Produkt · MTA-STS & TLS-RPT

Verschlüsselter Transport, ohne Workaround.

Q: Wer hostet das Policy-File?

Mailantis übernimmt das Hosting unter https://mta-sts. .com/.well-known/mta-sts.txt. Sie setzen einen CNAME im DNS, wir kümmern uns um TLS-Cert, Verfügbarkeit und Updates.

Policy-File-Hosting, TLS-RPT-Aggregation, Failure-Reports lesbar gemacht. Mailantis kümmert sich, Sie überwachen das Ergebnis.

MTA-STS-Check starten Aktivieren

app.mailantis.eu / mta-sts / demo-kunde.at

Managed Policy

Policy aktiv und durchgesetzt

Active

Modus: enforce
Max-Age: 1 Woche
Cert läuft ab: 09.08.2026 (82 Tage)
Self-Check: ✓ heute 13:14

_mta-sts.demo-kunde.at TXT "v=STSv1; id=20260318094215Z"

So funktioniert's

Policy hosten, Reports einsammeln, enforce schalten

Policy-File hosten

Wir hosten das Policy-File auf https://mta-sts.<domain> — Sie setzen einen CNAME im DNS.

TLS-RPT aktivieren

Mailantis erhält die JSON-Reports der Empfänger und aggregiert Failure-Codes nach Sender, IP und Ursache.

Auf enforce schalten

Sobald Reports keine echten Failures mehr zeigen, schaltet der Wizard von testing auf enforce.

Features

Was zwei einzelne Tools nicht können

MTA-STS-Policy-Hosting auf EU-CDN, redundant

TLS-RPT-Aggregator (E-Mail-Endpunkt von Mailantis)

Failure-Report-Parser nach RFC 8460

Mode-Tracking: none → testing → enforce-Wizard

id-Auto-Update bei jeder Policy-Änderung

DANE-Empfehlung als komplementäre Schicht

Continuous Monitoring + Alerts bei Policy-404

Failure-Trend-Analyse über Zeitachse

DNS & Policy

Ein TXT-Record, ein Policy-File

Zwei Komponenten arbeiten zusammen

Der DNS-TXT-Record signalisiert Empfängern, dass eine Policy existiert. Das Policy-File unter https://mta-sts.<domain>/.well-known/mta-sts.txt definiert den Modus und die erlaubten MX-Hosts.

Der id-Wert im TXT-Record muss bei jeder Policy-Änderung erhöht werden — Mailantis macht das automatisch.

Host: _mta-sts.example.com · Type: TXTv=STSv1; id=20260508001

https://mta-sts.example.com/.well-known/mta-sts.txtversion: STSv1
mode: enforce
mx: mail.example.com
mx: *.protection.outlook.com
max_age: 604800

Preise

MTA-STS-Hosting ab Pro

Monitoring

ab 30 €/ Monat pro Domain

Policy-Hosting auf Mailantis-Subdomain, TLS-RPT-Aggregation, Enforce-Wizard. Skaliert mit Domain-Anzahl.

Zur App

Enterprise & Partner

auf Anfrage

Multi-Mandanten (MSP), White-Label, SSO, Custom-SLA, On-Premise. Konsolidierte Rechnung über alle Sub-Orgs.

Kontakt aufnehmen

Alle Pläne im Detail vergleichen →

FAQ

Häufige Fragen zu MTA-STS & TLS-RPT

Testing vs enforce — was ist der Unterschied?

Im Modus testing meldet ein Empfänger TLS-Fehler nur via TLS-RPT, stellt die Mail aber zu. Im Modus enforce wird die Mail bei TLS-Fehler komplett abgelehnt. Best Practice: Wochen testing fahren, dann enforce.

Was passiert, wenn das Policy-File offline geht?

Im Modus enforce mit gültigem max_age cachen Empfänger die Policy lokal — kurze Ausfälle sind unproblematisch. Längere Ausfälle führen zu Zustellungsausfällen. Mailantis hostet redundant auf EU-CDN.

MTA-STS und DANE — beide nötig?

Komplementär. DANE setzt DNSSEC-signiertes DNS voraus (in DACH selten), MTA-STS funktioniert auch ohne DNSSEC. Wir empfehlen MTA-STS als Basis, DANE optional zusätzlich.

Wer hostet das Policy-File?

Mailantis übernimmt das Hosting unter https://mta-sts.<ihre-domain>.com/.well-known/mta-sts.txt. Sie setzen einen CNAME im DNS, wir kümmern uns um TLS-Cert, Verfügbarkeit und Updates.

Was sind TLS-RPT-Failure-Reports?

Empfänger-Server senden täglich JSON-Reports mit aufgetretenen TLS-Problemen — abgebrochene Handshakes, Cert-Mismatches, Downgrade-Versuche. Mailantis aggregiert sie in lesbare Übersichten.

Verschlüsselten Transport jetzt erzwingen.

Policy-Hosting in 5 Minuten, enforce in 4 Wochen.

Pro starten Wissensartikel lesen