是否有基于 DNS 的策略(如 SPF 或 DMARC)要求给定域的 STARTTLS 会话?

是否有基于 DNS 的策略(如 SPF 或 DMARC)要求给定域的 STARTTLS 会话?

忽略并非所有邮件服务器都支持 TLS 的事实:

有没有办法向全世界宣布我们希望通过 TLS 传递我们的入站邮件是否已验证为由受信任的 CA 签名?

相关地,我们是否可以向全世界宣布,他们应该只接受出站邮件如果连接是 TLS,我们(即 MAIL FROM)? (我意识到他们不知道我们是否验证了他们的证书,但他们可以知道它是否是通过 TLS 进行的。)

SPF 或 DMARC 似乎都是表明这一点的好地方,但我还没有看到对这样的事情的支持。

答案1

有的是MTA-STS标准正是为了这个目的。它与 HSTS 类似,它声明服务器只能通过 TLS 访问。与 HSTS 不同,它是在 DNS 中声明的,因此在尝试确定应使用哪个服务器来传递邮件(即 MX 查找)时,此功能检测可以成为正常 DNS 查找的一部分。

相关内容