Erzwungene Transportverschlüsselung

MTA-STSTLS für den E-Mail-Transportverbindlich erzwingen

MTA-STS veröffentlicht eine Richtlinie, die sendende Mailserver verpflichtet, ausschließlich verschlüsselt zuzustellen. Fehlt die Verschlüsselung oder stimmt das Zertifikat nicht, wird die Nachricht zurückgehalten statt im Klartext ausgeliefert.

Domain kostenlos prüfen MailGuard ansehen

mta-sts.txt Richtlinie

version: STSv1
mode: enforce
mx: *.mail.example.de
max_age: 604800

mode: enforce

MTA-STS ist der pragmatische Weg zu erzwungener Transportverschlüsselung. Ohne DNSSEC und mit breiter Unterstützung schließt es die Lücke des opportunistischen STARTTLS für nahezu jeden Absender.

Die meisten E-Mails werden zwar verschlüsselt übertragen, doch der Schutz ist freiwillig. Ein Angreifer kann die Verschlüsselung in der Strecke entfernen, ohne dass es jemand bemerkt. MTA-STS macht aus der Empfehlung eine Verpflichtung: Wer die Domäne kontaktiert, muss die hinterlegte Richtlinie einhalten.

Was MTA-STS leistet

MTA-STS kombiniert einen DNS-Eintrag mit einer über HTTPS bereitgestellten Richtliniendatei. Sendende Server lesen die Richtlinie aus und wenden sie auf jede Zustellung an.

Verschlüsselung wird Pflicht

Die Richtlinie schreibt vor, dass nur über TLS zugestellt werden darf. Unverschlüsselte Verbindungen werden abgelehnt.

Zertifikat wird geprüft

Der sendende Server prüft, ob das Zertifikat zur erwarteten Domäne passt und von einer vertrauenswürdigen Stelle stammt.

Schutz vor Downgrade

Versucht ein Angreifer, die TLS-Aushandlung zu entfernen, greift die Richtlinie und die Zustellung wird gestoppt.

Die drei Betriebsmodi von MTA-STS

Der Modus legt fest, wie strikt sendende Server die Richtlinie anwenden. Der Übergang erfolgt schrittweise.

1none

Die Richtlinie ist veröffentlicht, aber nicht aktiv. Dieser Modus dient dazu, eine bestehende Richtlinie kontrolliert zurückzunehmen.

2testing

Verstöße werden nicht erzwungen, aber gemeldet. Zusammen mit TLS-RPT entsteht ein vollständiges Bild, bevor scharf geschaltet wird.

3enforce

Die Richtlinie ist verbindlich. Nachrichten werden nur verschlüsselt und mit gültigem Zertifikat zugestellt, andernfalls zurückgehalten.

So greift die Richtlinie

Drei Schritte vom DNS-Hinweis bis zur erzwungenen Verschlüsselung.

DNS-Hinweis lesen

Ein TXT-Eintrag unter der Domäne signalisiert, dass eine MTA-STS-Richtlinie existiert, und nennt deren Version.

Richtlinie über HTTPS abrufen

Der sendende Server lädt die Richtliniendatei von einer dedizierten Subdomäne über eine gesicherte HTTPS-Verbindung.

Richtlinie anwenden

Für die Zustellung gelten die geforderten Mailserver, eine gültige TLS-Verbindung und ein passendes Zertifikat. Sonst wird zurückgehalten.

MTA-STS und TLS-RPT gehören zusammen

Im Modus testing und im laufenden Betrieb liefert TLS-RPT die Berichte über fehlgeschlagene Verbindungen. So wird sichtbar, ob die Richtlinie greift oder ob ein Empfänger Probleme meldet, bevor Nachrichten verloren gehen.

Mehr zu TLS-RPT

MTA-STS oder DANE?

MTA-STS ist einfacher umzusetzen und kommt ohne DNSSEC aus. DANE ist kryptografisch robuster und nach BSI TR-03108 verpflichtend. Beide schließen sich nicht aus, sondern decken gemeinsam alle Sender ab.

DANE und TLSA im Detail

MTA-STS verwaltet durch Conbool MailGuard

Die Richtlinie wird zentral betrieben, überwacht und sicher fortgeschrieben, ohne Eingriff in den bestehenden Postfachdienst.

Richtlinie und Subdomäne bereitgestellt

Der DNS-Hinweis und die über HTTPS erreichbare Richtliniendatei werden vollständig durch Conbool bereitgestellt und gepflegt.

Geführter Rollout

Der Weg von testing zu enforce wird begleitet, sodass keine legitime Nachricht durch eine zu früh scharf gestellte Richtlinie verloren geht.

Zertifikat dauerhaft gültig

Das Zertifikat der Richtlinien-Subdomäne wird automatisch erneuert, sodass die Richtlinie ohne Unterbrechung abrufbar bleibt.

Zusammenspiel mit TLS-RPT

Berichte über Transportfehler werden ausgewertet und in verständlicher Form bereitgestellt.

Kompatibel mit Microsoft 365 und Google

MTA-STS wirkt unabhängig vom Postfachdienst und schützt eingehende Zustellungen an die geschützten Domänen.

Häufige Fragen zu MTA-STS

Was bedeutet MTA-STS?

MTA-STS steht für Mail Transfer Agent Strict Transport Security. Es ist ein Standard nach RFC 8461, der TLS für den E-Mail-Transport verbindlich macht, indem eine Richtlinie veröffentlicht und von sendenden Servern angewendet wird.

Benötigt MTA-STS DNSSEC?

Nein. MTA-STS kommt ohne DNSSEC aus und nutzt stattdessen die öffentliche Zertifikatswelt sowie eine über HTTPS verteilte Richtlinie. Genau das macht es einfacher umzusetzen als DANE.

Was ist der Unterschied zwischen testing und enforce?

Im Modus testing werden Verstöße gemeldet, aber nicht erzwungen. Im Modus enforce wird die Zustellung bei fehlender oder fehlerhafter Verschlüsselung zurückgehalten. Der Wechsel erfolgt erst, wenn die Berichte sauber sind.

Kann MTA-STS legitime E-Mails blockieren?

Im Modus enforce kann eine Nachricht zurückgehalten werden, wenn die Gegenstelle kein gültiges TLS bietet. Durch den geführten Rollout über testing und die Auswertung von TLS-RPT wird dieses Risiko vor dem Scharfschalten ausgeschlossen.

Wirkt MTA-STS eingehend oder ausgehend?

Die veröffentlichte Richtlinie schützt eingehende Zustellungen an die eigene Domäne. Für ausgehende Nachrichten wertet der sendende Server die Richtlinien der Empfänger aus. Conbool MailGuard berücksichtigt beide Richtungen.

Ersetzt MTA-STS die Standardverschlüsselung STARTTLS?

Nein, es baut darauf auf. STARTTLS bleibt das Transportprotokoll, MTA-STS macht dessen Nutzung verbindlich und verhindert das stille Zurückfallen auf Klartext.

Wie lässt sich der Status von MTA-STS prüfen?

Der kostenlose Mail-Check von Conbool prüft, ob ein MTA-STS-DNS-Hinweis vorhanden ist, ob die Richtlinie abrufbar ist und in welchem Modus sie läuft. Das Ergebnis kommt als Bericht zurück.