Nur für kurze Zeit: 50% RABATT auf deine erste Zahlung.

Überprüfen Sie Ihren MTA-STS-Datensatz

Überprüfen Sie kostenlos Ihren MTA-STS-DNS-Eintrag und bestätigen Sie, dass Ihre Domain die TLS-verschlüsselte E-Mail-Zustellung signalisiert. Erkennen Sie fehlende oder fehlerhafte Richtlinien, bevor Absender auf Klartext zurückgreifen.

Geben Sie eine Domain ein

Sie haben heute noch 5 kostenlose Prüfungen.

Was ist MTA-STS?

Mit MTA-STS (Mail Transfer Agent Strict Transport Security) kann eine Domäne erklären, dass eingehende SMTP-Verbindungen TLS mit einem gültigen Zertifikat verwenden müssen. Es kombiniert einen DNS-TXT-Eintrag unter _mta-sts.yourdomain.com mit einer Richtliniendatei, die über HTTPS unter mta-sts.yourdomain.com/.well-known/mta-sts.txt bereitgestellt wird. Der DNS-Eintrag gibt bekannt, dass eine Richtlinie vorhanden ist, und enthält eine ID, die sich bei jeder Aktualisierung der Richtlinie ändert.

Ohne MTA-STS kann das opportunistische TLS von SMTP von einem Angreifer auf dem Pfad stillschweigend entfernt werden, wodurch die Zustellung von E-Mails im Klartext erzwungen wird. MTA-STS schließt diese Lücke, indem es sendende Server anweist, die Zustellung zu verweigern, wenn TLS nicht ausgehandelt werden kann. Es lässt sich natürlich mit TLS-RPT kombinieren, das Ihnen Berichte per E-Mail sendet, wenn ein Absender die Richtlinie nicht einhalten kann. Der Standard ist in RFC 8461 definiert.

Warum sollten Sie Ihren MTA-STS-Eintrag überprüfen?

1Bestätigen Sie, dass die Richtlinie erkennbar ist

Wenn der DNS-Eintrag fehlt oder fehlerhaft ist, suchen Absender nie nach Ihrer Richtliniendatei – stellen Sie sicher, dass sie aufgelöst wird

2Fangen Sie eine Identität, die sich nie ändert

Die ID muss bei jeder Richtlinienänderung aktualisiert werden oder Caches dienen zur Bereitstellung einer veralteten Richtlinie – ein Prüfer zeigt den aktuellen Wert an

3Verhindern Sie stille TLS-Downgrades

Ein funktionierender Datensatz signalisiert den Absendern, dass sie eine Verschlüsselung verlangen müssen, um E-Mails während der Übertragung vor dem Abfangen zu schützen

4Vor dem Erzwingen des Modus validieren

Bestätigen Sie im Testmodus, dass der Datensatz und die Richtlinie aufeinander abgestimmt sind, damit beim Umschalten auf „Erzwingen“ keine legitimen E-Mails zurückgesendet werden

Wie MTA-STS funktioniert – Schritt für Schritt

1

Sie hosten eine Richtliniendatei unter https://mta-sts.yourdomain.com/.well-known/mta-sts.txt, die den Modus, MX-Hosts und max_age beschreibt.

2

Sie veröffentlichen einen TXT-Eintrag unter _mta-sts.yourdomain.com, der die Version und eine eindeutige ID enthält.

3

Ein sendender Server, der gerade E-Mail-Anfragen zustellt, die TXT aufzeichnet und eine Richtlinie sieht, wird angekündigt.

4

Es ruft die HTTPS-Richtliniendatei ab und validiert den empfangenden MX und sein TLS-Zertifikat damit.

5

Wenn sich die Richtlinie im Erzwingungsmodus befindet und TLS nicht validiert werden kann, verweigert der Absender die Zustellung, anstatt auf Klartext zurückzugreifen.

