MTA Strict Transport Security (RFC 8461) zwingt sendende Server, eingehende Mail an Ihre Domain ausschließlich per TLS zuzustellen. Schutz gegen Downgrade- und MitM-Angriffe.

Was ist der Unterschied zwischen testing und enforce?

Im testing-Modus prüfen Empfänger die Policy, erzwingen aber kein TLS bei Fehlschlägen. Ideal für Rollout. enforce wirft Mails ab, wenn TLS scheitert.

Brauche ich auch TLS-RPT?

Ja, parallel — TLS-RPT (RFC 8460) gibt Ihnen tägliche Berichte über fehlgeschlagene TLS-Verbindungen. Ohne TLS-RPT laufen Sie blind im enforce-Modus.

Wie aktualisiere ich die MTA-STS-Policy?

id-Tag im DNS-TXT erhöhen, Policy-Datei unter /.well-known/mta-sts.txt austauschen. Empfänger lesen die neue Version spätestens nach max_age Sekunden.

MTA-STS-Check

MTA-STS prüfen — wird TLS auch wirklich erzwungen?

Mail Transfer Agent Strict Transport Security verhindert Downgrade-Angriffe auf Ihren Mail-Eingang. Wir prüfen DNS-Record und die HTTPS-Policy in einem Aufruf.

Live MTA-STS-Check

Wir holen den _mta-sts-TXT-Record und zeigen seinen Inhalt. Die HTTPS-Policy-Datei prüfen wir im Selector7-Hauptprodukt zusätzlich kontinuierlich.

Was ist MTA-STS?

MTA-STS (Mail Transfer Agent Strict Transport Security, RFC 8461) ist HSTS für E-Mail. Wer SPF/DKIM/DMARC hat, schützt vor Spoofing — wer MTA-STS hat, schützt zusätzlich vor Downgrade-Angriffen auf den Mailflow selbst.

Ohne MTA-STS können Mitspieler im Netz (BGP-Hijacker, kompromittierte Provider) eingehende Mails auf unverschlüsselte Verbindungen zwingen und mitlesen. Mit MTA-STS auf enforce wird das unterbunden.

Die drei Komponenten

1. DNS-Record

Unter _mta-sts.example.com liegt ein TXT-Record mit v=STSv1; id=<version-tag>. Der id-Tag signalisiert Updates — er muss sich bei jeder Policy-Änderung erhöhen.

2. HTTPS-Policy

Unter https://mta-sts.example.com/.well-known/mta-sts.txt liegt die eigentliche Policy: erlaubte MX-Hosts, Modus (none/testing/enforce), Max-Age.

3. TLS-RPT (optional, aber empfohlen)

Unter _smtp._tls.example.com sagt ein TXT-Record, wohin Empfänger TLS-Berichte schicken sollen. So sehen Sie, wenn Mailflows still und heimlich auf unverschlüsselt zurückfallen.

Die drei Modi

none: MTA-STS deaktiviert. Wird genutzt, um eine bestehende Policy sauber abzuschalten.
testing: Empfänger prüfen die Policy, erzwingen aber kein TLS bei Fehlschlägen. Ideal für Rollout-Phase.
enforce: TLS wird strikt erzwungen. Bricht das Zertifikat, wird die Mail nicht zugestellt. Ziel-Zustand.

Vier Fehler, die wir ständig sehen

Nur DNS-Record, keine HTTPS-Policy

Klassischer Halb-Setup. Empfänger lesen den TXT, holen die Policy unter https://mta-sts… — finden 404 — ignorieren das Ganze. Setup ist vollständig unwirksam.

HTTPS-Policy ohne valides Zertifikat

Die Policy-Domain mta-sts.example.com braucht ein gültiges TLS-Zertifikat (Lets-Encrypt reicht). Ohne valides Zert wird die Policy verworfen.

id-Tag nicht aktualisiert nach Policy-Änderung

Wer die Policy ändert, ohne den id-Tag im DNS-TXT zu erhöhen, riskiert dass Empfänger weiter die alte Cache-Version anwenden — bis zu max_age Sekunden lang.

Direkt auf enforce ohne testing-Phase

Wenn die MX-Konfiguration nicht 100 %ig stimmt, blockiert enforce Mails sofort. Best Practice: mindestens 14 Tage testing, TLS-RPT-Reports auswerten, dann umschalten.

Weitere Tools

Eine Domain hat sieben Auth-Layer — prüfen Sie auch die anderen.

DMARC-Check

SPF-Check

DKIM-Check

BIMI-Check

Bereit für sichere E-Mail-Kommunikation?

14 Tage kostenlos testen. Keine Kreditkarte. Volle Funktionalität. Daten bleiben in Frankfurt, AVV nach deutschem Recht inklusive.

14 Tage kostenlos testen Demo buchen