
Wie Sie MTA-STS Schritt für Schritt von testing auf enforce umstellen, ohne den Mailfluss zu gefährden. Der Guide erklärt den phasenweisen Rollout, das Auswerten von TLS-RPT-Berichten, konkrete Umstellkriterien, die Rolle von max_age und ein sicheres Rollback mit Conbool MailGuard.
Die neuesten Beiträge aus unserem Blog.

TLS-RPT liefert tägliche JSON-Berichte über die Transportverschlüsselung Ihrer E-Mails. Diese Anleitung erklärt den Aufbau eines TLS-RPT-Berichts, ordnet die häufigsten result-types wie…

Über den SMTP-Befehl RCPT TO lassen sich gültige von ungültigen Empfängern unterscheiden, sobald ein Mailserver mit 250 statt 550 antwortet. Dieser Beitrag erklärt die SMTP-Enumeration aus…

Die BSI Technische Richtlinie TR-03108 definiert den Maßstab für sicheren E-Mail-Transport und verlangt DANE, MTA-STS und TLS-RPT. Dieser Beitrag erklärt, was die Richtlinie fordert, an wen sie sich…
MTA-STS ist schnell aktiviert: Ein DNS-Eintrag, eine Richtliniendatei über HTTPS, fertig. Heikel wird es im letzten Schritt, beim Wechsel von testing auf enforce. Genau dieser Schalter entscheidet, ob aus erzwungener Transportverschlüsselung ein verlässlicher Schutz wird oder eine Quelle stiller Zustellfehler. Wer zu früh scharfschaltet, riskiert, dass legitime E-Mails von Partnern mit kleinen TLS-Schwächen plötzlich abgewiesen werden.
Dieser Guide behandelt nicht die Grundlagen, die finden Sie im Beitrag Was ist MTA-STS, sondern den Prozess und das Risikomanagement: Wie Sie phasenweise von none über testing zu enforce kommen, welche Kriterien den Umstieg rechtfertigen, welche Rolle max_age spielt und wie ein Rollback ohne Mailausfall gelingt.
TL;DR: Rollen Sie MTA-STS in Phasen aus:
none, danntesting, dannenforce. Imtesting-Modus sammeln Sie über TLS-RPT Berichte und beobachten die Fehlerquote, ohne den Mailfluss zu gefährden. Aufenforcewechseln Sie erst, wenn die Berichte über mehrere Tage stabil sind und kein ungeklärter Fehlschlag mehr offen ist. Halten Siemax_agewährend des Rollouts kurz, damit ein Rollback schnell greift, und erhöhen Sie ihn erst im stabilen Betrieb.
Im Modus enforce bricht ein sendender Server die Zustellung ab, wenn die TLS-Verbindung zu Ihrem Mailserver nicht zur Richtlinie passt. Das ist genau das gewünschte Verhalten gegen Downgrade-Angriffe. Es trifft aber auch jeden legitimen Absender, dessen Verbindung an einem realen Detail scheitert: ein abgelaufenes Zertifikat auf Ihrer Seite, ein Mailserver, der in der Richtlinie fehlt, oder ein Hostname, der nicht zum Zertifikat passt.
Der Punkt ist: enforce verzeiht keine Konfigurationsfehler. Ein Problem, das im testing-Modus nur in einem Bericht auftaucht, führt in enforce zu einer nicht zugestellten E-Mail. Deshalb ist der Wechsel keine Frage des Mutes, sondern eine Frage belastbarer Daten.
MTA-STS kennt drei Betriebsmodi, die zusammen einen risikoarmen Einführungspfad ergeben. Sie laufen sie nacheinander durch, nicht parallel.
| Phase | Modus | Verhalten | Ihr Ziel in dieser Phase |
|---|---|---|---|
| Vorbereitung | none oder noch keine Richtlinie | Keine Erzwingung | Subdomäne, Zertifikat und Mailserver-Liste vorbereiten |
| Beobachtung | testing | Verstöße werden nur gemeldet, Zustellung läuft weiter | TLS-RPT-Berichte sammeln und Fehlerquote prüfen |
| Produktivschutz | enforce | Zustellung bei ungültiger TLS-Verbindung wird abgebrochen | Erzwungene Verschlüsselung im Regelbetrieb |
In der Vorbereitung stellen Sie sicher, dass die Richtliniendatei mta-sts.txt alle empfangenden Mailserver Ihrer Domäne korrekt nennt und dass deren Zertifikate gültig sind. Erst danach veröffentlichen Sie die Richtlinie im Modus testing. Dieser Schritt ist bewusst harmlos: Selbst wenn Ihre Mailserver-Liste fehlerhaft wäre, würde im testing-Modus keine einzige E-Mail abgewiesen.
