mta-sts-missing
MTA-STS nicht konfiguriert
MTA-STS erzwingt die Verschlüsselung eingehender E-Mail an Ihre Domain. Ohne MTA-STS kann ein Angreifer im Netz die Verschlüsselung still und leise unterdrücken und Mail mitlesen.
Worum es geht
Stellt der Mailserver einer anderen Organisation Mail an Ihre Domain zu, sollte die Verbindung verschlüsselt sein. Der Haken: standardmäßig ist die Verschlüsselung opportunistisch. Bietet Ihre Seite Verschlüsselung an, nutzt der Sender sie; bietet sie keine an, wird die Mail im Klartext zugestellt. Schlimmer: ein Angreifer im Netz dazwischen kann das Verschlüsselungs-Angebot heimlich entfernen, selbst Server, die gerne verschlüsselt hätten, fallen dann auf Klartext zurück.
MTA-STS ist eine öffentliche Erklärung, die Sie veröffentlichen. Sinngemäß: “Verschlüsselung ist für eingehende Mail an meine Domain Pflicht, keine Zustellung ohne Verschlüsselung”. Sendende Server, die diese Erklärung respektieren (und das tun mittlerweile alle großen Anbieter wie Google, Microsoft, Yahoo, Apple), schicken Ihre Mail nicht im Klartext, egal was ein Angreifer im Netz versucht.
Warum das wichtig ist
Ohne MTA-STS kann jede Mail, die Sie empfangen, prinzipiell von jemandem mit Netzwerkposition zwischen Absender und Ihrem Mailserver mitgelesen werden: ein feindseliger Internetanbieter, ein kompromittierter Router auf der Strecke, ein staatliches Überwachungsprogramm, ein Unternehmens-Proxy.
Was täglich durch eingehende Mail läuft:
- Kontoauszüge und Rechnungen.
- Passwort-Reset-Links genutzter Dienste.
- Vertragsentwürfe, NDAs, interne Korrespondenz.
- Alles, was Kund:innen per Kontaktformular einsenden und in einem Postfach landet.
Mailinhalt-Offenlegung ist außerdem nach DSGVO meldepflichtig, sofern personenbezogene Daten betroffen sind. Ein erfolgreicher Downgrade-Angriff wird so zur regulatorischen Frage, nicht nur zur sicherheitstechnischen.
So beheben Sie das
MTA-STS besteht aus drei kleinen Bausteinen. Wer Ihre Domain und Ihr Mail-Hosting verwaltet, setzt das in einem Nachmittag um.
- Ein DNS-Eintrag, der ankündigt, dass Sie eine Policy haben, und auf die Policy-Datei verweist.
- Die Policy-Datei selbst, ausgeliefert von einer kleinen
dedizierten Web-Adresse (
mta-sts.ihre-domain.de) über HTTPS. Die Datei listet erlaubte Mailserver und legt fest, dass Verschlüsselung Pflicht ist. - Optionaler Reporting-Eintrag, über den Sie tägliche Berichte zu Verschlüsselungs-Versuchen erhalten. Nützlich, um Downgrade-Versuche oder abgelaufene Zertifikate früh zu erkennen.
Wer die Policy-Datei nicht selbst hosten möchte, kann auf Dienste wie Hardenize oder Mailhardener zurückgreifen, die MTA-STS hinter einem einzelnen CNAME bereitstellen.
Google-Workspace-Administrator:innen aktivieren MTA-STS direkt in der Admin-Konsole (Apps → Google Workspace → Gmail → Compliance → Sicherer Transport).
Ein typischer Rollout startet für ein paar Wochen im “Testing”-Modus: Verschlüsselung wird noch nicht erzwungen, Berichte zeigen aber schon, was passiert wäre. Bleiben die Berichte ohne Überraschungen, auf “Enforce” wechseln.
Mehr dazu
- Google-Workspace-MTA-STS-Anleitung
- Hardenize MTA-STS-Generator: erzeugt Policy und DNS-Einträge aus einem Formular.
- RFC 8461 — MTA-STS-Spezifikation
- RFC 8460 — TLS-Reporting-Spezifikation