
Die BSI Technische Richtlinie TR-03108 definiert den Maßstab für sicheren E-Mail-Transport und verlangt DANE, MTA-STS und TLS-RPT. Dieser Beitrag erklärt, was die Richtlinie fordert, an wen sie sich richtet und wie über NIS2, § 30 BSIG und den Stand der Technik nach Artikel 32 DSGVO aus der Empfehlung eine Pflicht wird. Mit Hinweisen zur nachweisbaren Umsetzung über Conbool MailGuard.
Die neuesten Beiträge aus unserem Blog.

MTA-STS oder DANE? Beide Standards machen die Transportverschlüsselung verbindlich, setzen aber auf unterschiedliche Vertrauensanker. Dieser Vergleich erklärt die Unterschiede bei DNSSEC, Trust on…

MTA-STS für Microsoft 365 einrichten: Diese Anleitung erklärt, warum Exchange Online die Richtliniendatei nicht selbst bereitstellt, welche DNS-Einträge und HTTPS-Subdomäne nötig sind und wie der…
Wer in Deutschland wissen will, wie sicherer E-Mail-Transport technisch auszusehen hat, kommt an einem Dokument nicht vorbei: der Technischen Richtlinie TR-03108 des Bundesamts für Sicherheit in der Informationstechnik. Sie ist der maßgebliche Referenzrahmen dafür, wie Mailserver untereinander verschlüsselt und manipulationssicher kommunizieren sollen. Im Zentrum steht dabei DANE als verbindlicher Baustein.
Dieser Beitrag ordnet die Richtlinie ein. Er erklärt, was die TR-03108 fordert, an wen sie sich richtet und warum gesicherte Transportverschlüsselung über NIS2 und § 30 BSIG für viele Organisationen faktisch zur Pflicht wird. Was DANE technisch genau ist, behandelt der separate Beitrag Was ist DANE?. Hier geht es um die Compliance- und Pflicht-Perspektive.
TL;DR: Die BSI Technische Richtlinie TR-03108 definiert den Maßstab für sicheren E-Mail-Transport und nennt DANE als Pflichtbaustein, ergänzt um MTA-STS und TLS-RPT. Die Richtlinie selbst zertifiziert E-Mail-Diensteanbieter. Über die NIS2-Umsetzung, § 30 BSIG und den Stand der Technik nach Artikel 32 DSGVO wird verbindliche Transportverschlüsselung jedoch für einen großen Kreis von Unternehmen faktisch verpflichtend. Nachweisbar wird die Umsetzung durch DANE plus MTA-STS plus TLS-RPT mit Protokollierung.
Die TR-03108 trägt den Titel „Sicherer E-Mail-Transport“ und gehört zur Reihe der Technischen Richtlinien des BSI. Diese Richtlinien beschreiben den Stand der Technik für klar abgegrenzte Aufgaben. Im Fall der TR-03108 geht es ausschließlich um die Strecke zwischen Mailservern, also den Transport von Server zu Server, nicht um die Ende-zu-Ende-Verschlüsselung einzelner Nachrichten über S/MIME oder PGP.
Adressiert ist die Richtlinie in erster Linie an E-Mail-Diensteanbieter. Ein Anbieter kann sich nach der TR-03108 prüfen und zertifizieren lassen und damit gegenüber Kunden und Aufsicht belegen, dass sein Maildienst die definierten Sicherheitsanforderungen erfüllt. Das macht die Richtlinie zu einer Autorität: Sie ist keine unverbindliche Empfehlung, sondern die anerkannte Messlatte dafür, was in Deutschland als sicherer E-Mail-Transport gilt. Auch Organisationen, die selbst keine Zertifizierung anstreben, nutzen die TR-03108 deshalb als Referenz für ihre eigene Konfiguration.
Die Richtlinie betrachtet sicheren Transport nicht als Einzelmaßnahme, sondern als Zusammenspiel mehrerer Verfahren. Den Kern bildet die verbindliche Transportverschlüsselung, abgesichert gegen Downgrade-Angriffe.
