Was ist MTA-STS?

MTA-STS steht für “Mail Transfer Agent – Strict Transport Security” und ist ein Protokoll, das dafür sorgen soll, dass Mails grundsätzlich nur mit Transportverschlüsselung gesendet werden. Der Standard wird in RFC-8461 festgelegt.

Wie funktioniert es?

Die Kommunikation findet zwischen den Mailservern statt. Der Admin des empfangenden Mailservers setzt einen DNS-Eintrag, in welchem er dem sendenden Mailserver übermittelt, dass er TLS unterstützt. Der sendende Mailserver kann nun die MTA-STS Policy über HTTPS abrufen. Er speichert die Policy für eine bestimmte Zeit (vordefiniert) zwischen und stellt von diesem Zeitpunkt an Mails nur noch via TLS zu.

Wie richten Sie den entsprechenden DNS-Record ein? 

Weitere Informationen und eine Anleitung, wie man den entsprechenden DNS-Eintrag setzt, finden Sie in unseren FAQs: https://www.secumail.de/f-a-q/#1622448146751-b894ddee-c50f

Warum brauchen wir es?

Bei dem fortlaufenden Prozess, die E-Mail-Kommunikation sicherer zu gestalten, gibt es bereits mehrere Ansätze. Wieso braucht es also eine weitere Technik?

MTA-STS ist eine Ergänzung zu STARTTLS, um die Sicherheit weiter zu erhöhen und „Man in the Middle“ Angriffe zu verhindern. In Kombination mit DANE und DNSSEC lässt sich darüber hinaus das Sicherheitsniveau für die eigene DNS-Infrastruktur und auch den Mailverkehr verbessern. Nachdem DANE bisher noch nicht so weit verbreitet ist (viele Domains können noch nicht mit DNSSEC aufgelöst werden), dient MTA-STS als eine Art Übergangslösung und kann trotz fehlendem DANE für die eigene DNS-Zone eingesetzt werden.