Methodik & Funktionsweise
Was wird geprueft?
Erzeugt TXT-Record und Policy-Datei für MTA-STS aus Domain, mode, mx-Liste und max_age.
Wie funktioniert es?
Aus Eingaben werden der TXT-Wert für _mta-sts.<domain> (mit auto-generierter id) und der vollständige mta-sts.txt-Inhalt mit version/mode/mx/max_age zusammengebaut. Sanity-Warnungen bei mode=none/testing, zu kurzem max_age und leerer MX-Liste.
Beispiel-Ergebnis
domain=example.com, mode=enforce, mx=[mx01.example.com, mx02.example.com], max_age=604800 → "v=STSv1; id=…" + 5-zeilige Policy
Hinweise
Bei jeder zukünftigen Policy-Änderung muss die id im TXT-Record erhöht werden, sonst sehen Empfänger die alte Policy.
Was erzeugt der MTA-STS Generator?
Der MTA-STS Generator baut aus Domain, Mode, MX-Liste und max_age den vollstaendigen TXT-Record und den Inhalt der Policy-Datei. Die id wird im ISO-Timestamp-Format generiert; bei jeder Policy-Aenderung muss sie erhoeht werden, damit sendende MTAs die Policy neu holen. Sanity-Warnungen weisen auf mode=none/testing, zu kurzes max_age und leere MX-Liste hin.
MTA-STS Rollout-Strategie
- 1Phase 1: mode=none mit max_age=300, jederzeit reversibel.
- 2Phase 2: mode=testing + TLS-RPT, 2-4 Wochen Fehler beobachten.
- 3Phase 3: mode=enforce mit max_age=604800.
- 4Subdomain mta-sts.<domain> per A/AAAA auf Webserver mit TLS einrichten.