MTA-STSMail Transfer Agent Strict Transport Security

MTA-STS は、SMTP 配送時に STARTTLS のダウングレード攻撃を防ぐための仕組みで、受信ドメインがHTTPS (https://mta-sts.example.com/.well-known/mta-sts.txt) で「mode=enforce; mx=*.example.com; max_age=604800」のようなポリシーを公開します。送信側 MTA はこのポリシーをキャッシュして遵守し、TLS 接続が確立できないMXには配送しません。DNS の _mta-sts.example.com TXT でポリシーIDも公開します。mode は testing → enforce の段階運用が推奨されます。TLS-RPT (RFC 8460) と組み合わせるとTLS失敗のレポートが得られます。Gmail・Microsoft 365・Yahoo は MTA-STS に対応しており、運用するとTLS強制でフィッシング対策にもなります。