MTA-STS (Mail Transfer Agent Strict Transport Security) — это протокол безопасности, который заставляет почтовые серверы отправлять электронную почту на ваш домен исключительно через зашифрованное соединение (TLS). Он работает как жесткий фейсконтроль, защищая переписку от перехвата (MITM-атак) и запрещая доставку писем в открытом, незашифрованном виде.
Знаете это чувство, когда поставил бронированную дверь, но оставил открытой форточку? Примерно так выглядит настройка почты у 90% компаний. Мы потеем над SPF, DKIM и DMARC, чтобы доказать, что мы — это мы. Но забываем о том, как именно письмо летит от сервера к серверу.
Без MTA-STS почтовый сервер отправителя (например, партнера, который хочет купить ваши услуги) может «договориться» с вашим сервером передать письмо простым текстом. Например, если шифрование не сработало или хакер специально понизил уровень защиты. Протокол MTA-STS говорит четко: «Либо шифруй, либо не заходи вообще». Google и Microsoft уже давно играют по этим правилам, и если вы хотите попадать во «Входящие», а не в спам или небытие, пора настраивать.
Как это работает: объясняю на пальцах
Представьте, что почта — это инкассаторская машина. Обычно она едет бронированной (TLS). Но если дорога плохая, водитель может пересадить деньги в обычное такси (открытый текст). MTA-STS — это инструкция начальства: «Если броневик сломался, никуда не едем. Стоим и ждем».
Настройка состоит из трех китов: DNS-записи, файла политики на хостинге и валидного SSL-сертификата.
Шаг 1. Создаем субдомен
Вам нужен отдельный технический субдомен. Он должен называться строго так:
mta-sts.yourdomain.com
Критически важно: этот субдомен должен открываться по HTTPS. Самоподписанные сертификаты не пройдут — нужен нормальный, валидный SSL (Let’s Encrypt вполне подойдет, он бесплатный).
Шаг 2. Размещаем файл политики
Это самый хитрый момент. Почтовые серверы Google или Яндекса пойдут по адресу https://mta-sts.yourdomain.com/.well-known/mta-sts.txt и будут искать там текстовый файл. Если файла нет или он открывается с ошибкой 404 — магии не будет.
Содержимое файла должно быть таким:
version: STSv1
mode: testing
mx: mail.yourdomain.com
mx: *.google.com
max_age: 604800Разберем параметры, чтобы не наломать дров:
- version: Всегда STSv1.
- mode: Самое важное. Сначала ставим
testing. В этом режиме ошибки пишутся в лог, но письма доходят, даже если шифрование отвалилось. Через месяц смените наenforce(строгий режим). - mx: Здесь перечисляем ВСЕ серверы, принимающие вашу почту. Если у вас Google Workspace — пишите
mx: *.google.com. Если Яндекс — ищите их MX. Забудете один сервер — письма туда перестанут ходить в строгом режиме. - max_age: Время кэширования в секундах. 604800 — это одна неделя.
💡 Лайфхак: Бесплатный хостинг для политики
Не обязательно дергать админов и поднимать отдельный сервер ради одного текстового файла. Используйте GitHub Pages. Это бесплатно, надежно, и SSL там обновляется сам.
- Создайте публичный репозиторий.
- Создайте папку
.well-knownи положите туда файлmta-sts.txt. - В корне репозитория создайте пустой файл с именем
.nojekyll(иначе GitHub проигнорирует папки, начинающиеся с точки). - В настройках Pages привяжите свой домен
mta-sts.yourdomain.com.
Шаг 3. Публикуем TXT-запись в DNS
Теперь нужно сказать миру, что у вас есть политика. Идем в настройки DNS и создаем TXT-запись для хоста _mta-sts (обратите внимание на нижнее подчеркивание в начале):
v=STSv1; id=2023102501;
Параметр id — это маркер изменений. Я обычно использую формат «дата + версия» (ГГГГММДД01). Каждый раз, когда меняете файл политики (например, добавляете новый MX), меняйте и этот ID в DNS, иначе почтовые серверы будут использовать старую закэшированную версию.
Шаг 4. Включаем отчеты (TLS-RPT)
Настраивать защиту вслепую — плохая идея. Вам нужно знать, кто пытается отправить вам письма по незащищенному каналу. Для этого создаем еще одну TXT-запись для _smtp._tls:
v=TLSRPTv1; rua=mailto:admin@yourdomain.com
Теперь раз в сутки на указанную почту будут падать отчеты в формате JSON. Читать их глазами — удовольствие сомнительное, поэтому лучше автоматизировать процесс.