Hinzu kommen die Authentifizierungsverfahren SPF, DKIM und DMARC sowie Vorgaben zu aktuellen TLS-Versionen und sicheren Cipher-Suiten. DANE bleibt dabei der zentrale, namentlich geforderte Baustein für die Transportverschlüsselung.
Ob DANE „Pflicht“ ist, lässt sich nicht mit einem einzelnen Satz beantworten. Es lohnt sich, die Ebenen zu trennen.
Die TR-03108 selbst ist zunächst der Maßstab für die Zertifizierung von Diensteanbietern. Wer eine TR-03108-Zertifizierung anstrebt, muss DANE bereitstellen. Für ein Unternehmen, das lediglich E-Mail nutzt, folgt daraus noch keine unmittelbare gesetzliche Pflicht.
Die eigentliche Verbindlichkeit entsteht über andere Hebel. Die NIS2-Richtlinie und ihre Umsetzung im BSIG verpflichten betroffene Einrichtungen zu angemessenen technischen Maßnahmen für die Sicherheit ihrer Kommunikation. § 30 BSIG nennt dabei ausdrücklich Kryptografie und sichere Übertragung. Welcher Stand der Technik dafür gilt, konkretisiert das BSI über seine Richtlinien, und die TR-03108 ist genau die Referenz für sicheren E-Mail-Transport. Zusätzlich verlangt der Stand der Technik nach Artikel 32 DSGVO ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten, was unverschlüsselte oder herabstufbare Transportwege zunehmend ausschließt.
In der Summe gilt: DANE ist nicht für jeden namentlich gesetzlich vorgeschrieben, aber gesicherte, nachweisbare Transportverschlüsselung wird für einen großen Kreis von Organisationen faktisch verpflichtend. DANE ist die anerkannte Maßnahme, um diesen Anforderungen zu genügen.
| Ebene | Was sie regelt | Stellung von DANE |
|---|---|---|
| TR-03108 | Maßstab für sicheren E-Mail-Transport, Basis der Anbieterzertifizierung | Verbindlicher Baustein |
| NIS2 und § 30 BSIG | Pflicht zu angemessenen Maßnahmen, nennt Kryptografie und sichere Übertragung | Anerkannte Umsetzungsmaßnahme |
| Artikel 32 DSGVO | Schutzniveau nach dem Stand der Technik | Beleg für angemessene Transportsicherheit |
| Eigene Konfiguration | Praktische Absicherung des Mailflows | Konkrete, prüfbare Maßnahme |
Compliance entsteht nicht durch das bloße Aktivieren einer Funktion, sondern durch den belegbaren Betrieb. Drei Bausteine gehören zusammen, ergänzt um Protokollierung:
Der praktische Stolperstein liegt selten im Konzept, sondern im Betrieb: DNSSEC sauber halten, TLSA-Records bei jeder Zertifikatsrotation mitführen, MTA-STS-Richtlinie und Subdomäne dauerhaft erreichbar halten und die Berichte regelmäßig sichten. Genau hier scheitern manuelle Lösungen über die Zeit.
Conbool MailGuard ist darauf ausgelegt, die von der TR-03108 geforderten Bausteine als verwalteten Dienst bereitzustellen und dauerhaft gültig zu halten. DANE, MTA-STS und TLS-RPT werden gemeinsam betrieben: Die TLSA-Records bleiben bei Zertifikatswechseln synchron, die MTA-STS-Richtlinie wird samt Subdomäne und gültigem Zertifikat gehostet, und die TLS-Berichte laufen an einer Stelle zusammen. So entsteht die durchgängige Protokollierung, die für den Nachweis nötig ist.
Wer den aktuellen Stand der eigenen Domäne zuerst prüfen möchte, kann das mit dem kostenlosen Transportsicherheits-Check tun. Die Details zur verwalteten Bindung über DNSSEC stehen auf der Seite zu DANE und TLSA. Ergänzend zum Transport sichert Conbool SecureMail die inhaltliche Verschlüsselung einzelner Nachrichten ab, was die Transportsicherheit nach TR-03108 sinnvoll ergänzt.
