MTA-STS-Policy

Nach RFC 8461

DNS-Stempel und HTTPS-Policy in einem Aufwasch; mit Versions-ID und Drift-Hinweis.

Was ist das, und wann brauche ich es?

Was ist das?

MTA-STS (Mail Transfer Agent Strict Transport Security, RFC 8461) zwingt Empfangs-Mailserver, beim Einliefern Ihrer Mails ausschließlich verschlüsseltes SMTP (STARTTLS) zu verwenden - und nicht im Fehlerfall stillschweigend auf Klartext zurückzufallen. Damit schließen Sie eine ganze Klasse von Downgrade-Angriffen aus.

Die Policy besteht aus zwei Teilen: einem DNS-TXT-Record mit Versions-ID und einer Policy-Datei, die per HTTPS unter mta-sts.<domain>/.well-known/mta-sts.txt erreichbar ist.

Wann brauche ich das?

Sobald Sie selbst Mails empfangen (eigener Mailserver oder eigener Mail-Provider mit MX-Records auf Ihrer Domain). Wenn Sie Mails nur senden, ist MTA-STS nicht relevant - dann ist DMARC + SPF + DKIM Ihr Hebel.

Roll-out: erst Modus testing für ein paar Wochen, damit TLS-RPT-Reports etwaige Verbindungsprobleme zeigen. Erst dann auf enforce hochstufen.

Sollte vorher schon vorhanden sein

  • TLS-Zertifikat für die Subdomain mta-sts.<ihre-domain> (Let's Encrypt reicht)
  • Webserver, der die Policy-Datei unter /.well-known/mta-sts.txt ausliefert
_mta-sts.example.com nach RFC 8461
_mta-sts.example.com.	TXT	"v=STSv1; id=1783101543"

Kostenlos, ohne Gewähr (Best-Effort). Erzeugte wie geprüfte Angaben sind unverbindlich; für fehlerhafte oder unvollständige Ergebnisse und Konfigurationen übernehmen wir keine Haftung. Anwendung und Prüfung erfolgen in eigener Verantwortung, vor dem Produktiveinsatz bitte testen.

Free, no warranty (best effort). Generated and inspected values are non-binding; we accept no liability for erroneous or incomplete results or configurations. Use and verification are your own responsibility; please test before production use.

https://mta-sts.example.com/.well-known/mta-sts.txt nach RFC 8461
version: STSv1
mode: testing
mx: mx1.example.com
mx: mx2.example.com
max_age: 2592000

Kostenlos, ohne Gewähr (Best-Effort). Erzeugte wie geprüfte Angaben sind unverbindlich; für fehlerhafte oder unvollständige Ergebnisse und Konfigurationen übernehmen wir keine Haftung. Anwendung und Prüfung erfolgen in eigener Verantwortung, vor dem Produktiveinsatz bitte testen.

Free, no warranty (best effort). Generated and inspected values are non-binding; we accept no liability for erroneous or incomplete results or configurations. Use and verification are your own responsibility; please test before production use.

Veröffentlichungs-Reihenfolge:

  1. Policy-Datei unter https://mta-sts.example.com/.well-known/mta-sts.txt bereitstellen (HTTPS Pflicht).
  2. DNS-Eintrag _mta-sts.example.com mit obigem TXT-Wert anlegen.
  3. Nach 1-2 Tagen TLS-RPT-Reports beobachten. Wenn keine Fehler, mode von testing auf enforce ziehen und die Policy-ID erneuern.

Jede Änderung der Policy-Datei MUSS mit einer neuen Policy-ID einhergehen, sonst zieht das Caching der Empfänger-MTAs den alten Inhalt weiter.

Bestehende MTA-STS-Konfiguration prüfen

Prüft _mta-sts-DNS-TXT-Record und Policy unter https://mta-sts.<domain>/.well-known/mta-sts.txt.

Probieren mit:

Server-Pfad: Diese Inspektion läuft NICHT browser-lokal. Wir holen den DNS-Record bzw. die HTTPS-Antwort über unseren Server. Wir loggen weder die abgefragte Domain noch das Ergebnis. 12 Anfragen pro Minute pro IPv4-Adresse bzw. IPv6-/64-Subnet.

So tragen Sie diesen Record beim DNS-Provider ein

Der oben generierte Eintrag besteht aus drei Teilen: dem Record-Typ (typisch TXT, manchmal CAA), dem Host (Subdomain wie _dmarc, _smtp._tls oder leer für die Stamm-Domain) und dem Wert (der eigentliche Inhalt in Anführungszeichen). Diese drei Felder werden bei jedem DNS-Provider genauso abgefragt - nur das Menü-Wording unterscheidet sich.

INWX (Dernium-Standard für Neukunden)
  1. Login bei www.inwx.de.
  2. Reiter Nameserver → Domain auswählen → Nameserver-Sets verwaltenDNS-Einträge.
  3. Knopf Neuen Eintrag anlegen.
  4. Typ wählen (z. B. TXT), Hostname eintragen (für die Stamm-Domain das Feld leer lassen, sonst _dmarc o. Ä.), Wert einfügen, TTL bei 3600 belassen.
  5. Speichern. Propagation üblich innerhalb von 5-15 Minuten.
Strato
  1. Login im Strato-Kundenservicebereich.
  2. Menü Domains → Domain auswählen → Verwalten.
  3. Abschnitt DNS-VerwaltungNameserver/DNS-Einstellungen anpassen.
  4. Bei Eigene DNS-Verwaltung den passenden Record-Typ wählen (TXT-Records sind ein eigener Block), Hostname und Wert einfügen.
  5. Speichern. Strato propagiert typisch innerhalb 30-60 Minuten.
Hetzner DNS-Console
  1. Login bei dns.hetzner.com.
  2. Zone der Domain anklicken.
  3. Knopf Record hinzufügen → Typ wählen, Name eintragen (für Stamm-Domain @), Wert in das Value-Feld.
  4. Speichern. Propagation typisch unter 5 Minuten.
IONOS (1&1)
  1. Login im IONOS-Kundencenter.
  2. Menü Domains & SSL → Domain anklicken → DNS.
  3. Knopf Eintrag hinzufügen → Typ wählen, Hostname eintragen, Wert in das Inhalt-Feld.
  4. Speichern. Propagation typisch 15-60 Minuten.
Cloudflare
  1. Login bei Cloudflare, Domain auswählen.
  2. Reiter DNSRecords.
  3. Knopf Add record → Typ wählen, Name eintragen (für Stamm-Domain @), Wert einfügen, Proxy-Status für TXT/CAA auf DNS only belassen.
  4. Speichern. Propagation üblich unter 2 Minuten.

Hinweis: Wenn Ihr DNS-Anbieter hier nicht aufgeführt ist, finden Sie die richtige Stelle typisch unter Begriffen wie „DNS-Verwaltung", „Zone-Editor" oder „Records". Bei Fragen hilft der Support Ihres Providers; die hier gezeigten Pfade sind plattform-spezifisch und können sich bei Redesigns leicht verschieben.