie wdrożyć.
Co to jest MTA-STS?
MTA-STS (Mail Transfer Agent Strict Transport Security) to standard zdefiniowany w RFC 8461. Mówiąc prosto: publikujesz w DNS-ie politykę, która mówi serwerom pocztowym: „Wysyłanie do tej domeny musi być szyfrowane TLS-em. Bez wyjątków, bez fallbacku." W tradycyjnym SMTP, jeśli serwer odbierający nie wspiera TLS, wiadomość przejdzie niezaszyfrowana. MTA-STS temu zapobiega.
Praktycznie: nadawca publikuje politykę w DNS-ie, a każdy serwer SMTP pobiera tę politykę, weryfikuje ją i wymusza TLS. Jeśli połączenie szyfrowane się nie uda, list zwyczajnie nie trafi. To zmienia paradygmat z „niech przejdzie za wszelką cenę" na „bezpieczeństwo zawsze".
Bezpieczeństwo transportu i ochrona przed atakami MITM
Bez MTA-STS każde połączenie SMTP jest narażone na ataki man-in-the-middle. Atakujący może przechwycić wiadomość, odczytać ją, a nawet zmodyfikować. Z MTA-STS ta sytuacja jest praktycznie niemożliwa — szyfrowanie TLS ochroni zawartość od pierwszego bajtu.
MTA-STS sprzyja też policy pinningowi — serwery pamiętają certyfikat TLS Twojej domeny i odrzucają połączenia z błędnym certyfikatem. Dla polskich nadawców wysyłających do WP.pl czy Onetu oznacza to drastyczne zmniejszenie ryzyka przechwycenia lub spreparowania listów.
Adopcja MTA-STS w Polsce — dane z rynku
Rzeczywisty obraz adopcji MTA-STS w Polsce jest dostępny w naszymdarmowym skanerze email-stats, który co tydzień bada domeny pod względem konfiguracji SPF, DKIM, DMARC i MTA-STS.
Obserwacja jest wymowna: podczas gdy SPF i DKIM osiągnęły już masową adopcję, MTA-STS pozostaje w fazie wzrostu. Trend jest jednak wyraźny — polskie dostawcy poczty (WP.pl, Onet, Interia, o2.pl) zaczęli ścisłej patrzeć na MTA-STS przy klasyfikacji wiadomości. Maile ze słabą reputacją i bez MTA-STS mają większe szanse na spam.
Google, Yahoo i nowe wymagania bezpieczeństwa
Od lutego 2024 roku Google i Yahoo ogłosiły wymagania dla masowych nadawców:
- SPF + DKIM są obowiązkowe
- DMARC ustawiony co najmniej na
p=none, chociażp=rejectto norma - Spam rate poniżej 0,3% (zmierzone w Postmaster Tools)
- One-click unsubscribe (RFC 8058)
MTA-STS, choć wprost nie wymieniony w głównym manifeście, pojawia się coraz częściej w zaleceniach dla nadawców. To pokazuje poważne podejście do bezpieczeństwa i jest praktycznie niezbędne dla tych, którzy budują długoterminową reputację. Dla nadawców do polski rynku oznacza to: jeśli chcesz trafiać do Gmaila i utrzymywać dobrą reputację lokalnych dostawców, MTA-STS powinien być już na Twojej liście zadań.
Jak wdrożyć MTA-STS — praktyczne kroki
Wdrożenie MTA-STS nie wymaga zmian w kodzie serwera poczty. Wystarczą trzy kroki:
- Publikuj rekord DNS TXT: Utwórz rekord
_mta-sts.domena.pl(gdzie domena.pl to Twoja domena) z zawartością:v=STSv1; id=20260713001;. ID to timestamp — zmień go za każdą aktualizacją polityki. - Opublikuj plik polityki: Udostępnij plik pod adresem
https://mta-sts.domena.pl/.well-known/mta-sts.txt. Plik zawiera:version: STSv1 mode: enforce mx: mx1.domena.pl mx: mx2.domena.pl max_age: 604800 - Weryfikuj: Użyj narzędzia MTA-STS tester lub sprawdź logi serwerów SMTP, aby potwierdzić, że polityka jest pobierana.
Najczęstsze błędy przy wdrażaniu
Stawiamy się na drodze tym samym pomyłkom:
- Brakujący certyfikat HTTPS: Plik mta-sts.txt musi być dostępny po HTTPS z ważnym certyfikatem.
- Niewłaściwe MX-y: Jeśli wskażesz MX-a, który nie istnieje, serwery odrzucą maile.
- Zapominanie o aktualizacji ID: Zmienisz politykę, ale zapomniałeś zmienić ID w TXT — serwery cacują stare ustawienia.
- Tryb testing zamiast enforce: Możesz zacząć w trybie
mode: testing, ale ostatecznie przejdź naenforce.