MTA-STS
Was ist MTA-STS?
MTA-STSE-Mail-Sicherheitsmechanismus nach RFC 8461, mit dem eine Domain TLS für eingehendes SMTP erzwingt und vertrauenswürdige MX-Hostnamen festschreibt, um Downgrade- und STARTTLS-Stripping-Angriffe zu verhindern.
MTA Strict Transport Security (MTA-STS) ist in RFC 8461 spezifiziert. Eine Domain veröffentlicht einen TXT-Record an _mta-sts.example.com sowie eine per HTTPS abrufbare Policy unter https://mta-sts.example.com/.well-known/mta-sts.txt, in der erforderliches TLS, zulässige MX-Hostnamen und ein Modus (none, testing, enforce) deklariert sind. Versendende MTAs cachen die Policy und verweigern im Enforce-Modus die Zustellung, wenn STARTTLS, Zertifikatsprüfung oder MX-Übereinstimmung fehlschlagen. MTA-STS ergänzt DANE/TLSA für Betreiber ohne DNSSEC und schließt Lücken des opportunistischen TLS gegen aktive Angreifer. SMTP TLS Reporting (RFC 8460) liefert tägliche JSON-Berichte über TLS-Fehler.
● Beispiele
- 01
Veröffentlichung einer Enforce-Policy, die eingehendes SMTP auf mx1.example.com und mx2.example.com mit TLS 1.2+ begrenzt.
- 02
Erhalt täglicher TLSRPT-Berichte mit null TLS-Fehlern nach erfolgreichem MTA-STS-Rollout.
● Häufige Fragen
Was ist MTA-STS?
E-Mail-Sicherheitsmechanismus nach RFC 8461, mit dem eine Domain TLS für eingehendes SMTP erzwingt und vertrauenswürdige MX-Hostnamen festschreibt, um Downgrade- und STARTTLS-Stripping-Angriffe zu verhindern. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet MTA-STS?
E-Mail-Sicherheitsmechanismus nach RFC 8461, mit dem eine Domain TLS für eingehendes SMTP erzwingt und vertrauenswürdige MX-Hostnamen festschreibt, um Downgrade- und STARTTLS-Stripping-Angriffe zu verhindern.
Wie schützt man sich gegen MTA-STS?
Schutzmaßnahmen gegen MTA-STS kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für MTA-STS?
Übliche alternative Bezeichnungen: MTA Strict Transport Security.