Wie behebt man "MTA-STS Policy is Missing"?

Blog

Erfahren Sie, wie Sie die Meldung "MTA-STS policy is missing: STSFetchResult.NONE " durch korrekte Implementierung und Bereitstellung der MTA-STS-Richtliniendatei.

von YunesTarada

Zuletzt aktualisiert:
Lesezeit: 5 min
Wie behebt man "MTA-STS Policy is Missing"?
Inhaltsverzeichnis-

Falls Sie auf die Meldung "MTA-STS-Richtlinie fehlt: STSFetchResult.NONE " bei der Verwendung von Online-Tools, sind Sie hier richtig. Heute werden wir besprechen, wie Sie diese Fehlermeldung beheben können, indem Sie eine MTA-STS-Richtlinie für Ihre Domäne einrichten.

Das Simple Mail Transfer Protocol, kurz SMTP, ist das Standardprotokoll für die Übertragung von E-Mails, das von den meisten E-Mail-Anbietern verwendet wird. Es ist nichts Neues, dass SMTP seit Anbeginn der Zeit mit Sicherheitsherausforderungen konfrontiert ist, die bisher nicht gemeistert werden konnten. Um die E-Mails abwärtskompatibel zu machen, hat SMTP die opportunistische Verschlüsselung in Form eines STARTTLS-Befehls eingeführt. Dies bedeutet im Wesentlichen, dass, falls eine verschlüsselte Verbindung zwischen zwei kommunizierenden SMTP-Servern nicht ausgehandelt werden kann, die Verbindung auf eine unverschlüsselte zurückgesetzt wird und die Nachrichten im Klartext gesendet werden. 

Dies macht E-Mails, die über SMTP übertragen werden, anfällig für allgegenwärtige Überwachung und Lauschangriffe wie Man-in-the-middle. Dies ist sowohl für den Absender als auch für den Empfänger riskant und kann zur Preisgabe sensibler Daten führen. Hier setzt MTA-STS an und macht TLS-Verschlüsselung in SMTP zur Pflicht, um zu verhindern, dass E-Mails über ungesicherte Verbindungen zugestellt werden. 

Wichtigste Erkenntnisse

  1. MTA-STS ist für die Durchsetzung der obligatorischen TLS-Verschlüsselung unerlässlich und verringert die Anfälligkeit von E-Mails während der Übertragung.
  2. Die Erstellung und Veröffentlichung eines MTA-STS-DNS-TXT-Eintrags ist der erste Schritt zur Aktivierung dieses Standards für Ihre Domain.
  3. Die Implementierung einer MTA-STS-Richtlinie im Testmodus ermöglicht die Überwachung und Behebung potenzieller SMTP-TLS-Verbindungsprobleme ohne sofortige Durchsetzung.
  4. Jede Domäne muss eine eigene MTA-STS-Richtliniendatei haben, da mehrere Dateien zu Fehlkonfigurationen und Fehlern führen können.
  5. Die Nutzung von gehosteten MTA-STS-Diensten kann den Bereitstellungsprozess rationalisieren und die Einhaltung der neuesten TLS-Standards gewährleisten.

Was ist eine MTA-STS-Politik?

Um Ihre SMTP-E-Mail-Sicherheit zu verbessern und Authentifizierungsprotokolle wie MTA-STS optimal zu nutzen, sollte der sendende Server das Protokoll unterstützen und der empfangende Server eine MTA-STS-Richtlinie in seinem DNS definiert haben. Ein erzwungener Richtlinienmodus wird ebenfalls empfohlen, um die Sicherheitsstandards weiter zu verstärken. Die MTA-STS-Richtlinie definiert die E-Mail-Server, die MTA-STS in der Domäne des Empfängers verwenden. 

Um MTA-STS für Ihre Domain als E-Mail-Empfänger zu aktivieren, müssen Sie eine MTA-STS-Richtliniendatei in Ihrem DNS hosten. Dies ermöglicht es externen E-Mail-Absendern, E-Mails an Ihre Domain zu senden, die authentifiziert und mit einer aktualisierten Version von TLS (1.2 oder höher) verschlüsselt sind. 

