Compliance · BSI
BSI TR-03108 und sicherer E-Mail-Transport.
Die Technische Richtlinie des BSI definiert Mindestanforderungen für E-Mail-Transport-Sicherheit. Hier sehen Sie, welche Anforderungen Mailantis direkt erfüllt — und wo Sie zusätzlich aktiv werden müssen.
BSI TR-03108 · M3.1
TLS-Erzwingung erfüllt
- MTA-STS
- mode=enforce · max_age=1 Woche
- TLS-RPT
- aktiv · rua=mailto:[email protected]
- DANE
- provider-abhängig (z. B. deSEC)
- Cert läuft ab
- 09.08.2026 (82 Tage)
_mta-sts.demo-kunde.at TXT "v=STSv1; id=20260318094215Z"
Kontext
Worum es in der TR-03108 geht
Die BSI TR-03108 "Sicherer E-Mail-Transport" ist die maßgebliche Richtlinie des deutschen Bundesamts für Sicherheit in der Informationstechnik. Sie beschreibt detaillierte Anforderungen für Mail-Transfer-Agents (MTAs), die einen "hohen" oder "sehr hohen" Schutzbedarf abdecken müssen.
Während die Richtlinie primär an Betreiber von Mailservern gerichtet ist, hat sich ihre Anwendung in der Praxis ausgeweitet: viele KRITIS-Audits und Behörden-Beschaffungen verweisen explizit auf die TR-03108 als Soll-Standard.
Die wichtigsten Säulen sind verpflichtende TLS-Verschlüsselung, MTA-STS in mode=enforce, DANE bei DNSSEC-fähiger Zone sowie korrekt konfigurierte DMARC-, SPF- und DKIM-Records — exakt der Bereich, den Mailantis abdeckt.
Mapping-Tabelle
TR-03108-Anforderung ↔ Mailantis-Feature
| Abschnitt | Anforderung (Kurzform) | Mailantis-Feature | Status |
|---|---|---|---|
| §3.1 | TLS 1.2+ für ein- und ausgehende SMTP-Verbindungen | TLS-RPT-Aggregator erkennt nicht-konforme Verbindungen | erfüllt (Monitoring) |
| §3.3 | MTA-STS-Policy in mode=enforce | Policy-Hosting auf EU-CDN, Wizard testing → enforce | erfüllt |
| §3.4 | DANE-Validierung wenn DNSSEC verfügbar | DNSSEC-Status-Check, DANE-Empfehlung im Audit | teilweise (DNS-Provider) |
| §4.1 | SPF-Record syntaktisch korrekt, < 10 Lookups | Lookup-Counter, Include-Tree, Drift-Erkennung | erfüllt |
| §4.2 | DKIM-Signatur, RSA ≥ 2048 oder Ed25519 | Multi-Selector-Audit, Key-Length-Check, Rotation-Reminder | erfüllt |
| §4.3 | DMARC-Policy mind. p=quarantine | Policy-Wizard mit Verschärfung in 4 Phasen | erfüllt |
| §5 | Reporting und Auditierbarkeit | PDF-Reports, Audit-Log, Konfigurations-History | erfüllt |
| §6 | Schwachstellen-Management | Continuous Monitoring, Alert-Engine bei Drift | erfüllt |
Hinweis zu §3.4 (DANE): DANE setzt eine DNSSEC-signierte Zone voraus. Die Signierung erfolgt bei Ihrem DNS-Provider (Provider-abhängig — z. B. deSEC unterstützt DNSSEC, viele große CDN-Anbieter nicht). Mailantis monitort den Status und liefert Empfehlungen — die DNSSEC-Aktivierung selbst liegt außerhalb unseres Scopes. Hinweis zu §3.1 (TLS): Mailantis betreibt selbst keinen MTA — der TLS-Betrieb liegt bei Ihrem Mail-Provider (M365, Google, eigener Server). Wir monitoren via TLS-RPT die ankommenden Reports.
FAQ
Häufige Fragen zu BSI TR-03108
Was ist die BSI TR-03108 genau?
Eine technische Richtlinie des deutschen BSI für sicheren E-Mail-Transport. Verpflichtend für Behörden und KRITIS-Betreiber, empfohlen für alle Organisationen mit hohem Schutzbedarf. Aktuelle Version 1.0.4 (2024).
Wer muss TR-03108 umsetzen?
Bundesbehörden, KRITIS-Betreiber im Geltungsbereich des BSI-Gesetzes, sowie Auftragnehmer der öffentlichen Hand. Empfohlen für Banken, Versicherungen, Gesundheitswesen, Energie.
Welche Mindestanforderungen stellt TR-03108 an MTAs?
TLS 1.2+ für ein-/ausgehende Verbindungen, MTA-STS-Policy in mode=enforce, DANE-Validierung wenn DNSSEC verfügbar, DMARC mit p=quarantine oder strenger, korrekte SPF- und DKIM-Records.
Erfüllt Mailantis TR-03108 vollständig?
Mailantis erfüllt die DNS-/DMARC-/SPF-/DKIM-/MTA-STS-Anforderungen. Die DANE-Anforderung setzt DNSSEC voraus — Mailantis monitort den DNSSEC-Status, die Signierung selbst liegt bei Ihrem DNS-Provider.
Ist Mailantis BSI-zertifiziert?
Mailantis selbst ist nicht BSI-zertifiziert (das wäre eine Produkt-Zertifizierung). Wir helfen Ihnen, die TR-03108-Anforderungen für Ihre Domain zu erfüllen — die Zertifizierung der Behörde betrifft den Betreiber, nicht die Software.
BSI-konformer E-Mail-Transport.
MTA-STS-Hosting + DMARC-Wizard + Reporting in einem Paket.