Der testing-Modus ist kein Wartezimmer, sondern eine aktive Messphase. Damit er funktioniert, gehört TLS-RPT zwingend dazu. Über einen zusätzlichen DNS-Eintrag fordern Sie damit tägliche Berichte an, in denen empfangende und sendende Plattformen melden, wie viele Verbindungen erfolgreich verschlüsselt wurden und woran fehlgeschlagene Versuche lagen.
Ein TLS-RPT-Bericht liefert pro meldender Organisation unter anderem:
certificate-expired, certificate-host-mismatch oder validation-failure,Wichtig ist, diese Berichte nicht nur zu archivieren, sondern aktiv zu lesen. Jeder gemeldete Fehlschlag ist im testing-Modus eine kostenlose Vorwarnung: In enforce wäre an dieser Stelle eine E-Mail liegengeblieben. Häufen sich etwa Meldungen vom Typ certificate-host-mismatch, fehlt vermutlich ein Hostname in Ihrer Richtlinie oder ein Mailserver präsentiert ein Zertifikat mit unerwartetem Namen.
Behalten Sie dabei besonders die Fehlerquote im Verhältnis zum Gesamtvolumen im Blick. Eine handvoll Fehlschläge aus einer einzelnen, falsch konfigurierten Gegenstelle ist etwas anderes als eine durchgängig hohe Fehlerquote über viele Absender hinweg. Letztere deutet fast immer auf ein Problem auf Ihrer eigenen Seite hin und muss vor dem Umstieg behoben sein.
Statt nach Gefühl zu schalten, prüfen Sie eine kurze Checkliste. Erst wenn alle Punkte erfüllt sind, ist enforce vertretbar:
Der häufigste Fehler an dieser Stelle: eine zu kurze Beobachtungsphase. Manche Geschäftspartner schreiben Ihnen nur alle paar Wochen. Tauchen diese Absender in den Berichten noch gar nicht auf, fehlt Ihnen für genau diese Verbindungen die Datengrundlage. Lassen Sie testing deshalb lange genug laufen, dass mehrere vollständige Berichtszyklen vorliegen.
Der Parameter max_age in der Richtliniendatei legt fest, wie lange ein sendender Server Ihre Richtlinie zwischenspeichern darf, angegeben in Sekunden. Dieser Wert hat eine direkte Konsequenz für Ihr Risikomanagement, denn er bestimmt, wie schnell Änderungen wirken.
| Phase | Empfehlung für max_age | Begründung |
|---|---|---|
| Rollout und testing | Kurz, etwa wenige Stunden bis ein Tag | Korrekturen und ein Rollback greifen schnell, alte Richtlinien sind rasch ungültig |
| Stabiler enforce-Betrieb | Lang, oft mehrere Wochen | Höhere Robustheit gegen Manipulation, da eine untergeschobene oder entfernte Richtlinie länger wirkungslos bleibt |
Der Zielkonflikt ist klar: Ein langer max_age erhöht die Sicherheit, weil ein Angreifer eine einmal zwischengespeicherte Richtlinie nicht einfach durch eine manipulierte ersetzen kann. Genau diese Zähigkeit wird aber zum Problem, wenn Sie selbst zurückrudern müssen. Haben sendende Server enforce mit langem max_age geladen, halten sie daran fest, bis der Wert abläuft, auch wenn Sie Ihre Richtlinie längst geändert haben.
Die Konsequenz für den Ablauf: Halten Sie max_age während Rollout und den ersten Tagen unter enforce bewusst kurz. Erhöhen Sie ihn erst, wenn enforce über einen längeren Zeitraum unauffällig läuft. So bleiben Sie während der riskanten Phase jederzeit handlungsfähig.
Treten nach dem Umschalten auf enforce unerwartete Zustellprobleme auf, ist ein geordnetes Rollback wichtiger als Ursachenforschung im laufenden Betrieb. Gehen Sie in dieser Reihenfolge vor:
mta-sts.txt den Modus von enforce auf testing. Damit werden Verstöße wieder nur gemeldet, statt die Zustellung abzubrechen._mta-sts. Nur so erkennen sendende Server, dass sich die Richtlinie geändert hat, und laden die neue Fassung.enforce-Richtlinie noch zwischengespeichert haben, behalten sie bis zum Ablauf von max_age. Ein kurzer max_age verkürzt dieses Fenster auf Stunden.none. Damit ziehen Sie die Erzwingung kontrolliert zurück, statt den DNS-Eintrag ersatzlos zu löschen.Dieses Vorgehen unterstreicht noch einmal, warum ein kurzer max_age während der Einführung kein Detail ist, sondern Ihre wichtigste Notbremse. Wer hier vorsorgt, verwandelt einen potenziellen Mailausfall in eine kurze, beherrschbare Störung.