Das Fehlen einer veröffentlichten oder aktualisierten Richtliniendatei für Ihre Domäne kann der Hauptgrund dafür sein, dass Sie Fehlermeldungen wie "MTA-STS-Richtlinie fehlt: STSFetchResult.NONE"Dies bedeutet, dass der Server des Absenders die MTA-STS-Richtliniendatei nicht abrufen konnte, als er den DNS des Empfängers abfragte und feststellte, dass sie fehlte.

Voraussetzungen für MTA-STS:

E-Mail-Server, für die MTA-STS aktiviert wird, sollten eine TLS-Version von 1.2 oder höher verwenden und über TLS-Zertifikate verfügen, die den aktuellen RFC-Standards und -Spezifikationen entsprechen, nicht abgelaufen sind und von einer vertrauenswürdigen Stammzertifizierungsstelle unterzeichnet sind.

Vereinfachen Sie die Sicherheit mit PowerDMARC!

15-Tage-TestDemo buchen

Schritte zur Behebung von "MTA-STS Policy is Missing"

1. Erstellen und Veröffentlichen eines MTA-STS DNS TXT-Eintrags 

Der erste Schritt besteht darin, einen MTA-STS-Eintrag für Ihre Domäne zu erstellen. Sie können einen Eintrag sofort mit einem MTA-STS-Eintragsgenerator erstellen, der Ihnen einen maßgeschneiderten DNS-Eintrag für Ihre Domäne liefert. 

2. Definieren eines MTA-STS-Richtlinienmodus

MTA-STS bietet zwei Richtlinienmodi, mit denen die Benutzer arbeiten können.

  • Test-Modus: Dieser Modus ist ideal für Anfänger, die das Protokoll noch nicht konfiguriert haben. Der MTA-STS-Testmodus ermöglicht es Ihnen, SMTP-TLS-Berichte über Probleme in MTA-STS-Richtlinien, Probleme beim Aufbau verschlüsselter SMTP-Verbindungen oder Fehler bei der E-Mail-Zustellung zu erhalten. Auf diese Weise können Sie auf bestehende Sicherheitsprobleme in Bezug auf Ihre Domänen und Server reagieren, ohne die TLS-Verschlüsselung zu erzwingen.
  • Modus erzwingen: Sie erhalten zwar weiterhin Ihre TLS-Berichte, aber im Laufe der Zeit ist es für die Benutzer optimal, ihre MTA-STS-Richtlinie durchzusetzen, um die Verschlüsselung beim Empfang von E-Mails über SMTP zwingend vorzuschreiben. Dadurch wird verhindert, dass Nachrichten während der Übertragung geändert oder manipuliert werden.

3. Erstellen der MTA-STS-Richtliniendatei

Der nächste Schritt besteht darin, MTA-STS-Richtliniendateien für Ihre Domänen zu hosten. Beachten Sie, dass der Inhalt jeder Datei zwar gleich sein kann, dass aber die Richtlinien für die einzelnen Domänen getrennt gehostet werden müssen und dass eine einzelne Domäne nur eine einzige MTA-STS-Richtliniendatei haben kann. Mehrere MTA-STS-Richtliniendateien, die für eine einzige Domäne gehostet werden, können zu Protokollfehlkonfigurationen führen. 

Das Standardformat für eine MTA-STS-Richtliniendatei ist unten angegeben: 

Dateiname: mta-sts.txt

Maximale Dateigröße: 64 KB

Version: STSv1

Modus: Testen

mx: mail.ihredomain.de

mx: *.ihredomain.de

max_age: 806400 

Anmerkung: Die oben gezeigte Richtliniendatei ist lediglich ein Beispiel.

4. Veröffentlichen Ihrer MTA-STS-Richtliniendatei

Als nächstes müssen Sie Ihre MTA-STS-Richtliniendatei auf einem öffentlichen Webserver veröffentlichen, der für externe Server zugänglich ist. Stellen Sie sicher, dass der Server, auf dem Sie Ihre Datei hosten, HTTPS oder SSL unterstützt. Das Verfahren hierfür ist einfach. Nehmen wir an, dass Ihre Domäne mit einem öffentlichen Webserver vorkonfiguriert ist:

  • Fügen Sie eine Subdomain zu Ihrer bestehenden Domain hinzu, die mit dem Text: mta-sts beginnen sollte (z. B. mta-sts.domain.com) 
  • Ihre Richtliniendatei verweist auf diese von Ihnen erstellte Subdomain und muss in einer .well-known Verzeichnis
  • Die URL für die Richtliniendatei wird bei der Veröffentlichung Ihres MTA-STS-DNS-Eintrags zum DNS-Eintrag hinzugefügt, damit der Server die Richtliniendatei während der E-Mail-Übertragung abrufen kann.