Мониторинг без головной боли: Make.com
JSON-файлы отчетов скучные, но в них скрыта важная информация. Например, вы можете узнать, что сервер важного клиента не может пробиться к вам из-за просроченного сертификата. Руками это разбирать долго, поэтому я использую сценарии на Make (бывший Integromat).
| Задача | Инструменты в Make | Результат |
|---|---|---|
| Разбор отчетов (TLS-RPT) | Email (Watch) → JSON Parser → Filter | Вы получаете алерт в Telegram, только если поле result-type содержит ошибку (например, certificate-expired). |
| Health Check политики | Timer → HTTP Request → Router | Робот раз в сутки стучится в ваш файл политики. Если статус не 200 или нет строки mode: enforce — сирена в чат админов. |
Это спасает нервы. Вы будете знать о проблеме задолго до того, как бухгалтер прибежит с криком «Мне не приходят счета!».
Как не «положить» почту: чек-лист безопасности
Внедрение MTA-STS — это как операция на открытом сердце. Одно неверное движение, и пациент (ваша почта) перестанет дышать. Вот три правила, написанные кровью (и потерянными лидами).
- Не включайте
enforceсразу. Подержитеmode: testingминимум 2-4 недели. Смотрите отчеты. Только когда увидите, что 100% легитимного трафика (Gmail, Outlook, Яндекс) идет со статусом «success», можно закручивать гайки. - Следите за сертификатом субдомена. Это классика: забыли продлить SSL для
mta-sts.yourdomain.com. В режимеenforceпочтовые серверы не смогут проверить политику и, согласно протоколу, могут отказаться доставлять письма. - Актуализируйте MX-записи. Подключили новый сервис рассылок или переехали на другой хостинг? Сначала добавьте новый MX в файл политики, обновите ID в DNS, и только потом переключайте трафик.
Зачем это нужно для продаж (Лидогенерация)
Казалось бы, где настройки сервера, а где B2B-продажи? Связь прямая. Почтовые провайдеры (особенно Google) в 2025 году начали агрессивно понижать репутацию доменов, которые пренебрегают шифрованием. Меньше репутация — выше шанс улететь в спам.
Лидогенерация — это математика. Если вы отправляете 1000 писем, а доходит 800, вы теряете 20% выручки на ровном месте просто из-за технических настроек. MTA-STS — это гигиенический минимум для «белых» отправителей, такой же, как чистка зубов по утрам.
Кстати, если техническая часть у вас уже настроена, а поток клиентов все еще оставляет желать лучшего, возможно, дело в самой стратегии аутрича. Хотите научиться профессиональной лидогенерации для вашего b2b бизнеса? Подпишитесь на наш Telegram-канал. Там мы разбираем не только технические дебри, но и психологию продаж, скрипты и инструменты поиска ЛПР.
Частые вопросы
Влияет ли MTA-STS на доставляемость писем (Deliverability)?
Прямо — нет, косвенно — да. Сам по себе протокол не вытащит вас из спама, но его наличие — мощный сигнал для Google и Microsoft, что вы надежный отправитель, заботящийся о безопасности. Это повышает «вес» домена (Domain Authority).
Что будет, если мой сайт с политикой упадет?
Почтовые серверы кэшируют политику на время, указанное в max_age (обычно неделя). Если сайт лежит пару часов — ничего страшного. Если дольше недели — почта начнет ходить по старым правилам (без шифрования), либо, в редких случаях, может подвиснуть.
Обязательно ли это для Яндекса или Mail.ru?
Крупные российские провайдеры тоже поддерживают шифрование TLS. Настройка MTA-STS гарантирует, что переписка с пользователями этих сервисов будет защищена, а вы будете выглядеть в глазах их алгоритмов более авторитетно.
Можно ли использовать один файл политики для нескольких доменов?
Нет, каждому домену нужен свой субдомен mta-sts. Но вы можете использовать CNAME-запись в DNS, чтобы направлять все субдомены на один хостинг (например, на тот же GitHub Pages), где лежит универсальный файл, если список MX-серверов совпадает.
Сколько стоит настроить MTA-STS?
Это бесплатно. SSL-сертификаты от Let’s Encrypt бесплатны, хостинг на GitHub Pages бесплатен. Единственная инвестиция — это 30-60 минут вашего времени или времени сисадмина.