mta-sts配置

MTA-STS (Mail Transfer Agent Strict Transport Security) 相关记录/规则主要用于加强邮件传入过程的安全性，旨在确保电子邮件通过安全的 TLS 连接传输。它规定了MTA-STS DNS 记录，和MTA-STS策略文件（放置于https://mta-sts.example.com/.well-known/mta-sts.txt），两者相互印证。

DNS配置

示例：

# dig _mta-sts.gmail.com txt +short
"v=STSv1; id=20190429T010101;"

v=STSv1：协议版本，必须设置为 STSv1。
id=20190429T010101：策略 ID，通常使用日期标识。在更新策略文件时，更新 id 值，以便让邮件发送方知道策略已更改。

MTA-STS策略文件

以https://mta-sts.gmail.com/.well-known/mta-sts.txt为例：

version: STSv1
mode: enforce
mx: gmail-smtp-in.l.google.com
mx: *.gmail-smtp-in.l.google.com
max_age: 86400

version: STSv1：协议版本，与 DNS 记录中的版本一致。

mode：MTA-STS 策略模式，通常有以下选项：

• none：不启用 MTA-STS，但发送方仍然会检查策略文件。
• testing：测试模式，发送方会记录策略违规但不强制执行。
• enforce：强制模式，发送方必须遵循该策略。

mx：邮件服务器列表，需匹配实际的邮件服务器域名（你的域名MX记录）。可以使用通配符（*）表示子域。

max_age：策略有效期，以秒为单位，建议值为 86400（一天）或更高。

可通过mxtool检查设置是否正确