MTA-STS
Was ist MTA-STS?
MTA-STSE-Mail-Sicherheitsmechanismus nach RFC 8461, mit dem eine Domain TLS für eingehendes SMTP erzwingt und vertrauenswürdige MX-Hostnamen festschreibt, um Downgrade- und STARTTLS-Stripping-Angriffe zu verhindern.
MTA Strict Transport Security (MTA-STS) ist in RFC 8461 spezifiziert. Eine Domain veröffentlicht einen TXT-Record an _mta-sts.example.com sowie eine per HTTPS abrufbare Policy unter https://mta-sts.example.com/.well-known/mta-sts.txt, in der erforderliches TLS, zulässige MX-Hostnamen und ein Modus (none, testing, enforce) deklariert sind. Versendende MTAs cachen die Policy und verweigern im Enforce-Modus die Zustellung, wenn STARTTLS, Zertifikatsprüfung oder MX-Übereinstimmung fehlschlagen. MTA-STS ergänzt DANE/TLSA für Betreiber ohne DNSSEC und schließt Lücken des opportunistischen TLS gegen aktive Angreifer. SMTP TLS Reporting (RFC 8460) liefert tägliche JSON-Berichte über TLS-Fehler.
● Beispiele
- 01
Veröffentlichung einer Enforce-Policy, die eingehendes SMTP auf mx1.example.com und mx2.example.com mit TLS 1.2+ begrenzt.
- 02
Erhalt täglicher TLSRPT-Berichte mit null TLS-Fehlern nach erfolgreichem MTA-STS-Rollout.
● Häufige Fragen
Was ist MTA-STS?
E-Mail-Sicherheitsmechanismus nach RFC 8461, mit dem eine Domain TLS für eingehendes SMTP erzwingt und vertrauenswürdige MX-Hostnamen festschreibt, um Downgrade- und STARTTLS-Stripping-Angriffe zu verhindern. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet MTA-STS?
E-Mail-Sicherheitsmechanismus nach RFC 8461, mit dem eine Domain TLS für eingehendes SMTP erzwingt und vertrauenswürdige MX-Hostnamen festschreibt, um Downgrade- und STARTTLS-Stripping-Angriffe zu verhindern.
Wie funktioniert MTA-STS?
MTA Strict Transport Security (MTA-STS) ist in RFC 8461 spezifiziert. Eine Domain veröffentlicht einen TXT-Record an _mta-sts.example.com sowie eine per HTTPS abrufbare Policy unter https://mta-sts.example.com/.well-known/mta-sts.txt, in der erforderliches TLS, zulässige MX-Hostnamen und ein Modus (none, testing, enforce) deklariert sind. Versendende MTAs cachen die Policy und verweigern im Enforce-Modus die Zustellung, wenn STARTTLS, Zertifikatsprüfung oder MX-Übereinstimmung fehlschlagen. MTA-STS ergänzt DANE/TLSA für Betreiber ohne DNSSEC und schließt Lücken des opportunistischen TLS gegen aktive Angreifer. SMTP TLS Reporting (RFC 8460) liefert tägliche JSON-Berichte über TLS-Fehler.
Wie schützt man sich gegen MTA-STS?
Schutzmaßnahmen gegen MTA-STS kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für MTA-STS?
Übliche alternative Bezeichnungen: MTA Strict Transport Security.
● Verwandte Begriffe
- network-security№ 1098
STARTTLS
SMTP-, IMAP-, POP3- und XMPP-Erweiterung nach RFC 3207, die eine Klartextverbindung nach dem Protokollgruß auf TLS upgradet und so opportunistische Verschlüsselung zwischen Mailservern und -clients ermöglicht.
- network-security№ 764
Opportunistisches TLS
Verschlüsselungshaltung, bei der zwei Parteien TLS verwenden, wenn beide es unterstützen, und sonst auf Klartext zurückfallen – typisch für SMTP zwischen Mailservern mit STARTTLS ohne starke Authentifizierung.
- network-security№ 270
DANE
Protokollfamilie nach RFC 6698, die mit DNSSEC-signierten TLSA-Records TLS-Zertifikate oder öffentliche Schlüssel an einen Dienst bindet und so die Abhängigkeit vom öffentlichen CA-System verringert.
- network-security№ 333
DMARC
E-Mail-Authentifizierungsstandard nach RFC 7489, mit dem Domain-Inhaber eine Richtlinie veröffentlichen, wie Empfänger Nachrichten behandeln sollen, die SPF/DKIM und Alignment verfehlen.
- network-security№ 1159
TLS (Transport Layer Security)
Das von der IETF standardisierte Kryptoprotokoll, das Vertraulichkeit, Integrität und Authentizität für den Verkehr zwischen zwei Netzwerkanwendungen liefert.
- network-security№ 984
Secure Email Gateway
Perimeter- oder Cloud-Dienst, der eingehende und ausgehende E-Mails auf Spam, Phishing, Malware, Datenabfluss und Policy-Verstöße prüft, bevor sie das Postfach erreichen.