Так сложилось, что протоколы SMTP, POP3 и IMAP передавали информацию в открытом виде.
Для внедрения MTA-STS достаточно технологий, которые уже внедрены в большинстве организаций (SMTP+STARTTLS, HTTPS, DNS). При этом получателю не нужно использовать особое ПО, чтобы обеспечить поддержку этой политики.
Конечно, MTA-STS — не серебряная пуля. Чтобы политика действительно работала, нужно следить за валидностью сертификата веб- и почтового сервера, соответствием имен и своевременным обновлением. А если возникнут проблемы с сертификатом, то почта перестанет доставляться.
Отправителю нужно использовать MTA с поддержкой политик MTA-STS, а из коробки такой поддержки нет. Кроме того, MTA-STS использует список доверенных корневых CA. Наконец, выше мы уже сказали, что если злодеи обзаведутся валидным сертификатом, то политика не защитит от перехвата писем.
У MTA-STS есть более защищённая альтернатива — стандарт DANE для SMTP (RFC 7672). Но тот уступает с точки зрения технической надёжности, потому что с MTA-STS маловероятно, что письмо не будет доставлено из-за технических проблем, вызванных внедрением стандарта. Впрочем, DANE и MTA-STS не взаимоисключающие технологии, и могут использоваться параллельно.
Почта Mail.ru уже достаточно давно публикует политику MTA-STS для всех основных доменов. Сейчас команда внедряет клиентскую часть стандарта. Пока что политики применяются в неблокирующем режиме (в случае чего, письмо будет доставлено через «запасной» сервер без применения политик). Позднее небольшая часть SMTP-трафика начнёт передаваться в блокирующем режиме, и со временем весь поток писем будет переведён на MTA-STS.
Сегодня MTA-STS мало кем поддерживается, но стандарт поддержан Google, Comcast и частично Verizon (AOL, Yahoo). Так что его популярность будет быстро возрастать.