{"id":7080,"date":"2019-07-30T16:43:14","date_gmt":"2019-07-30T14:43:14","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=7080"},"modified":"2025-12-17T11:39:45","modified_gmt":"2025-12-17T10:39:45","slug":"mta-sts-gestaltet-mail-versand-und-empfang-sicherer","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/mta-sts-gestaltet-mail-versand-und-empfang-sicherer\/","title":{"rendered":"MTA-STS gestaltet Mail-Versand und -Empfang sicherer"},"content":{"rendered":"

Schon seit mehreren Jahren wurde am Standard MTA-STS gearbeitet, j\u00fcngst wurde er von der IETF als RFC 8461 ver\u00f6ffentlicht.\u00a0In unserem Beitrag \u201eMTA-STS: sichere Verschl\u00fcsselung zwischen Mailservern<\/a>\u201c k\u00f6nnen Sie dies nachlesen.<\/p>\n

Heute erl\u00e4utern wir Ihnen die Funktionsweise und geben Hilfestellung bei der Konfiguration.<\/p>\n

MTA-STS \u2013 Was ist das?<\/h2>\n

MTA-STS ist die Abk\u00fcrzung f\u00fcr \u201eMail Transfer Agent – Strict Transport Security\u201c. Seit Anfang 2016 setzen sich diverse gro\u00dfe Unternehmen wie Yahoo, Google, Microsoft, