Dane i statystyki8 min czytania

MTA-STS: adopcja w Polsce i dlaczego warto go wdrożyć

Od 2024 roku Google i Yahoo wymagają coraz bardziej zaawansowanych standardów bezpieczeństwa poczty. MTA-STS, czyli obowiązkowe szyfrowanie transportu, przestał być luksusem — to dziś konieczność dla każdego, kto chce trafiać do skrzynki odbiorczej.

Masy nadawców w Polsce stają dziś przed tym samym pytaniem: jak utrzymać dobrą reputację u Gmaila, WP.pl czy Outloooka, gdy wymagania bezpieczeństwa poczty rosną eksponencjalnie? Odpowiedź brzmi: MTA-STS. Ten standard, którego wiele osób nigdy nie słyszała, stał się de facto obowiązkowy dla każdego, kto wysyła wiadomości hurtowo. Artykuł wyjaśnia, co to jest, dlaczego polskie dostawcy poczty zaczęli go egzekwować i jak go poprawnie wdrożyć.

Co to jest MTA-STS?

MTA-STS (Mail Transfer Agent Strict Transport Security) to standard zdefiniowany w RFC 8461. Mówiąc prosto: publikujesz w DNS-ie politykę, która mówi serwerom pocztowym: „Wysyłanie do tej domeny musi być szyfrowane TLS-em. Bez wyjątków, bez fallbacku." W tradycyjnym SMTP, jeśli serwer odbierający nie wspiera TLS, wiadomość przejdzie niezaszyfrowana. MTA-STS temu zapobiega.

Praktycznie: nadawca publikuje politykę w DNS-ie, a każdy serwer SMTP pobiera tę politykę, weryfikuje ją i wymusza TLS. Jeśli połączenie szyfrowane się nie uda, list zwyczajnie nie trafi. To zmienia paradygmat z „niech przejdzie za wszelką cenę" na „bezpieczeństwo zawsze".

Bezpieczeństwo transportu i ochrona przed atakami MITM

Bez MTA-STS każde połączenie SMTP jest narażone na ataki man-in-the-middle. Atakujący może przechwycić wiadomość, odczytać ją, a nawet zmodyfikować. Z MTA-STS ta sytuacja jest praktycznie niemożliwa — szyfrowanie TLS ochroni zawartość od pierwszego bajtu.

MTA-STS sprzyja też policy pinningowi — serwery pamiętają certyfikat TLS Twojej domeny i odrzucają połączenia z błędnym certyfikatem. Dla polskich nadawców wysyłających do WP.pl czy Onetu oznacza to drastyczne zmniejszenie ryzyka przechwycenia lub spreparowania listów.

_mta-sts.domena.pl TXT v=STSv1; id=20260713001;Prefiks DNS identyfikujący politykę MTA-STSWersja standardu (zawsze v1)ID polityki — zmienia się przy aktualizacji
Publikacja polityki MTA-STS w DNS-ie

Adopcja MTA-STS w Polsce — dane z rynku

Rzeczywisty obraz adopcji MTA-STS w Polsce jest dostępny w naszymdarmowym skanerze email-stats, który co tydzień bada domeny pod względem konfiguracji SPF, DKIM, DMARC i MTA-STS.

Obserwacja jest wymowna: podczas gdy SPF i DKIM osiągnęły już masową adopcję, MTA-STS pozostaje w fazie wzrostu. Trend jest jednak wyraźny — polskie dostawcy poczty (WP.pl, Onet, Interia, o2.pl) zaczęli ścisłej patrzeć na MTA-STS przy klasyfikacji wiadomości. Maile ze słabą reputacją i bez MTA-STS mają większe szanse na spam.

Porada: testuj przed wdrożeniem
Zanim wdrożysz MTA-STS na produkcji, przetestuj politykę za pomocą naszegodarmowego narzędzia do testowania inbox placement. Wyślij do nas test mailowy — sprawdzisz nie tylko MTA-STS, ale też SPF/DKIM/DMARC, renderowanie w Gmailu i WP.pl, oraz screenshoty w rzeczywistych skrzynkach pocztowych.

Google, Yahoo i nowe wymagania bezpieczeństwa

Od lutego 2024 roku Google i Yahoo ogłosiły wymagania dla masowych nadawców:

  • SPF + DKIM są obowiązkowe
  • DMARC ustawiony co najmniej na p=none, chociaż p=reject to norma
  • Spam rate poniżej 0,3% (zmierzone w Postmaster Tools)
  • One-click unsubscribe (RFC 8058)

MTA-STS, choć wprost nie wymieniony w głównym manifeście, pojawia się coraz częściej w zaleceniach dla nadawców. To pokazuje poważne podejście do bezpieczeństwa i jest praktycznie niezbędne dla tych, którzy budują długoterminową reputację. Dla nadawców do polski rynku oznacza to: jeśli chcesz trafiać do Gmaila i utrzymywać dobrą reputację lokalnych dostawców, MTA-STS powinien być już na Twojej liście zadań.

Jak wdrożyć MTA-STS — praktyczne kroki

Wdrożenie MTA-STS nie wymaga zmian w kodzie serwera poczty. Wystarczą trzy kroki:

  1. Publikuj rekord DNS TXT: Utwórz rekord _mta-sts.domena.pl (gdzie domena.pl to Twoja domena) z zawartością: v=STSv1; id=20260713001;. ID to timestamp — zmień go za każdą aktualizacją polityki.
  2. Opublikuj plik polityki: Udostępnij plik pod adresemhttps://mta-sts.domena.pl/.well-known/mta-sts.txt. Plik zawiera:version: STSv1 mode: enforce mx: mx1.domena.pl mx: mx2.domena.pl max_age: 604800
  3. Weryfikuj: Użyj narzędzia MTA-STS tester lub sprawdź logi serwerów SMTP, aby potwierdzić, że polityka jest pobierana.

Najczęstsze błędy przy wdrażaniu

Stawiamy się na drodze tym samym pomyłkom:

  • Brakujący certyfikat HTTPS: Plik mta-sts.txt musi być dostępny po HTTPS z ważnym certyfikatem.
  • Niewłaściwe MX-y: Jeśli wskażesz MX-a, który nie istnieje, serwery odrzucą maile.
  • Zapominanie o aktualizacji ID: Zmienisz politykę, ale zapomniałeś zmienić ID w TXT — serwery cacują stare ustawienia.
  • Tryb testing zamiast enforce: Możesz zacząć w trybie mode: testing, ale ostatecznie przejdź na enforce.

Czy MTA-STS jest obowiązkowy, jeśli mam już DMARC p=reject?

Nie, technicznie nie musisz. DMARC chroni przed podrobbieniem From-a, a MTA-STS chroni transport. To dwie różne warstwy. Jednak jeśli wysyłasz hurtowo do Polski, zalecamy obie — DMARC da Ci kontrolę nad postępowaniem z fałszywymi mailami, a MTA-STS zabezpieczy transport.

Czy MTA-STS wdrażam dla całej domeny, czy tylko subdomen?

Publikujesz politykę dla konkretnej domeny nadawcy (np. transactional.domena.pl lub campaigns.domena.pl). Każda domena ma swoją politykę. Dobrą praktyką jest centralne zarządzanie — możesz publikować ją z domeny głównej i dziedziczyć na subdomeny.

Jak długo trwa, zanim MTA-STS zadziała?

Natychmiast, gdy publikujesz DNS i plik. Jednak serwery SMTP cachują politykę (domyślnie na 604800 sekund = tydzień). Pełny efekt widać po tygodniu. Dlatego testuj na dev-domenie przed prod!
Powiązane artykuły
Found this useful? Share it
AB
O autorze
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Sprawdź dostarczalność u ponad 20 dostawców

Gmail, Outlook, WP, Onet, Interia, GMX, ProtonMail i inne. Prawdziwe zrzuty skrzynki odbiorczej, SPF/DKIM/DMARC, werdykty filtrów antyspamowych. Za darmo, bez rejestracji.

Uruchom darmowy test →

Testy bez limitu · Ponad 20 skrzynek · Wyniki na żywo · Bez konta