DNS-Stempel und HTTPS-Policy in einem Aufwasch; mit Versions-ID und Drift-Hinweis.
Was ist das, und wann brauche ich es?
Was ist das?
MTA-STS (Mail Transfer Agent Strict Transport Security, RFC 8461) zwingt
Empfangs-Mailserver, beim Einliefern Ihrer Mails ausschließlich verschlüsseltes SMTP
(STARTTLS) zu verwenden - und nicht im Fehlerfall stillschweigend auf Klartext
zurückzufallen. Damit schließen Sie eine ganze Klasse von Downgrade-Angriffen aus.
Die Policy besteht aus zwei Teilen: einem DNS-TXT-Record mit Versions-ID und einer
Policy-Datei, die per HTTPS unter mta-sts.<domain>/.well-known/mta-sts.txt erreichbar ist.
Wann brauche ich das?
Sobald Sie selbst Mails empfangen (eigener Mailserver oder eigener Mail-Provider mit
MX-Records auf Ihrer Domain). Wenn Sie Mails nur senden, ist MTA-STS nicht relevant - dann
ist DMARC + SPF + DKIM Ihr Hebel.
Roll-out: erst Modus testing für ein paar Wochen, damit
TLS-RPT-Reports etwaige Verbindungsprobleme zeigen. Erst dann auf enforce hochstufen.
Sollte vorher schon vorhanden sein
TLS-Zertifikat für die Subdomain mta-sts.<ihre-domain> (Let's Encrypt reicht)
Webserver, der die Policy-Datei unter /.well-known/mta-sts.txt ausliefert
Policy-Datei unter https://mta-sts.example.com/.well-known/mta-sts.txt bereitstellen (HTTPS Pflicht).
DNS-Eintrag _mta-sts.example.com mit obigem TXT-Wert anlegen.
Nach 1-2 Tagen TLS-RPT-Reports beobachten. Wenn keine Fehler, mode von testing auf enforce ziehen und die Policy-ID erneuern.
Jede Änderung der Policy-Datei MUSS mit einer neuen Policy-ID einhergehen, sonst zieht das Caching der Empfänger-MTAs den alten Inhalt weiter.
Bestehende MTA-STS-Konfiguration prüfen
Prüft _mta-sts-DNS-TXT-Record und Policy unter https://mta-sts.<domain>/.well-known/mta-sts.txt.
Probieren mit:
Server-Pfad: Diese Inspektion läuft NICHT browser-lokal. Wir holen den DNS-Record bzw. die HTTPS-Antwort über unseren Server. Wir loggen weder die abgefragte Domain noch das Ergebnis. 12 Anfragen pro Minute pro IPv4-Adresse bzw. IPv6-/64-Subnet.
So tragen Sie diesen Record beim DNS-Provider ein
Der oben generierte Eintrag besteht aus drei Teilen: dem Record-Typ (typisch
TXT, manchmal CAA), dem Host (Subdomain wie _dmarc, _smtp._tls oder leer für die Stamm-Domain) und dem Wert (der eigentliche
Inhalt in Anführungszeichen). Diese drei Felder werden bei jedem DNS-Provider genauso abgefragt
- nur das Menü-Wording unterscheidet sich.
Knopf Record hinzufügen → Typ wählen, Name eintragen (für Stamm-Domain @), Wert in das Value-Feld.
Speichern. Propagation typisch unter 5 Minuten.
IONOS (1&1)
Login im IONOS-Kundencenter.
Menü Domains & SSL → Domain anklicken → DNS.
Knopf Eintrag hinzufügen → Typ wählen, Hostname eintragen, Wert in das Inhalt-Feld.
Speichern. Propagation typisch 15-60 Minuten.
Cloudflare
Login bei Cloudflare, Domain auswählen.
Reiter DNS → Records.
Knopf Add record → Typ wählen, Name eintragen (für Stamm-Domain @), Wert einfügen, Proxy-Status für TXT/CAA auf DNS only belassen.
Speichern. Propagation üblich unter 2 Minuten.
Hinweis: Wenn Ihr DNS-Anbieter hier nicht aufgeführt ist, finden Sie die richtige Stelle
typisch unter Begriffen wie „DNS-Verwaltung", „Zone-Editor" oder „Records". Bei Fragen hilft
der Support Ihres Providers; die hier gezeigten Pfade sind plattform-spezifisch und können
sich bei Redesigns leicht verschieben.