MulticheckMulticheck Domainsuche
Menü anzeigen

MTA-STS

Definitionen und Erklärungen zu MTA-STS

zurück zum Glossar

MTA-STS steht für Mail Transfer Agent Strict Transport Security und ist ein Sicherheitsstandard für den E-Mail-Versand. Er sorgt dafür, dass eingehende E-Mails zwischen Mailservern ausschließlich über verschlüsselte Verbindungen per TLS (Transport Layer Security) übertragen werden – und dass die Identität des empfangenden Mailservers geprüft wird. MTA-STS soll verhindern, dass E-Mails unverschlüsselt übertragen oder an manipulierte Server zugestellt werden.

Warum ist MTA-STS wichtig?

Ohne MTA-STS versucht ein sendender Mailserver zwar in der Regel, TLS zu verwenden, fällt jedoch bei Problemen (z. B. ungültigem Zertifikat oder fehlendem TLS) automatisch auf unverschlüsselte Übertragung zurück. Das öffnet Tür und Tor für sogenannte Man-in-the-Middle-Angriffe. MTA-STS verhindert dieses Verhalten, indem TLS verpflichtend wird – oder die Nachricht wird gar nicht erst zugestellt.

Wie funktioniert MTA-STS?

MTA-STS basiert auf zwei Komponenten:

  1. Ein DNS-Eintrag im TXT-Format signalisiert, dass für die Domain eine MTA-STS-Policy existiert (z. B. _mta-sts.domain.de).
  2. Ein HTTPS-Server unter mta-sts.domain.de stellt die eigentliche Policy-Datei bereit (meist unter /.well-known/mta-sts.txt).

Beispiel für einen MTA-STS DNS-Eintrag

_mta-sts.domain.de. IN TXT "v=STSv1; id=20240514"

Beispiel für eine MTA-STS-Policy-Datei

version: STSv1
mode: enforce
mx: mail.domain.de
max_age: 86400

Erklärung der Felder:

  • version: Protokollversion (immer STSv1)
  • mode: enforce (erzwingen), testing (testen), none (inaktiv)
  • mx: Erlaubte Mailserver (z. B. mail.domain.de)
  • max_age: Gültigkeitsdauer der Richtlinie in Sekunden

Vorteile von MTA-STS

  • Schutz vor Downgrade-Angriffen: TLS wird nicht mehr umgangen, selbst bei Zertifikatsproblemen.
  • Integrität und Vertraulichkeit: E-Mails werden durchgängig verschlüsselt übertragen.
  • Identitätssicherung: Empfänger-Mailserver müssen mit gültigem Zertifikat antworten.
  • Kompatibel mit bestehenden Mailservern: Kein spezielles Protokoll, sondern Erweiterung bestehender TLS-Nutzung.

Herausforderungen und Nachteile

  • HTTPS-Server erforderlich: Die Policy muss über eine eigene Subdomain per HTTPS bereitgestellt werden.
  • Strenge Durchsetzung kann zu Zustellproblemen führen: Wenn der empfangende Server falsch konfiguriert ist oder kein TLS unterstützt, schlägt die Zustellung fehl.
  • Noch nicht flächendeckend unterstützt: Nicht alle Mailserver nutzen MTA-STS aktiv.

Unterschied zu DANE

DANE verfolgt ein ähnliches Ziel, setzt aber auf DNSSEC zur Absicherung. MTA-STS hingegen verwendet HTTPS zur Bereitstellung der Richtlinien und ist damit einfacher umzusetzen, da DNSSEC nicht zwingend erforderlich ist.

Empfehlung für Domain- und Mailserverbetreiber

  • Eigene Domain mit einer gültigen MTA-STS-Policy absichern
  • DNS-Eintrag und Policy-Datei korrekt konfigurieren und regelmäßig aktualisieren
  • Mailserver mit gültigem, öffentlich vertrauenswürdigem TLS-Zertifikat betreiben

Fazit

MTA-STS ist ein wirkungsvoller, moderner Schutzmechanismus für die sichere E-Mail-Zustellung per TLS. Er verhindert, dass E-Mails unverschlüsselt oder an gefälschte Server übermittelt werden, und schützt damit vor Abhören und Manipulation. Besonders für professionelle Mailserver- und Domainbetreiber ist die Umsetzung von MTA-STS ein empfehlenswerter Schritt zur Erhöhung der Kommunikationssicherheit.

Alle Angaben ohne Gewähr.

Preise inkl. MwSt. Angebote sind zeitlich begrenzt verfügbar und teilweise an Mindestvertragslaufzeiten gebunden.