Ein weithin bekannter Internet-Standard zur Verbesserung der Sicherheit von Verbindungen zwischen SMTP-Servern (Simple Mail Transfer Protocol) ist der SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS behebt bestehende Probleme bei SMTP E-Mail-Sicherheit indem es die TLS-Verschlüsselung während der Übertragung erzwingt. Die Verschlüsselung ist bei SMTP optional, was bedeutet, dass E-Mails im Klartext gesendet werden können. MTA-STS ermöglicht es Anbietern von E-Mail-Diensten, Transport Layer Security (TLS) zur Sicherung von SMTP-Verbindungen zu erzwingen und festzulegen, ob die sendenden SMTP-Server die Zustellung von E-Mails an MX-Hosts verweigern sollen, die TLS nicht mit einem zuverlässigen Server-Zertifikat unterstützen. Es hat sich gezeigt, dass TLS-Downgrade-Angriffe und Man-In-The-Middle-Angriffe (MITM) erfolgreich abgewehrt werden können.
Wichtigste Erkenntnisse
- SMTP war anfangs unsicher, wurde dann mit STARTTLS verschlüsselt, blieb aber anfällig für MITM- und Downgrade-Angriffe.
- MTA-STS erhöht die E-Mail-Sicherheit, indem es TLS-Verschlüsselung für die Server-zu-Server-Kommunikation vorschreibt und Rückgriffe auf Klartext verhindert.
- Die Implementierung umfasst eine über HTTPS gehostete Richtliniendatei und einen DNS-Eintrag, in dem Regeln und vertrauenswürdige Mailserver definiert werden.
- MTA-STS arbeitet in verschiedenen Modi (None, Testing, Enforce), die eine schrittweise Einführung und Durchsetzung von Verschlüsselungsrichtlinien ermöglichen.
- TLS-RPT ergänzt MTA-STS, indem es Diagnoseberichte zu TLS-Verbindungsfehlern liefert, die die Fehlersuche erleichtern und die Zustellbarkeit verbessern.
Die Geschichte und der Ursprung von MTA-STS
Im Jahr 1982 wurde SMTP zum ersten Mal spezifiziert und enthielt keinen Mechanismus für die Bereitstellung von Sicherheit auf der Transportebene, um die Kommunikation zwischen den Mail Transfer Agents zu sichern. Im Jahr 1999 wurde jedoch der Befehl STARTTLS zu SMTP hinzugefügt, der wiederum die Verschlüsselung von E-Mails zwischen den Servern unterstützte und die Möglichkeit bot, eine unsichere Verbindung in eine sichere umzuwandeln, die mit dem TLS-Protokoll verschlüsselt ist.
In diesem Fall werden Sie sich fragen, ob SMTP STARTTLS zur Sicherung von Verbindungen zwischen Servern eingeführt hat, warum der Wechsel zu MTA-STS erforderlich war und was er überhaupt bewirkt hat. Darauf gehen wir in den folgenden Abschnitten dieses Blogs ein!
Vereinfachen Sie die Sicherheit mit PowerDMARC!
Was ist MTA-STS? (Mail Transfer Agent Strict Transport Security - Erklärt)
MTA-STS steht für Mail Transfer Agent - Strict Transport Security. Es handelt sich um einen Sicherheitsstandard, der die sichere Übertragung von E-Mails über eine verschlüsselte SMTP-Verbindung gewährleistet. Das Akronym MTA steht für Message Transfer Agent, ein Programm, das E-Mail-Nachrichten zwischen Computern überträgt. Die Abkürzung STS steht für Strict Transport Security, das Protokoll, das zur Umsetzung des Standards verwendet wird. Ein MTA-STS-fähiger Mail Transfer Agent (MTA) oder Secure Message Transfer Agent (SMTA) arbeitet gemäß dieser Spezifikation und bietet einen sicheren End-to-End-Kanal für den Versand von E-Mails über ungesicherte Netzwerke.
Das MTA-STS-Protokoll ermöglicht es einem SMTP-Client, die Identität des Servers zu überprüfen und sicherzustellen, dass er sich nicht mit einem Betrüger verbindet, indem er den Server auffordert, seinen Zertifikatsfingerabdruck im TLS-Handshake bereitzustellen. Der Client überprüft dann das Zertifikat anhand eines Vertrauensspeichers, der Zertifikate bekannter Server enthält.
Einführung von MTA-STS Email Security
MTA-STS wurde eingeführt, um die Sicherheitslücke in der SMTP-Kommunikation zu schließen. Als Sicherheitsstandard gewährleistet MTA-STS die sichere Übertragung von E-Mails über eine verschlüsselte SMTP-Verbindung.
Das Akronym MTA steht für Message Transfer Agent, ein Programm, das E-Mail-Nachrichten zwischen Computern überträgt. Das Akronym STS steht für Strict Transport Security, das Protokoll, das zur Umsetzung des Standards verwendet wird. Ein MTA-STS-fähiger Mail Transfer Agent (MTA) oder Secure Message Transfer Agent (SMTA) arbeitet gemäß dieser Spezifikation und bietet einen sicheren End-to-End-Kanal für den Versand von E-Mails über ungesicherte Netzwerke.
Das MTA-STS-Protokoll ermöglicht es einem SMTP-Client, die Identität des Servers zu überprüfen und sicherzustellen, dass er sich nicht mit einem Betrüger verbindet, indem er den Server auffordert, seinen Zertifikatsfingerabdruck im TLS-Handshake bereitzustellen. Der Client überprüft dann das Zertifikat anhand eines Vertrauensspeichers, der Zertifikate bekannter Server enthält.
Die Notwendigkeit der Umstellung auf erzwungene TLS-Verschlüsselung
STARTTLS war nicht perfekt und konnte zwei Hauptprobleme nicht lösen: Erstens ist es eine optionale Maßnahme, so dass STARTTLS keine Man-in-the-Middle-Angriffe (MITM) verhindern kann. Dies liegt daran, dass ein MITM-Angreifer eine Verbindung leicht verändern und die Aktualisierung der Verschlüsselung verhindern kann. Das zweite Problem ist, dass es selbst bei der Implementierung von STARTTLS keine Möglichkeit gibt, die Identität des sendenden Servers zu authentifizieren, da SMTP Mailserver keine Zertifikate validieren.
Während die meisten ausgehenden E-Mails heute mit Transport Layer Security (TLS) Verschlüsselung gesichert sind, einem Industriestandard, der sogar von Privatkunden-E-Mails übernommen wurde, können Angreifer Ihre E-Mails immer noch behindern und manipulieren, noch bevor sie verschlüsselt werden. Da die Sicherheit in SMTP nachgerüstet werden musste, um es abwärtskompatibel zu machen, indem der STARTTLS-Befehl hinzugefügt wurde, um die TLS-Verschlüsselung zu initiieren, fällt die Kommunikation in den Klartext zurück, wenn der Client TLS nicht unterstützt. Auf diese Weise können E-Mails während der Übertragung Opfer von allgegenwärtigen Überwachungsangriffen wie MITM werden, bei denen Cyberkriminelle Ihre Nachrichten abhören und Informationen verändern und manipulieren können, indem sie den Verschlüsselungsbefehl (STARTTLS) ersetzen oder löschen, so dass die Kommunikation in den Klartext zurückfällt. Ein MITM-Angreifer kann den STARTTLS-Befehl einfach durch einen Müllstring ersetzen, den der Client nicht erkennen kann. Daher kann der Client die E-Mail ohne weiteres wieder im Klartext senden. Wenn Sie Ihre E-Mails nicht über eine sichere Verbindung übertragen, können Ihre Daten gefährdet oder sogar von einem Cyber-Angreifer verändert und manipuliert werden.
Hier setzt MTA-STS an und behebt dieses Problem, indem es eine sichere Übertragung Ihrer E-Mails garantiert und MITM-Angriffe erfolgreich abwehrt. MTA-STS erzwingt, dass die E-Mails über einen TLS-verschlüsselten Weg übertragen werden. Kann keine verschlüsselte Verbindung hergestellt werden, wird die E-Mail gar nicht zugestellt, sondern im Klartext übertragen. Darüber hinaus speichern MTAs MTA-STS-Richtliniendateien, was es für Angreifer schwieriger macht, einen DNS-Spoofing-Angriff. Das Hauptziel ist die Verbesserung der Sicherheit auf Transportebene während der SMTP-Kommunikation und die Gewährleistung des Datenschutzes im E-Mail-Verkehr. Darüber hinaus wird durch die Verschlüsselung ein- und ausgehender Nachrichten die Informationssicherheit erhöht, indem die Kryptographie zum Schutz elektronischer Informationen eingesetzt wird.
MTA-STS mit PowerDMARC einrichten!
Wie funktioniert das MTA-STS?
Das MTA-STS-Protokoll wird über einen DNS-Eintrag bereitgestellt, der angibt, dass ein Mailserver eine Richtliniendatei von einer bestimmten Subdomäne abrufen kann. Diese Richtliniendatei wird über HTTPS abgerufen und mit Zertifikaten authentifiziert, zusammen mit der Liste der Namen der Mailserver des Empfängers. Die Implementierung von MTA-STS ist auf der Seite des Empfängers einfacher als auf der Seite des Absenders, da es von der Mailserver-Software unterstützt werden muss. Einige Mailserver unterstützen MTA-STS, wie z.B. PostFixunterstützen, tun dies nicht alle. Mit MTA-STS können Server angeben, dass sie TLS unterstützen, was es ihnen ermöglicht, die Verbindung zu unterbrechen (d. h. die E-Mail nicht zu senden), wenn die TLS-Upgrade-Verhandlung nicht stattfindet, wodurch ein TLS-Downgrade-Angriff unmöglich wird.
Große Mail-Dienstanbieter wie Microsoft, Oath und Google unterstützen MTA-STS. Googles Gmail hat in letzter Zeit bereits MTA-STS-Richtlinien übernommen. MTA-STS hat die Nachteile bei der Sicherheit von E-Mail-Verbindungen beseitigt, indem es den Prozess der Sicherung von Verbindungen für unterstützte Mailserver einfach und zugänglich gemacht hat.
Die Verbindungen von den Benutzern zu den Mail-Servern sind in der Regel mit dem TLS-Protokoll geschützt und verschlüsselt, trotzdem gab es vor der Einführung von MTA-STS einen Mangel an Sicherheit bei den Verbindungen zwischen Mail-Servern. Da in letzter Zeit das Bewusstsein für E-Mail-Sicherheit gestiegen ist und die großen E-Mail-Anbieter weltweit dies unterstützen, wird erwartet, dass die meisten Serververbindungen in naher Zukunft verschlüsselt werden. Darüber hinaus sorgt MTA-STS dafür, dass Cyberkriminelle in den Netzen nicht in der Lage sind, E-Mail-Inhalte zu lesen.
Die MTA-STS-Richtlinien-Datei
Die MTA-STS-Richtliniendatei ist eine MTA-STS-Konfigurationsdatei im Klartext, die auf dem Webserver einer Domain unter einer HTTPS-URL gehostet wird: Sie definiert Regeln für den Aufbau sicherer Verbindungen zwischen Mail-Servern, erzwingt die TLS-Verschlüsselung und legt Maßnahmen für den Fall fest, dass eine sichere Verbindung nicht hergestellt werden kann.
https://mta-sts.<domain>//.well-known/mta-sts.txt
Struktur der MTA-STS-Richtliniendatei
Felder | Beschreibung | Beispiel |
Version | Die Version des MTA-STS-Richtlinienformats | STS1 |
Modus | Die Durchsetzungsstufe der Richtlinie mit 3 verfügbaren Optionen: keine, testen und durchsetzen | Testen |
mx | Eine Liste der gültigen Mail Exchange (MX)-Server der Domäne | mail.domain.com |
max-age | Die Dauer in Sekunden, für die die Richtlinie von externen Mailservern zwischengespeichert werden soll | 86400 |
Beispiel einer MTA-STS-Richtlinie
Version: STSv1
Modus: Erzwingen
mx: mail.beispiel.com
mx: backupmail.example.com
max_age: 86400
Voraussetzungen für die MTA-STS-Bereitstellung
Bevor Sie mit der Einrichtung Ihres MTA-STS beginnen, benötigen Sie Folgendes:
- Ein registrierter Domänenname
- Gültige TLS-Zertifikate
- TLS-Zertifikate müssen von einer vertrauenswürdigen CA ausgestellt werden
- Die Zertifikate müssen aktuell sein und dürfen nicht abgelaufen sein.
- Es sollte mindestens TLS Version 1.2 oder höher sein
- Ein DNS-TXT-Eintrag für MTA-STS
- HTTPS-Webserver
- Mail-Server für die Verwendung von TLS konfiguriert
- Hostname des Mailservers, der mit den Einträgen im Feld mx Ihrer Policy-Datei übereinstimmt
- Eine Testumgebung oder ein gehosteter MTA-STS-Dienst, um Protokolle zu überwachen und bei Bedarf Anpassungen vorzunehmen
Schritte zum Einrichten von MTA-STS für Ihre Domain
Um MTA-STS für Ihre Domäne einzurichten, können Sie die nachstehenden Schritte ausführen:
- Prüfen Sie, ob Ihre Domäne bereits über MTA-STS-Konfigurationen verfügt. Wenn Sie Google Workspace für Ihre E-Mails verwenden, können Sie dies leicht mit Hilfe dieser Anleitung.
- Erstellen und veröffentlichen Sie eine MTA-STS-Richtlinie, die für jede Domäne separat konfiguriert wird. Die MTA-STS-Richtliniendatei definiert MTA-STS-aktivierte E-Mail-Server, die von dieser Domäne verwendet werden.
- Nachdem Sie Ihre Richtliniendatei erstellt haben, müssen Sie diese Datei auf einen öffentlichen Webserver hochladen, der für Remote-Server leicht zugänglich ist
- Erstellen und veröffentlichen Sie schließlich Ihren MTA-STS-DNS-Eintrag (TXT-Eintrag "_mta-sts"), um den Empfangsservern mitzuteilen, dass Ihre E-Mails TLS-verschlüsselt sein müssen, um als authentisch zu gelten, und dass sie nur dann Zugang zum Posteingang des Empfängers erhalten, wenn dies der Fall ist.
Sobald Sie eine aktive Richtliniendatei haben, erlauben externe Mailserver keinen Zugriff auf E-Mails ohne eine sichere Verbindung.
3 MTA-STS-Richtlinien-Modi: Keine, Testen und Erzwingen
Die drei verfügbaren Werte für die MTA-STS-Richtlinienmodi sind wie folgt
- Keine: Diese Richtlinie macht Ihre MTA-STS-Konfiguration zunichte, da externe Server das Protokoll für die Domäne als inaktiv betrachten.
- Prüfung: Bei dieser Richtlinie werden E-Mails, die über eine unverschlüsselte Verbindung übertragen werden, nicht zurückgewiesen. Stattdessen erhalten Sie bei aktiviertem TLS-RPT weiterhin TLS-Berichte über den Übertragungsweg und das E-Mail-Verhalten.
- Durchsetzen: Bei der Option "Erzwingen" schließlich werden E-Mails, die über eine unverschlüsselte SMTP-Verbindung übertragen werden, von Ihrem Server zurückgewiesen.
MTA-STS bietet Schutz gegen :
- Downgrade-Angriffe
- Man-In-The-Middle-Angriffe (MITM)
- Es löst mehrere SMTP-Sicherheitsprobleme, darunter abgelaufene TLS-Zertifikate, fehlende Unterstützung für sichere Protokolle und Zertifikate, die nicht von zuverlässigen Drittanbietern ausgestellt werden.
TLS-Berichterstattung: Überwachung von E-Mail-Zustellbarkeitslücken nach der MTA-STS-Einrichtung
TLS-RPT (Transport Layer Security Reporting) ist ein Protokoll, das es Domaininhabern ermöglicht, detaillierte Berichte über TLS-Verschlüsselungsfehler in der E-Mail-Kommunikation zu erhalten. TLS Reporting arbeitet in Verbindung mit MTA-STS. Es ermöglicht die Meldung von Problemen bei der TLS-Konnektivität, die bei Anwendungen auftreten, die E-Mails versenden, und die Erkennung von Fehlkonfigurationen. Es ermöglicht die Meldung von E-Mail-Zustellungsproblemen, die auftreten, wenn eine E-Mail nicht mit TLS verschlüsselt ist. Im September 2018 wurde der Standard erstmals in RFC 8460 dokumentiert.
Die wichtigsten Merkmale sind:
- Fehlerberichte: Es liefert detaillierte Berichte über Zustellungsprobleme oder -ausfälle, die durch TLS-Probleme wie abgelaufene Zertifikate oder veraltete TLS-Versionen und TLS-Verschlüsselungsfehler verursacht werden. Sobald Sie TLS-RPT aktivieren, beginnen konforme Mail Transfer Agents damit, Diagnoseberichte über Probleme bei der E-Mail-Zustellung zwischen kommunizierenden Servern an die angegebene E-Mail-Domäne zu senden. Die Berichte werden in der Regel einmal täglich gesendet und enthalten die von den Absendern eingehaltenen MTA-STS-Richtlinien, Verkehrsstatistiken sowie Informationen über Fehler oder Probleme bei der E-Mail-Zustellung.
- Sichtbarkeit: Es hilft Ihnen, Probleme mit Ihrer MTA-STS-Implementierung und der Zustellbarkeit von E-Mails zu überwachen. TLS-RPT bietet eine verbesserte Sichtbarkeit aller Ihrer E-Mail-Kanäle, so dass Sie einen besseren Einblick in alle Vorgänge in Ihrer Domäne erhalten, einschließlich der Nachrichten, die nicht zugestellt werden können.
- Verbesserte E-Mail-Sicherheit: Durch die Behebung von Fehlern bei fehlgeschlagenen TLS-Verschlüsselungsverhandlungen können Sie die Gesamteffizienz Ihrer MTA-STS-Einrichtung verbessern und so Cyberangriffe effektiver verhindern. Darüber hinaus bietet es detaillierte Diagnoseberichte, mit denen Sie das Problem bei der E-Mail-Zustellung identifizieren, an der Wurzel packen und ohne Verzögerung beheben können.
Einfache MTA-STS-Bereitstellung mit PowerDMARC
MTA-STS erfordert einen HTTPS-fähigen Webserver mit einem gültigen Zertifikat, DNS-Einträge und ständige Wartung. Die Implementierung von MTA-STS kann eine mühsame Aufgabe sein, die bei der Einführung mit Komplexität verbunden ist. Von der Erstellung von Richtliniendateien und -einträgen bis hin zur Wartung des Webservers und der Hosting-Zertifikate ist es ein langwieriger Prozess. PowerDMARCs DMARC-Analysator Tool von PowerDMARC erleichtert Ihnen das Leben, indem es all dies für Sie erledigt, und zwar vollständig im Hintergrund. Sobald wir Ihnen bei der Einrichtung helfen, müssen Sie nie wieder darüber nachdenken.
Mit Hilfe von PowerDMARC können Sie Folgendes einsetzen Gehostetes MTA-STS in Ihrer Organisation einsetzen, ohne dass Sie sich um die Verwaltung Ihrer öffentlichen Zertifikate kümmern müssen. Wir helfen Ihnen dabei:
- Veröffentlichen Sie Ihre DNS-CNAME-Einträge mit nur wenigen Klicks
- Aktualisieren und optimieren Sie die Richtlinien für Ihren Eintrag mit einem Klick, ohne auf Ihre DNS-Einstellungen zugreifen zu müssen.
- Überprüfen Sie Ihre Richtlinienversion und die Zertifikatsvalidierung
- Erkennen von Fehlern in der MTA-STS-Richtlinienanwendung
- Hosten Sie Ihre MTA-STS-Richtlinien-Textdatei
- Übernahme der Verantwortung für die Wartung des Webservers der Richtlinie und das Hosting der Zertifikate
- Schnellere Erkennung von Verbindungsfehlern, Verbindungserfolgen und Verbindungsproblemen durch vereinfachte Berichte
- Sicherstellung der RFC-Konformität und Unterstützung der neuesten TLS-Standards
PowerDMARC macht den Prozess der Implementierung von SMTP TLS Reporting (TLS-RPT) einfach und schnell. Wir konvertieren die komplizierten JSON-Dateien mit Ihren Berichten über E-Mail-Zustellungsprobleme in einfache, lesbare Dokumente (pro Ergebnis und pro Sendequelle), die Sie leicht verstehen können.
Registrieren Sie sich noch heute an, um schnell zu erzwingen, dass E-Mails über eine TLS-verschlüsselte Verbindung an Ihre Domain gesendet werden, und um Ihre Verbindung gegen MITM- und andere Cyber-Angriffe zu sichern.
"`
- Was ist DMARC? Ein einfacher Leitfaden zum E-Mail-Schutz - 11. Juli 2025
- Wie man DMARC-Berichte liest: Typen, Tools und Tipps - 10. Juli 2025
- Erstellen und Veröffentlichen eines DMARC-Datensatzes - 3. März 2025