MTA-STS: securizați canalul de email împotriva atacurilor downgrade
MTA-STS forțează TLS strict pe SMTP-ul vostru și blochează downgrade attacks care expun conținutul email-urilor către atacatori. Configurare în 1 zi, monitoring continuu.
Pe scurt
MTA-STS (Mail Transport Agent Strict Transport Security, RFC 8461) este un mecanism prin care un domeniu publică o policy HTTPS care declară ce server-e MX sunt legitime și că TLS este obligatoriu pentru orice conexiune SMTP de intrare. Combinat cu TLS-RPT (RFC 8460) pentru raportare violations, oferă vizibilitate completă pe atacurile de tip downgrade.
Realitatea în 2026 (Google Transparency Report): aproximativ 30% din emailurile B2B din UE sunt trimise/primite fără TLS — sunt în clar în tranzit.
Pentru organizații sub NIS2 Art.21.2.h (criptografie email obligatorie) sau care semnează NDA-uri presupunând email securizat, lipsa MTA-STS e o lacună documentabilă în cazul unui audit.
Atacul SMTP Downgrade — cum funcționează
Cu sau fără STARTTLS, SMTP-ul de bază este opportunistic encryption. Un atacator în calea SMTP (BGP path, ISP compromis, on-path attacker în datacentru) poate:
- Intercepta conexiunea SMTP de la
mail.partener.rocătremail.firma.ro - La handshake, server-ul firma.ro anunță capabilitatea STARTTLS
- Atacatorul șterge linia STARTTLS din răspunsul serverului
- Server-ul partenerului crede că
mail.firma.ronu suportă TLS → cade la plain SMTP - Conținutul email-urilor (subiect, body, atașamente) circulă în clar prin rețeaua atacatorului
Rezultat: atacatorul citește conversațiile email în timp real. Pentru un atacator state-level sau competitor agresiv, asta e cale directă către IP, contracte, M&A discussions, secrete comerciale.
Cum rezolvă MTA-STS
MTA-STS spune: “Dacă MX-ul meu nu suportă TLS strict cu certificat valid, nu trimiteți deloc emailul. Mai bine îl întârziem decât îl trimitem în clar.”
Receiver-ul (Gmail, Outlook365, MTA partener) face următorul flow:
- Primește email outbound cu destinația
firma.ro - Caută
_mta-sts.firma.roTXT record → găseștev=STSv1; id=... - Cere
https://mta-sts.firma.ro/.well-known/mta-sts.txtpeste HTTPS - Citește policy:
mode: enforce,mx: mail.firma.ro,max_age: 86400 - Forțează TLS pe conexiunea către
mail.firma.ro - Dacă cert-ul MX nu e valid sau STARTTLS eșuează → email respins, raportat la TLS-RPT
Implementare pas-cu-pas
Pas 1 — Verificați că MX-ul vostru suportă TLS
openssl s_client -starttls smtp -crlf -connect mail.firma.ro:25Asigurați-vă că certificatul TLS al MX-ului e:
- Valid (semnat de Let’s Encrypt sau alt CA trusted)
- Numele cert match-uiește MX-ul (Common Name sau SAN)
- Nu expirat
Pas 2 — Publicați TXT record
_mta-sts.firma.ro. IN TXT "v=STSv1; id=20260509120000"id e timestamp — îl modificați când actualizați policy (forțează cache-uri să refreshzeze).
Pas 3 — Publicați policy HTTPS
Subdomain mta-sts.firma.ro cu SSL valid (Let’s Encrypt OK). Policy file la /.well-known/mta-sts.txt:
version: STSv1
mode: testing
mx: mail.firma.ro
mx: backup.firma.ro
max_age: 86400Mod testing primele 30 zile — receivers raportează violations dar nu blochează emailul. După 30 zile fără false-positives → switch la mode: enforce.
Pas 4 — Adăugați TLS-RPT pentru raportare
_smtp._tls.firma.ro. IN TXT "v=TLSRPTv1; rua=mailto:tlsrpt@firma.ro"Receivers majoritari (Gmail, Outlook365) trimit raport JSON zilnic la adresa specificată cu erori TLS detectate. Folosiți un parser (ex: parsedmarc extins pentru TLS-RPT) pentru vizualizare.
Pas 5 — Monitor + ramp la enforce
După 30 zile mode=testing fără violations false-positive → switch la mode: enforce. Documentați procedura în runbook intern.
Confuzii frecvente
“Am DKIM și DMARC, e suficient.” — Nu. DKIM și DMARC verifică autenticitatea (cine a trimis emailul). MTA-STS securizează canalul (cum a circulat). Sunt strat-uri diferite, ambele necesare.
“Receiver-ul partener trebuie să suporte MTA-STS, altfel nu funcționează.” — Adevărat parțial. Gmail, Outlook365, Yahoo Mail — toate suportă MTA-STS din 2019. Receivers mici (mail intern al partenerului SMB) pot să nu — în acel caz, MTA-STS îi protejează doar pe receivers care suportă (majoritatea). Tot mai bine decât nimic.
“TLS oportunistic e suficient.” — Nu. Opportunistic = atacatorul poate cauza downgrade. Strict = nu poate.
Cine e afectat în România
Studii recente (2025):
- <5% din domeniile .gov.ro au MTA-STS configurat
- <10% din domeniile e-commerce mari (.ro) au MTA-STS
- Comparativ: 65% din domeniile DACH (Germania, Austria, Elveția) au MTA-STS — gap competitiv major
Pentru organizații regulate (NIS2 entități esențiale, sector financiar DORA, healthcare GDPR), absența MTA-STS e una dintre primele lacune semnalate de auditori.
Verificați acum
ARTEMIS detectează automat lipsa MTA-STS + DKIM + SPF + DMARC + DNSSEC + 30 alte verificări la 2-40 EUR per scanare.
🔗 Soluții complementare CAI Technology
- ARTEMIS — Verificare tehnică automată MTA-STS + tot stack-ul email + headers + TLS + 30+ teste.
- Lexnomia — Evaluare auditor-grade NIS2 / GDPR / DORA. Pentru entități esențiale care vor un raport oficial către DNSC sau auditori.
- BeLegal — Verificare gratuită compliance 5 minute.
- Auditope — Audit holistic web (SEO + AI search + GDPR).
- AriaUnited — Consultanță fonduri europene PNRR/POIDS pentru implementare infrastructură email securizată.