So richten Sie MTA-STS und TLS-RPT ein: Verhindern Sie das Abfangen von E-Mails

Milliarden von E-Mails werden täglich über das Internet verschickt, und ein erheblicher Teil davon wird immer noch ohne Verschlüsselung übertragen. Allein aufgrund dieses Umfangs sind E-Mails eines der attraktivsten Ziele für das Abfangen, bei dem Nachrichten während der Übertragung gelesen oder verändert werden können, ohne dass der Absender oder Empfänger dies bemerkt.

Die Schwachstelle liegt in der Art und Weise, wie E-Mails zugestellt werden. SMTP basiert auf opportunistischer Verschlüsselung, wodurch Angreifer den STARTTLS-Befehl entfernen oder manipulieren und eine Verbindung zwingen können, auf Klartext zurückzufallen. Diese SMTP-Downgrade-Angriffe öffnen die Tür für Man-in-the-Middle-Angriffe, bei denen Angreifer den Datenverkehr überwachen, sensible Inhalte erfassen oder Nachrichten über von ihnen kontrollierte Server umleiten können.

Kontaktieren Sie uns Buchen Sie eine Demo

Inhaltsverzeichnis

    1. Mail Transfer Agent-Strict Transport Security (MTA-STS)
    2. Sicherstellen der Verschlüsselung mit MTA-STS
    3. Die Anatomie eines MITM-Angriffs
    4. Die MTA-STS-Richtlinien-Datei
    5. So veröffentlichen Sie die MTA-STS-Richtliniendatei
    6. MTA-STS DNS-Eintrag
    7. MTA-STS für Ihre Domäne konfigurieren
    8. CHerausforderungen bei der manuellen MTA-STS-Bereitstellung
    9. So testen und validieren Sie Ihre MTA-STS-Konfiguration
    10. Die gehosteten MTA-STS-Dienste von PowerDMARC
    11. SMTP TLS-Berichterstattung (TLS-RPT)
    12. Sichern des E-Mail-Transports mit MTA-STS
    13. Häufig gestellte Fragen

Mail Transfer Agent-Strict Transport Security (MTA-STS) schließt diese Lücke, indem es verschlüsselte TLS-Verbindungen zwischen sendenden und empfangenden Mail-Servern vorschreibt und die Zustellung verweigert, wenn kein sicherer Kanal hergestellt werden kann. Anstatt darauf zu hoffen, dass Verschlüsselung verwendet wird, erzwingt MTA-STS diese, was es für Unternehmen, die MTA-STS als Teil ihrer E-Mail-Sicherheitsstrategie einrichten möchten, unverzichtbar macht.

tls-Verschlüsselung

Mail Transfer Agent-Strict Transport Security (MTA-STS)

MTA-STS ist, wie der Name schon sagt, ein Protokoll, das den verschlüsselten Transport von Nachrichten zwischen zwei SMTP-Mailservern ermöglicht. MTA-STS weist sendende Server an, E-Mails nur über eine TLS-verschlüsselte Verbindung zu versenden und sie überhaupt nicht zuzustellen, wenn keine sichere Verbindung über den Befehl STARTTLS hergestellt werden kann. Durch die Verbesserung der Sicherheit von E-Mails während der Übertragung trägt MTA-STS dazu bei, Man-in-the-Middle-Angriffe (MITM) wie SMTP-Downgrade-Angriffe und DNS-Spoofing-Angriffe zu verhindern.

Mehr lesen

Sicherstellen der Verschlüsselung mit MTA-STS

E-Mails werden zwischen Servern mithilfe von SMTP übertragen, einem Protokoll, das Verschlüsselung unterstützt, diese jedoch standardmäßig nicht erfordert. Dadurch entsteht eine Lücke, durch die Nachrichten weiterhin ungeschützt übertragen werden können. MTA-STS schließt diese Lücke, indem es die verschlüsselte Übertragung zu einer Voraussetzung statt zu einer Option macht.

Um zu verstehen, wie die Verschlüsselung bei der E-Mail-Zustellung funktioniert, betrachten wir einen Mailserver, der eine Nachricht an [email protected] sendet. Der sendende Mail Transfer Agent (MTA) führt zunächst eine DNS-Abfrage durch, um die MX-Einträge für powerdmarc.com abzurufen und festzustellen, welche Mailserver für den Empfang der Nachricht zuständig sind. Der sendende MTA verbindet sich dann mit einem dieser Server und überprüft mit dem Befehl STARTTLS, ob dieser TLS-Verschlüsselung unterstützt. Wenn TLS verfügbar ist, wird die E-Mail über eine verschlüsselte Verbindung gesendet. Ist dies nicht der Fall, kann der sendende Server keine sichere Verbindung herstellen und sendet die Nachricht ohne weitere Maßnahmen möglicherweise im Klartext.

MTA-STS ändert dieses Zustellverhalten, indem es strenge Sicherheitsanforderungen während der Server-zu-Server-Kommunikation durchsetzt:

MTA-STS weist sendende Mailserver an, Nachrichten nur über eine TLS-verschlüsselte Verbindung zuzustellen. Wenn keine Verschlüsselung hergestellt werden kann, wird die Nachricht überhaupt nicht zugestellt. Dadurch wird der stille Fallback auf Klartext verhindert, der ein Abfangen ermöglicht.

Der empfangende Mailserver muss ein gültiges TLS-Zertifikat vorlegen, und der Domänenname auf diesem Zertifikat muss mit der in der MTA-STS-Richtlinie definierten Domäne übereinstimmen. Dadurch wird sichergestellt, dass der sendende Server mit dem richtigen Ziel kommuniziert und nicht mit einem Host, der sich als dieses Ziel ausgibt.

MTA-STS-Richtlinien werden über HTTPS von einem sicheren Webserver abgerufen. Das Abrufen der Richtlinie über einen verschlüsselten und authentifizierten Kanal verhindert, dass Angreifer die Richtlinienanweisungen während der Übertragung verändern oder fälschen können.

Durch die Durchsetzung der Verschlüsselung und die Validierung sowohl von Zertifikaten als auch von Richtlinienanweisungen blockiert MTA-STS SMTP-Downgrade-Angriffe, die auf dem Entfernen oder Ändern des STARTTLS-Befehls beruhen. Sendende Server akzeptieren keine unsicheren Fallbacks mehr, wenn eine sichere Verbindung bestehen sollte.

gehostete mta sts-dienste
gehostet MTA STS

MTA-STS wird durch die Veröffentlichung eines DNS-Eintrags implementiert, der sendende Mailserver anweist, eine Richtliniendatei von einer bestimmten Subdomain abzurufen. Auf die Richtliniendatei wird über HTTPS zugegriffen, sie wird mithilfe von TLS-Zertifikaten validiert und enthält die zugelassenen Hostnamen der Mailserver des Empfängers. Das Protokoll weist sendende SMTP-Server an, eine verschlüsselte Verbindung zu verlangen und zu überprüfen, ob die im TLS-Zertifikat aufgeführte Domain mit der in der Richtliniendatei definierten Domain übereinstimmt. Wenn MTA-STS erzwungen wird, wird die Nachricht überhaupt nicht zugestellt, falls kein verschlüsselter Kanal ausgehandelt werden kann.

Die Anatomie eines MITM-Angriffs

Im Wesentlichen findet ein MITM-Angriff statt, wenn ein Angreifer den STARTTLS-Befehl ersetzt oder löscht, um die gesicherte Verbindung auf eine ungesicherte ohne TLS-Verschlüsselung zurückzusetzen. Dies wird als Downgrade-Angriff bezeichnet. Nach erfolgreicher Durchführung eines Downgrade-Angriffs kann der Angreifer ungehindert auf die E-Mail-Inhalte zugreifen und diese einsehen.

Ein MITM-Angreifer kann auch die MX-Einträge in der DNS-Abfrageantwort durch einen Mail-Server ersetzen, auf den er Zugriff hat und den er kontrollieren kann. Der Mail-Transfer-Agent stellt in diesem Fall die E-Mail an den Server des Angreifers zu, wodurch dieser auf den E-Mail-Inhalt zugreifen und diesen manipulieren kann. Anschließend kann die E-Mail an den Server des beabsichtigten Empfängers weitergeleitet werden, ohne dass dies bemerkt wird. Dies ist ein sogenannter DNS-Spoofing-Angriff.

SMTP-Downgrade-Angriff

Warnzeichen

MITM-Angriffe laufen oft unbemerkt ab, aber bestimmte Muster können darauf hindeuten, dass bei der E-Mail-Zustellung etwas nicht stimmt. Ein häufiges Warnzeichen sind unerwartete Zustellungsfehler oder Verzögerungen bei der Kommunikation mit bestimmten Domänen, insbesondere wenn diese Domänen zuvor Nachrichten ohne Probleme akzeptiert haben. Ein plötzlicher Anstieg von TLS-Verhandlungsfehlern, der Rückfall auf unverschlüsselte Verbindungen oder wiederholte STARTTLS-Fehler können ebenfalls auf Störungen während der Übertragung hinweisen.

Ein weiterer Indikator ist ein inkonsistentes Mail-Routing-Verhalten. E-Mails scheinen möglicherweise über unbekannte Server zu laufen, oder Protokolle zeigen Verbindungen zu Hosts, die nicht mit den veröffentlichten MX-Einträgen des vorgesehenen Empfängers übereinstimmen. In fortgeschritteneren Fällen kommen Nachrichten verändert, gekürzt oder ohne klare Erklärung über Zwischensysteme weitergeleitet an.

Die Erkennung hängt stark von der Sichtbarkeit ab. Die Überwachung von SMTP-Verbindungsprotokollen hilft dabei, wiederholte Verschlüsselungsfehler oder Zertifikatsinkongruenzen zu identifizieren. TLS-RPT fügt eine weitere Ebene hinzu, indem es Berichte bereitstellt, wenn Server keine sicheren TLS-Verbindungen herstellen können, und Probleme wie Downgrade-Versuche, ungültige Zertifikate oder Fehler bei der Durchsetzung von Richtlinien kennzeichnet. 

All diese Signale helfen dabei, MITM-Aktivitäten aufzudecken, die beim normalen E-Mail-Verkehr sonst verborgen blieben.

Die MTA-STS-Richtlinien-Datei

Die MTA-STS-Richtliniendatei ist im Wesentlichen eine einfache Textdatei, die wie folgt aussieht:

Version: STSv1
Modus: Erzwingen
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
max_age: 604800

Hinweis: Das Versionsfeld muss am Anfang der Textdatei stehen, während die anderen Felder in beliebiger Reihenfolge eingefügt werden können.

Die Richtliniendatei verwendet Schlüssel-Wert-Paare, wobei jeder Wert wie oben gezeigt in einer separaten Zeile der Textdatei kodiert ist. Die Größe dieser Datei kann bis zu 64 KB betragen. Der Name der Richtliniendatei muss mta-sts.txt lauten. Richtliniendateien müssen jedes Mal aktualisiert werden, wenn Sie Mailserver in Ihrer Domain hinzufügen oder ändern.

Hinweis: Die Einstellung von MTA-STS auf den Erzwingungsmodus kann dazu führen, dass Ihnen einige E-Mails nicht zugestellt werden. Daher ist es ratsam, den Richtlinienmodus stattdessen auf Testing zu setzen und sich für ein niedriges max_age zu entscheiden, um sicherzustellen, dass alles korrekt funktioniert, bevor Sie in den Enforce-Modus wechseln. Wir empfehlen, TLS-RPT für Ihre Richtlinie auch im Testmodus einzurichten, um benachrichtigt zu werden, falls E-Mails im Klartext gesendet werden. 

MTA-STS-Policy

So veröffentlichen Sie die MTA-STS-Richtliniendatei

Um die MTA-STS-Richtliniendatei zu veröffentlichen, muss der Webserver, der Ihre Datei hostet, Folgendes tun:

  • Unterstützt HTTPS/SSL

    Die Richtliniendatei muss über einen HTTPS-fähigen Webserver bereitgestellt werden, um sicherzustellen, dass sie von den sendenden Mailservern sicher abgerufen werden kann.

  • Verwenden Sie ein Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

    Das Serverzertifikat muss von einer unabhängigen Stammzertifizierungsstelle signiert und validiert sein, damit sendende MTAs die Quelle der Richtlinie authentifizieren können.

  • Die Datei auf einer dedizierten mta-sts-Subdomain hosten

    Ein öffentlicher Webserver muss mit der Subdomain mta-sts eingerichtet werden, die Ihrer Domain hinzugefügt wird und ausschließlich für die Veröffentlichung der MTA-STS-Richtlinie verwendet wird.

  • Legen Sie die Konfigurationsdatei im erforderlichen Verzeichnis ab.

    Die Policy-Datei muss den Namen „mta-sts.txt“ tragen und im Verzeichnis „.well-known“ der Subdomain „mta-sts“ veröffentlicht werden.

  • Stellen Sie sicher, dass die Richtliniendatei unter der richtigen URL öffentlich zugänglich ist.

    Sende-MTAs müssen in der Lage sein, die Datei von einem Speicherort im Format
    https://mta-sts.yourdomain.com/.well-known/mta-sts.txt ohne Authentifizierung oder Weiterleitungen abzurufen.

gehostet MTA STS

MTA-STS DNS-Eintrag

Ein TXT-DNS-Eintrag für MTA-STS wird im DNS Ihrer Domain veröffentlicht, um anzugeben, dass Ihre Domain das MTA-STS-Protokoll unterstützt, und um zu signalisieren, dass die zwischengespeicherten Werte in den MTAs aktualisiert werden, falls die Richtlinie geändert wird. Der MTA-STS-DNS-Eintrag wird in der Subdomain _mta-sts wie in: _mta-sts.powerdmarc.com. Der TXT-Eintrag muss mit v=STSv1 beginnen, und der "id" Wert kann bis zu 32 alphanumerische Zeichen enthalten, die auf folgende Weise eingeschlossen werden:

 v=STSv1; id=30271001S00T000;

Hinweis: Der Wert der TXT-Datensatz-ID muss jedes Mal auf einen neuen Wert aktualisiert werden, wenn Sie Änderungen an der Richtlinie vornehmen. 

Der MTA-STS DNS-Eintrag wird verwendet, um: 

  • Legen Sie die Unterstützung für MTA-STS für die Domäne fest
  • Signalisieren Sie dem MTA, dass er die Richtlinie über HTTPS erneut abrufen soll, falls die Richtlinie geändert wird

Beachten Sie, dass mit dem MTA-STS-TXT-DNS-Eintrag die Richtliniendatei von MTAs über einen längeren Zeitraum gespeichert werden kann, ohne dass die Richtlinie erneut abgerufen werden muss, sofern sie nicht geändert wurde, während weiterhin jedes Mal eine DNS-Abfrage durchgeführt wird, wenn eine E-Mail für die Domain empfangen wird.

MTA-STS für Ihre Domäne konfigurieren

Um MTA-STS für Ihre Domain zu aktivieren, müssen Sie Folgendes tun:

  • Fügen Sie einen DNS-Eintrag vom Typ cname unter mta-sts.beispiel.deein, der auf den HTTPS-fähigen Webserver gerichtet ist, der die MTA-STS-Richtliniendatei hostet.

  • Fügen Sie einen DNS-Eintrag vom Typ txt oder cname unter _mta-sts.beispiel.com der die Unterstützung für MTA-STS für Ihre Domain angibt.

  • Richten Sie einen HTTPS-fähigen Webserver mit einem gültigen Zertifikat für Ihre Domain ein.

  • Aktivieren Sie SMTP-TLS-Reporting für Ihre Domain, um Probleme bei der E-Mail-Zustellung aufgrund von Fehlern bei der TLS-Verschlüsselung zu erkennen.

spf-datensatz-nachschlage-symbol powerdmarc

Herausforderungen bei der manuellen Bereitstellung von MTA-STS

Die manuelle Bereitstellung von MTA-STS umfasst mehr als nur die Veröffentlichung eines einzelnen DNS-Eintrags. Sie erfordert die Koordination von Webinfrastruktur, Zertifikaten, Richtlinien und laufender Wartung, was bei unsorgfältiger Verwaltung zu mehreren Herausforderungen führen kann.

  • Anforderung an einen HTTPS-fähigen Webserver

    MTA-STS-Richtlinien müssen auf einem öffentlich zugänglichen HTTPS-Server mit einem gültigen TLS-Zertifikat gehostet werden. Dies erfordert die Bereitstellung der Infrastruktur, die korrekte Konfiguration von TLS, die rechtzeitige Erneuerung von Zertifikaten und die Gewährleistung einer hohen Verfügbarkeit.

    Lösung: Unternehmen mit begrenzter Webinfrastruktur können die Komplexität reduzieren, indem sie einen gehosteten MTA-STS-Dienst nutzen, der Server und Zertifikate automatisch verwaltet.

  • Laufende Pflege der Richtliniendatei

    Jede Änderung an der Mailserverkonfiguration erfordert eine Aktualisierung der MTA-STS-Richtliniendatei. Wenn die Datei veraltet ist, kann es vorkommen, dass legitime E-Mails nicht zugestellt werden, sobald die Durchsetzung aktiviert ist.

    Lösung: Zentralisierte Richtlinienverwaltung oder automatisierte Tools tragen dazu bei, dass Updates sofort und präzise angewendet werden.

  • DNS-Eintrag-Aktualisierungen und Versionskontrolle

    Der MTA-STS-TXT-Eintrag muss bei jeder Änderung der Richtlinie mit einem neuen ID-Wert aktualisiert werden. Fehlende oder falsche Aktualisierungen können die Aktualisierung der Richtlinie verzögern und zu einer inkonsistenten Durchsetzung führen.

    Lösung: Automatisierung reduziert das Risiko menschlicher Fehler und sorgt dafür, dass DNS-Einträge mit Änderungen der Richtlinien übereinstimmen.

  • Begrenzte Transparenz bei Lieferausfällen

    Ohne TLS-RPT können Probleme bei der Zustellung im Zusammenhang mit der Verschlüsselung unentdeckt bleiben. Selbst wenn TLS-RPT aktiviert ist, können unformatierte JSON-Berichte ohne Fachwissen schwer zu interpretieren sein.

    Lösung: Berichtsplattformen, die TLS-Berichte analysieren und visualisieren, erleichtern die Erkennung von Fehlern und ermöglichen eine schnelle Reaktion.

  • Höhere Betriebskosten und Koordinationsaufwand

    Die manuelle Bereitstellung erfordert die Koordination zwischen DNS-, E-Mail- und Sicherheitsteams, was das Risiko von Fehlkonfigurationen und Verzögerungen erhöht.

    Lösung: Teams sollten prüfen, ob sie über die Zeit und das Fachwissen verfügen, um MTA-STS langfristig zu warten, oder ob ein verwalteter Ansatz besser zu ihren betrieblichen Prioritäten passt.

So testen und validieren Sie Ihre MTA-STS-Konfiguration

Das Testen ist ein wichtiger Schritt, bevor eine MTA-STS-Richtlinie in den Durchsetzungsmodus versetzt wird. Sobald die Durchsetzung aktiviert ist, werden sendende Server angewiesen, die Zustellung von E-Mails abzulehnen, wenn keine sichere TLS-Verbindung hergestellt werden kann. Ohne ordnungsgemäße Validierung können Konfigurationsfehler zu unbeabsichtigtem Nachrichtenverlust führen, sodass sorgfältige Tests für die Aufrechterhaltung einer zuverlässigen E-Mail-Zustellung unerlässlich sind.

  • DNS-Propagierungsprüfungen

    Nachdem Sie den MTA-STS-TXT-Eintrag und die zugehörigen DNS-Einträge veröffentlicht haben, überprüfen Sie, ob diese über öffentliche DNS-Resolver korrekt aufgelöst werden. Eine unvollständige oder verzögerte Weitergabe kann dazu führen, dass sendende Server auf veraltete oder zwischengespeicherte Richtlinien zurückgreifen, was zu inkonsistentem Verhalten während der Zustellung führt.

  • Zugänglichkeit von Richtliniendateien

    Überprüfen Sie, ob die MTA-STS-Richtliniendatei über HTTPS an der erwarteten Stelle in der Subdomain „mta-sts“ zugänglich ist. Die Datei sollte ohne Weiterleitungen, Authentifizierungsanforderungen oder Zertifikatsfehler erreichbar sein. Jede Unterbrechung des Zugriffs kann dazu führen, dass sendende Server die Richtlinie nicht abrufen können.

  • TLS-Unterstützungsüberprüfung

    Stellen Sie sicher, dass alle in der Richtlinie aufgeführten MX-Hosts TLS unterstützen und gültige Zertifikate vorweisen, die den Anforderungen der Richtlinie entsprechen. Eine erfolgreiche TLS-Aushandlung gewährleistet, dass verschlüsselte Verbindungen nach Aktivierung der Durchsetzung konsistent hergestellt werden können.

Die gehosteten MTA-STS-Dienste von PowerDMARC

PowerDMARC macht Ihnen das Leben um einiges leichter, indem es all das für Sie erledigt, komplett im Hintergrund. Sobald wir Ihnen bei der Einrichtung helfen, müssen Sie nie wieder darüber nachdenken.

  • Wir helfen Ihnen, Ihre cname-Datensätze mit nur wenigen Klicks zu veröffentlichen

  • Wir übernehmen die Verantwortung für die Wartung des Webservers und das Hosting der Zertifikate

  • Durch unsere gehosteten MTA-STS-Dienste reduziert sich die Bereitstellung auf Ihrer Seite auf die Veröffentlichung einiger weniger DNS-Einträge

  • Sie können MTA-STS-Richtlinienänderungen sofort und einfach über das PowerDMARC-Dashboard vornehmen, ohne manuell Änderungen am DNS vornehmen zu müssen

  • Die gehosteten MTA-STS-Dienste von PowerDMARC sind RFC-konform und unterstützen die neuesten TLS-Standards

  • Von der Generierung von Zertifikaten und der MTA-STS-Richtliniendatei bis hin zur Durchsetzung von Richtlinien helfen wir Ihnen dabei, die enorme Komplexität zu umgehen, die mit der Einführung des Protokolls verbunden ist.

SMTP TLS-Berichterstattung (TLS-RPT)

Um die Verbindung zwischen zwei kommunizierenden SMTP-Servern sicherer zu machen und über TLS zu verschlüsseln, wurde MTA-STS eingeführt, um die Verschlüsselung durchzusetzen und zu verhindern, dass E-Mails im Klartext zugestellt werden, wenn keine sichere Verbindung hergestellt werden kann. Ein Problem bleibt jedoch ungelöst: Wie können Domain-Besitzer benachrichtigt werden, wenn Remote-Server aufgrund von TLS-Fehlern Probleme bei der E-Mail-Zustellung haben? Hier kommt TLS-RPT ins Spiel, das MTA-STS ergänzt, indem es Diagnoseberichte bereitstellt, die die Überwachung und Fehlerbehebung bei Serverkommunikationsproblemen unterstützen, wie z. B. abgelaufene TLS-Zertifikate, Fehlkonfigurationen des Mail-Servers oder fehlgeschlagene TLS-Verhandlungen.

TLS Reports helfen dabei, Probleme bei der E-Mail-Zustellung durch einen Berichtsmechanismus in Form von JSON-Dateien zu erkennen und darauf zu reagieren. Diese JSON-Dateien können kompliziert und für eine nichttechnische Person unentzifferbar sein.

PowerDMARC hilft Ihnen dabei, die JSON-Dateien in Form von einfachen, umfassenden und lesbaren Dokumenten mit Diagrammen und Tabellen zu vereinfachen. Die Diagnoseberichte für Ihre Domain werden ebenfalls in zwei Formaten auf dem PowerDMARC-Dashboard angezeigt:pro Ergebnis und pro Absenderquelle.

 

powerdmarc tls rpt

Was TLS-RPT macht

TLS-RPT dient dazu, Fehler bei der E-Mail-Zustellung im Zusammenhang mit der TLS-Verschlüsselung zwischen Mail-Servern zu melden. Sein Hauptzweck besteht darin, Domain-Inhabern Einblick in Situationen zu geben, in denen Nachrichten nicht sicher zugestellt werden können, und so dabei zu helfen, Probleme zu identifizieren, die bei der normalen SMTP-Kommunikation verborgen bleiben würden.

Anhand dieser Berichte hilft TLS-RPT dabei, Probleme wie fehlgeschlagene TLS-Verhandlungen zwischen sendenden und empfangenden Servern, abgelaufene oder ungültige TLS-Zertifikate und Konfigurationsfehler auf beiden Seiten des E-Mail-Austauschs zu identifizieren. Diese Erkenntnisse ermöglichen es Administratoren, genau zu bestimmen, wo die Verschlüsselung versagt, und Korrekturmaßnahmen zu ergreifen.

TLS-RPT-Berichte werden von konformen Mail Transfer Agents erstellt und in der Regel täglich versendet. Sie bieten einen kontinuierlichen Überblick über den Zustand der sicheren E-Mail-Zustellung.

json-Diagramme

So aktivieren Sie es

TLS-RPT wird durch die Veröffentlichung eines DNS-TXT-Eintrags am erforderlichen Speicherort _smtp._tls für Ihre Domain aktiviert. Dieser Eintrag signalisiert die Unterstützung für TLS-Berichte und gibt das Ziel an, an das Diagnoseberichte gesendet werden sollen.

Der TXT-Eintrag definiert eine oder mehrere Berichtsadressen, in der Regel E-Mail- oder HTTPS-Endpunkte, die konforme Mailserver zum Senden von TLS-RPT-Daten verwenden. Sobald der Eintrag eingerichtet ist, beginnt die Berichterstattung automatisch, ohne dass Änderungen am Verhalten des Mailserver vorgenommen werden müssen.

TLS-RPT kann manuell konfiguriert werden, indem der TXT-Eintrag direkt zum DNS hinzugefügt wird, oder über Plattformen, die eine UI-basierte Einrichtung bieten. Die Verwendung einer verwalteten Schnittstelle vereinfacht die Bereitstellung, da die Erstellung und Validierung von Einträgen für Sie übernommen wird, wodurch das Risiko von Syntaxfehlern oder Fehlkonfigurationen verringert wird.

Mehr lesen

Sichern des E-Mail-Transports mit MTA-STS

E-Mails sind nach wie vor ein wichtiger Kommunikationskanal, aber ohne erzwungene Verschlüsselung sind sie anfällig für Downgrade- und MITM-Angriffe, durch die der Inhalt von Nachrichten offengelegt oder die Zustellung gestört werden kann. Der Schutz von E-Mails während der Übertragung ist unerlässlich, um die Vertraulichkeit zu wahren und das Vertrauen zwischen sendenden und empfangenden Mail-Servern aufrechtzuerhalten.

MTA-STS verbessert den E-Mail-Transport, indem es TLS-Verschlüsselung verlangt und die Zustellung ablehnt, wenn keine sichere Verbindung hergestellt werden kann. Durch die Abschaffung der Ausweichmöglichkeit auf unverschlüsselte Kommunikation wird sichergestellt, dass Nachrichten nur über authentifizierte und geschützte Kanäle zugestellt werden, was die Konsistenz und Zuverlässigkeit beim Austausch zwischen Servern verbessert.

Die erfolgreiche Einführung von MTA-STS hängt von einer sorgfältigen Vorbereitung ab. Richtlinien müssen genau konfiguriert, die unterstützende Infrastruktur muss validiert und die Durchsetzung sollte nach gründlichen Tests schrittweise eingeführt werden. Das Überspringen dieser Schritte kann zu unbeabsichtigten Zustellungsfehlern führen, insbesondere wenn Richtlinien zu schnell in den Durchsetzungsmodus versetzt werden.

Bevor die Durchsetzung aktiviert wird, sollten Unternehmen ihre aktuelle E-Mail-Sicherheitslage überprüfen, die TLS-Bereitschaft auf allen Mail-Servern bestätigen und sicherstellen, dass DNS- und Richtliniendateien korrekt veröffentlicht sind. Eine kontinuierliche Überwachung und regelmäßige Validierung bleiben auch langfristig wichtig, da sich Serverkonfigurationen ändern und Zertifikate ablaufen. So kann sichergestellt werden, dass MTA-STS-Richtlinien den E-Mail-Versand weiterhin wirksam schützen.

Häufig gestellte Fragen

Mit dem Control Panel von PowerDMARC können Sie automatisch MTA-STS und TLS-RPT für Ihre Domain einrichten, indem Sie nur drei CNAME-Einträge im DNS Ihrer Domain veröffentlichen. Vom Hosting der MTAS-STS-Richtliniendateien und -Zertifikate bis hin zur Wartung des Webservers kümmern wir uns um alles im Hintergrund, ohne dass Sie irgendwelche Änderungen an Ihrem DNS vornehmen müssen. Die Bereitstellung von MTA-STS Ihrerseits wird mit PowerDMARC auf wenige Klicks reduziert.

Sie können MTA-STS für alle Ihre Domänen über Ihr PowerDMARC-Konto bereitstellen und verwalten, und zwar über eine einzige Glasscheibe. Falls eine dieser Domänen Empfangs-Mailserver verwendet, die STARTTLS nicht unterstützen, wird dies in Ihren TLS-Berichten angezeigt, sofern Sie TLS-RPT für diese Domänen aktiviert haben.

Es ist immer ratsam, den MTA-STS-Richtlinienmodus auf Testen zu setzen, damit Sie die Aktivitäten überwachen und einen Einblick in Ihr E-Mail-Ökosystem gewinnen können, bevor Sie zu einer aggressiveren Richtlinie wie "Erzwingen" wechseln. Auf diese Weise würden die E-Mails, auch wenn sie nicht über eine TLS-verschlüsselte Verbindung gesendet werden, im Klartext gesendet. Stellen Sie jedoch sicher, dass Sie TLS-RPT aktivieren, um benachrichtigt zu werden, wenn dies geschieht.

TLS-RPT ist ein umfangreicher Berichtsmechanismus, mit dem Sie benachrichtigt werden können, wenn eine gesicherte Verbindung nicht hergestellt werden konnte und die E-Mail nicht zugestellt werden konnte. Dies hilft Ihnen, Probleme bei der E-Mail-Zustellung oder E-Mails, die über eine ungesicherte Verbindung zugestellt wurden, zu erkennen, so dass Sie diese umgehend entschärfen und beheben können.

Sie müssen beachten, dass MTA-STS zwar sicherstellt, dass E-Mails über eine TLS-verschlüsselte Verbindung übertragen werden, aber wenn keine gesicherte Verbindung ausgehandelt wird, kann es sein, dass die E-Mail gar nicht zugestellt wird. Dies ist jedoch notwendig, da es sicherstellt, dass E-Mails nicht über einen unverschlüsselten Weg zugestellt werden. Um solche Probleme zu vermeiden, ist es ratsam, eine MTA-STS-Richtlinie in einem Testmodus einzurichten und zunächst TLS-RPT für Ihre Domäne zu aktivieren, bevor Sie zum MTA-STS-Erzwingungsmodus übergehen. 

Sie können Ihren MTA-STS-Modus einfach über das PowerMTA-STS-Dashboard ändern, indem Sie den gewünschten Richtlinienmodus auswählen und die Änderungen speichern, ohne dass Sie Änderungen an Ihrem DNS vornehmen müssen.

Sie können MTA-STS für Ihre Domain deaktivieren, indem Sie entweder den Richtlinienmodus auf „Keine“ setzen und damit den MTAs mitteilen, dass Ihre Domain das Protokoll nicht unterstützt, oder indem Sie Ihren MTA-STS-DNS-TXT-Eintrag löschen. 

Die MX-Einträge für die MTA-STS-Richtliniendatei sollten die Einträge für alle empfangenden Mailserver enthalten, die von Ihrer Domain verwendet werden.

Planen Sie noch heute eine Demo
sichere E-Mail-Powerdmarc

15-Tage-TestDemo buchen