Die TR-03108 definiert den Maßstab für sicheren E-Mail-Transport und führt DANE als verbindlichen Baustein, um die TLS-Verschlüsselung zwischen Mailservern gegen Downgrade-Angriffe abzusichern. Dazu kommen MTA-STS und TLS-RPT. DANE bindet das Serverzertifikat über einen signierten DNS-Eintrag und setzt dafür DNSSEC voraus. Ein Diensteanbieter, der die Richtlinie erfüllen will, muss DANE für seine Maildomänen bereitstellen und gültig halten.
Ein einzelnes Gesetz schreibt DANE namentlich nicht für alle Unternehmen vor. Die Pflicht ergibt sich mittelbar: Die TR-03108 ist Voraussetzung für die Zertifizierung von E-Mail-Diensteanbietern. Über die NIS2-Umsetzung und § 30 BSIG werden Kryptografie und gesicherte Übertragung für betroffene Einrichtungen verpflichtend, und der Stand der Technik nach Artikel 32 DSGVO macht verbindliche Transportverschlüsselung zum Maßstab. DANE ist die anerkannte Maßnahme, um diesen Anforderungen nachweisbar zu genügen.
NIS2 verpflichtet betroffene Einrichtungen zu angemessenen technischen Maßnahmen für die Sicherheit der Kommunikation. Das deutsche BSIG setzt diese Vorgaben um und nennt in § 30 unter anderem Kryptografie und sichere Übertragung. Welcher Stand der Technik dabei gilt, konkretisiert das BSI über Richtlinien wie die TR-03108. DANE ist dort als Baustein für sicheren E-Mail-Transport benannt und wird so zu einer prüfbaren Umsetzungsmaßnahme der gesetzlichen Pflichten.
Die Richtlinie behandelt sicheren E-Mail-Transport ganzheitlich. Neben DANE gehören MTA-STS für erzwungene TLS-Zustellung ohne DNSSEC und TLS-RPT für die Berichterstattung über Verbindungsfehler dazu. Hinzu kommen die Authentifizierung über SPF, DKIM und DMARC sowie aktuelle TLS-Versionen und sichere Cipher-Suiten. DANE und MTA-STS ergänzen sich, weil sie dasselbe Ziel auf zwei voneinander unabhängigen Wegen absichern.
Nachweisbar wird die Umsetzung durch die Kombination aus DANE, MTA-STS und TLS-RPT mit lückenloser Protokollierung. DANE und MTA-STS sorgen für die erzwungene Verschlüsselung, TLS-RPT liefert die täglichen Berichte über erfolgreiche und fehlgeschlagene Verbindungen. Diese Berichte und die DNS-Konfiguration bilden die Belege, die ein Audit oder eine Aufsichtsbehörde erwartet. Ein Managed-Dienst wie Conbool MailGuard stellt die Einträge bereit, hält DNSSEC und Zertifikate gültig und führt die Berichte an einer Stelle zusammen.
Die TR-03108 ist der maßgebliche Maßstab für sicheren E-Mail-Transport in Deutschland, und DANE steht darin als Pflichtbaustein. Auch wenn kein Gesetz DANE für jedes Unternehmen namentlich vorschreibt, machen NIS2, § 30 BSIG und der Stand der Technik nach Artikel 32 DSGVO verbindliche, nachweisbare Transportverschlüsselung für einen großen Kreis von Organisationen faktisch zur Pflicht. Wer DANE, MTA-STS und TLS-RPT gemeinsam betreibt und protokolliert, erfüllt diese Anforderung belastbar.
Der nächste Schritt liegt bei Ihnen: Prüfen Sie Ihre Domäne mit dem Transportsicherheits-Check und sehen Sie, wie Conbool MailGuard die Bausteine der TR-03108 als verwalteten Dienst bereitstellt.
Weiterführende Artikel: