Was ist der Unterschied zwischen testing und enforce?

testing meldet TLS-Fehler nur via TLS-RPT, stellt aber zu. enforce lehnt bei TLS-Fehler ab. Best Practice: 4–6 Wochen testing, dann enforce.

Wo hoste ich das Policy-File?

Unter https://mta-sts. /.well-known/mta-sts.txt. Subdomain mta-sts. ist Pflicht. Mailantis übernimmt das Hosting auf Wunsch komplett (CNAME-basiert).

Was muss ich am DNS ändern?

Zwei Records: TXT-Record _mta-sts. mit v=STSv1; id= . Optional ein CNAME für mta-sts. auf den Hosting-Provider.

Was sind TLS-RPT-Failures?

Tägliche JSON-Reports über TLS-Probleme zwischen sendenden und empfangenden Mailservern — abgebrochene Handshakes, Cert-Mismatches, Cipher-Probleme. Mehr im Artikel TLS-RPT verstehen.

Wie oft muss ich die Policy aktualisieren?

Nur bei MX-Änderungen. Dann id-Wert hochzählen und Policy-File neu hochladen. Empfänger merken sich die Policy bis zu max_age (typisch 1 Woche).

MTA-STS einrichten — Mailantis Wissen

Das Problem

E-Mail zwischen Servern wird seit Jahren mit TLS verschlüsselt — aber opportunistisch. Wenn der Empfangsserver kein TLS anbietet (oder ein Angreifer es unterdrückt), fällt die Kommunikation auf Klartext zurück. Dieser Downgrade-Angriff kann still und unbemerkt passieren.

Was MTA-STS ändert

Mit MTA-STS veröffentlichen Sie eine Policy, die absendende Server verpflichtet, nur mit gültigem TLS-Zertifikat zuzustellen. Fehlt das Zertifikat oder passt es nicht zum Namen, wird die Mail nicht zugestellt — statt im Klartext zu landen.

Die drei Bausteine

Ein TXT-Record im DNS, der signalisiert: „Es gibt eine Policy."
Die Policy-Datei, erreichbar über HTTPS.
Optional: TLS-RPT für Zustellungs-Reports.

1. DNS-TXT-Record

; TXT-Record für _mta-sts.firma.at
"v=STSv1; id=20250401120000"

Der Wert id muss sich bei jeder Policy-Änderung ändern (oft als Zeitstempel).

2. Policy-Datei

Erreichbar unter https://mta-sts.firma.at/.well-known/mta-sts.txt:

# mta-sts.txt
version: STSv1
mode: enforce
mx: mail.firma.at
mx: *.mail.firma.at
max_age: 604800

Die drei mode-Werte:

Mode	Bedeutung
`none`	Policy deaktiviert — für Rollback.
`testing`	Fehler werden nur gemeldet, nicht erzwungen.
`enforce`	TLS-Fehler führen zur Nicht-Zustellung.

Start mit mode: testing. Erst wenn die TLS-RPT-Reports über Wochen sauber sind, auf enforce wechseln. Das verhindert, dass eine falsch gesetzte MX-Zeile Ihre Mails blockiert.

3. TLS-RPT — Feedback einrichten

; TXT-Record für _smtp._tls.firma.at
"v=TLSRPTv1; rua=mailto:[email protected]"

Anbieter wie Google, Microsoft und Yahoo schicken täglich JSON-Reports: wie viele Mails erfolgreich via TLS zugestellt wurden, und welche gescheitert sind — inklusive Grund.

Häufige Fehler

Policy-Host nicht erreichbar: mta-sts.firma.at muss via HTTPS erreichbar sein und ein gültiges Zertifikat haben.
MX-Einträge vergessen: jeder MX-Server muss in der Policy gelistet sein — sonst Zustell-Fehler.
Direkt enforce: ohne Testing-Phase riskieren Sie, dass ein Tippfehler Ihre gesamte Mailzustellung stoppt.

Warum sich der Aufwand lohnt

Ohne MTA-STS bleiben E-Mails ein attraktives Ziel für Man-in-the-Middle-Angriffe. Für regulierte Branchen (Gesundheit, Finanzen, Öffentliche Hand) ist TLS-Zwang zunehmend Pflicht — NIS2 adressiert das explizit.

MTA-STS einrichten — TLS erzwingen.