MTA-STS-Datensatzsyntax

Beispiel für einen DNS-TXT-Eintrag und eine Richtliniendatei
_mta-sts.example.com.  3600  IN  TXT  "v=STSv1; id=20240118T120000Z"

# https://mta-sts.example.com/.well-known/mta-sts.txt
version: STSv1
mode: enforce
mx: mail.example.com
max_age: 604800

Aufschlüsselung der DNS-Tags

v=STSv1— Protokollversion, immer zuerst
id=— einzigartiges Token, Änderungen bei jeder Richtlinienaktualisierung

Felder der Richtliniendatei

Modus
erzwingen, testen oder keine – erzwingen verweigert die Zustellung, wenn TLS fehlschlägt, und testet nur Berichte.
mx
Die Hostnamen des Mailservers, für die die Richtlinie gilt; Platzhalter wie *.example.com sind erlaubt.
max_age
Wie lange (in Sekunden) Absender die Richtlinie zwischenspeichern dürfen – normalerweise ein bis vier Wochen.
Version
Immer STSv1; Identifiziert das Richtlinienformat in der bereitgestellten Datei.

Häufige MTA-STS-Fehler und Fehlerbehebungen

Richtliniendatei nicht erreichbar

Die .well-known-Datei muss über HTTPS mit einem gültigen Zertifikat geladen werden – reparieren Sie den Host, bevor Absender es anwenden können

Veraltete ID

Wenn die Absender vergessen, die ID nach der Bearbeitung der Richtlinie zu erhöhen, behalten sie die alte ID – ändern Sie sie bei jeder Aktualisierung

MX-Konflikt

Wenn die MX-Einträge nicht mit Ihren echten MX-Einträgen übereinstimmen, blockiert der Erzwingungsmodus legitime E-Mails – halten Sie sie synchron

Direkt springen, um durchzusetzen

Beginnen Sie mit dem Testen mit TLS-RPT, damit Sie Probleme erkennen, bevor der Erzwingungsmodus Nachrichten zurückweisen kann

FAQs

Häufig gestellte Fragen

Mit MTA-STS (Mail Transfer Agent Strict Transport Security) teilt Ihre Domain den sendenden Servern mit, dass E-Mails über TLS mit einem gültigen Zertifikat zugestellt werden müssen. Es kombiniert einen DNS-TXT-Eintrag unter _mta-sts.yourdomain.com mit einer HTTPS-gehosteten Richtliniendatei. Ohne sie kann die opportunistische Verschlüsselung von SMTP von einem Angreifer auf dem Netzwerkpfad entfernt werden, wodurch Ihre E-Mails gezwungen werden, im Klartext zu übertragen.

Der TXT-Eintrag unter _mta-sts.yourdomain.com enthält zwei Dinge: die Version (v=STSv1) und eine ID – ein eindeutiges Token, das Sie jedes Mal ändern müssen, wenn Sie die Richtliniendatei aktualisieren. Der Datensatz enthält nicht die Richtlinie selbst; Es gibt lediglich bekannt, dass eine Richtlinie existiert, und signalisiert über eine geänderte ID, wann Absender sie erneut abrufen sollten.

Der Modus wird in der HTTPS-Richtliniendatei festgelegt, nicht im DNS-Eintrag. Im Testmodus melden Absender TLS-Fehler (über TLS-RPT), stellen aber trotzdem E-Mails zu, sodass Sie Probleme sicher finden können. Im Durchsetzungsmodus verweigern Absender die Zustellung, wenn TLS nicht validiert werden kann. Die beste Vorgehensweise besteht darin, die Tests zunächst mit aktivierter Berichterstellung durchzuführen und dann auf „Erzwingen“ umzustellen, sobald Sie bestätigt haben, dass alles funktioniert.

Beide erfordern TLS für eingehende E-Mails, verankern die Vertrauenswürdigkeit jedoch unterschiedlich. DANE verwendet DNSSEC- und TLSA-Einträge zum Anheften von Zertifikaten und hängt daher von der Bereitstellung von DNSSEC ab. MTA-STS verwendet die öffentliche Web-PKI und eine HTTPS-gehostete Richtlinie und funktioniert daher ohne DNSSEC. Viele Domänen übernehmen zuerst MTA-STS, da es einfacher auf der vorhandenen Infrastruktur bereitzustellen ist.

Häufige Gründe sind ein fehlender oder fehlerhafter TXT-Eintrag, eine ID, die nach einer Richtlinienänderung nicht aktualisiert wurde, oder eine Richtliniendatei, die nicht über HTTPS mit einem gültigen Zertifikat geladen wird. Dieser Prüfer überprüft den DNS-Eintrag; Stellen Sie außerdem sicher, dass die Datei unter /.well-known/mta-sts.txt erreichbar ist und dass ihre MX-Einträge mit Ihren echten MX-Einträgen übereinstimmen.