Der eigentliche Aufwand bei MTA-STS steckt nicht im einmaligen Aktivieren, sondern im laufenden Betrieb des Rollouts: die Richtliniendatei dauerhaft über HTTPS bereitstellen, das Zertifikat der Subdomäne gültig halten, die TLS-RPT-Berichte vieler Absender zusammenführen und daraus eine belastbare Aussage über die Fehlerquote ableiten. Genau hier setzt Conbool MailGuard an.
MailGuard stellt Richtlinie und Subdomäne bereit, hält das Zertifikat automatisch gültig und führt den Übergang von testing auf enforce geführt durch. Die eingehenden TLS-Berichte laufen an einer Stelle zusammen, sodass Sie die Fehlerquote nicht aus rohen Berichtsdateien herauslesen müssen, sondern direkt sehen, ob die Umstellkriterien erfüllt sind. Den aktuellen Stand Ihrer Domäne können Sie vorab mit dem kostenlosen Transportsicherheits-Check prüfen, Details zur verwalteten Lösung stehen auf der Seite zu MTA-STS.
Eine feste Frist gibt der Standard nicht vor. Als praktikable Richtgröße haben sich mindestens zwei bis vier Wochen bewährt, damit mehrere vollständige TLS-RPT-Berichtszyklen vorliegen und auch seltener kommunizierende Partner erfasst sind. Entscheidend ist nicht die reine Dauer, sondern dass die Berichte über mehrere Tage stabil sind und keine ungeklärten Fehlschläge mehr auftreten.
Der Wechsel ist sicher, wenn die TLS-RPT-Berichte über mehrere Tage stabil bleiben, die Fehlerquote nahe null liegt und jeder verbleibende Fehlschlag erklärbar und behoben ist. Außerdem sollten alle eigenen empfangenden Mailserver in der Richtlinie korrekt gelistet sein und gültige, zur erwarteten Identität passende Zertifikate vorweisen. Bleiben im testing-Modus Verstöße ohne Ursache offen, ist enforce noch verfrüht.
max_age legt fest, wie lange ein sendender Server Ihre Richtlinie zwischenspeichert. Während des Rollouts ist ein kurzer Wert sinnvoll, etwa wenige Stunden bis ein Tag, weil Korrekturen und ein eventuelles Rollback dann schnell greifen. Im stabilen Produktivbetrieb wählen Sie einen längeren Wert, oft mehrere Wochen, weil das die Robustheit gegen Manipulation erhöht. Ein langer max_age bremst allerdings ein späteres Zurücknehmen aus, deshalb sollte er erst nach erfolgreichem enforce angehoben werden.
Setzen Sie in der Richtliniendatei mta-sts.txt den Modus von enforce auf testing zurück und aktualisieren Sie die Versionskennung im DNS-TXT-Eintrag, damit sendende Server die geänderte Richtlinie erkennen. Sendende Server, die die alte Richtlinie noch zwischengespeichert haben, behalten enforce bis zum Ablauf von max_age. Genau deshalb hält man max_age während der Einführung kurz. Ein vollständiger Stopp gelingt über den Modus none.
Das Aktivieren der Richtlinie veröffentlicht nur DNS-Eintrag und Richtliniendatei. Erst die laufende Auswertung der TLS-RPT-Berichte zeigt, ob die erzwungene Verschlüsselung in der Praxis funktioniert, welche Partner sauber verbinden und wo Zertifikats- oder Konfigurationsfehler vorliegen. Ohne diese Sichtbarkeit ist der Wechsel auf enforce ein Blindflug. Conbool MailGuard führt die Berichte daher an einer Stelle zusammen und macht die Fehlerquote sichtbar.
Der sichere MTA-STS-Rollout ist weniger eine technische als eine prozessuale Aufgabe. Die Modi testing und enforce sind die Werkzeuge, aber das Risikomanagement liegt im Dazwischen: in der konsequenten Auswertung der TLS-RPT-Berichte, in klaren Umstellkriterien und in einem kurz gehaltenen max_age, das Ihnen jederzeit ein Rollback erlaubt. Wer so vorgeht, erreicht erzwungene Transportverschlüsselung ohne einen einzigen verlorenen Geschäftsbrief.
Der nächste Schritt liegt bei Ihnen: Prüfen Sie Ihre Domäne mit dem Transportsicherheits-Check und sehen Sie, wie Conbool MailGuard den Rollout von testing auf enforce geführt übernimmt.
Weiterführende Artikel: