MTA-STS
Ein Mechanismus, der sendende Server zwingt, Mail an Ihre Domain ausschließlich über verschlüsselte TLS-Verbindungen zuzustellen.
MTA Strict Transport Security (MTA-STS, RFC 8461) schließt eine Luecke in der Transportverschlüsselung von E-Mail. Klassisches SMTP nutzt TLS zwar, fällt aber bei Problemen still auf unverschlüsselte Übertragung zurück — ein Einfallstor für Downgrade- und Man-in-the-Middle-Angriffe.
MTA-STS erlaubt einer Domain, eine Policy zu veröffentlichen, die sendende Server anweist, ausschliesslich über gueltiges TLS zuzustellen. Die Policy besteht aus einem DNS-TXT-Record und einer Policy-Datei unter https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt.
Drei Modi sind möglich:
- none — deaktiviert.
- testing — Verstöße werden nur berichtet (per TLS-RPT), nicht erzwungen. Ideal für den Rollout.
- enforce — TLS wird strikt erzwungen; bricht die Verschlüsselung, wird die Mail nicht zugestellt.
Best Practice ist ein schrittweiser Rollout: mindestens 14 Tage im testing-Modus mit TLS-RPT-Auswertung, dann auf enforce umschalten.