5. Aktivieren Sie MTA-STS und TLS-RPT

Schließlich müssen Sie Ihre MTA-STS und TLS-RPT DNS-Einträge im DNS Ihrer Domäne veröffentlichen, wobei Sie TXT als Ressourcentyp verwenden und zwei separate Subdomänen (_smtp._tls und _mta-sts). Auf diese Weise erreichen nur TLS-verschlüsselte Nachrichten Ihren Posteingang, die überprüft und nicht manipuliert wurden. Außerdem erhalten Sie täglich Berichte über Zustellungs- und Verschlüsselungsprobleme auf einer von Ihnen konfigurierten E-Mail-Adresse oder einem Webserver von externen Servern.

Sie können die Gültigkeit Ihrer DNS-Datensätze überprüfen, indem Sie eine MTA-STS-Datensatzabfrage durchführen, nachdem Ihr Datensatz veröffentlicht und aktiv ist.  

Anmerkung: Jedes Mal, wenn Sie den Inhalt Ihrer MTA-STS-Richtliniendateien ändern, müssen Sie diese sowohl auf dem öffentlichen Webserver, auf dem Sie Ihre Datei hosten, als auch den DNS-Eintrag, der die URL Ihrer Richtlinie enthält, aktualisieren. Das Gleiche gilt, wenn Sie Ihre Domänen oder Server aktualisieren oder ergänzen.

Wie können gehostete MTA-STS-Dienste bei der Lösung des Problems "MTA-STS Policy is Missing" helfen?

Die manuelle Implementierung von MTA-STS kann mühsam und schwierig sein und lässt Raum für Fehler. Das von PowerDMARC gehosteten MTA-STS Services von PowerDMARC beschleunigen den Prozess für Domaininhaber, indem sie die Implementierung des Protokolls mühelos und schnell machen. Sie können:

  • Veröffentlichen Sie Ihre CNAME-Einträge für MTA-STS mit ein paar Klicks
  • Auslagerung der harten Arbeit, die mit der Wartung und dem Hosting von MTA-STS-Richtliniendateien und Webservern verbunden ist
  • Ändern Sie Ihren Richtlinienmodus, wann immer Sie es wünschen, direkt von Ihrem maßgeschneiderten Dashboard aus, ohne auf Ihr DNS zugreifen zu müssen.
  • Wir zeigen SMTP-TLS-Berichts-JSON-Dateien in einem organisierten und für Menschen lesbaren Format an, das sowohl für technische als auch für nicht-technische Personen bequem und verständlich ist.

Und das Beste daran? Wir sind RFC-konform und unterstützen die neuesten TLS-Standards. Dies hilft Ihnen, mit einer fehlerfreien MTA-STS-Konfiguration für Ihre Domain zu beginnen und die Vorteile zu genießen, während Sie die Probleme und die Komplexität uns überlassen! 

Ich hoffe, dieser Artikel hat Ihnen geholfen, die Meldung "MTA-STS-Richtlinie fehlt: STSFetchResult.NONE" loszuwerden und die Protokolle für Ihre Domäne richtig zu konfigurieren, um die Lücken und Herausforderungen der SMTP-Sicherheit zu entschärfen. 

Aktivieren Sie MTA-STS für Ihre E-Mails noch heute, indem Sie eine kostenlose E-Mail-Authentifizierung DMARC-Testversionum Ihren Schutz vor MITM und anderen Lauschangriffen zu verbessern!

Neueste Beiträge von Yunes Tarada (alle anzeigen)
Zuletzt aktualisiert:
Wie kann ich meine Drittanbieter DMARC-konform machen?Wie mache ich meine Drittanbieter DMARC-konform 2Microsoft DMARCMicrosoft DMARC Aggregate-Berichte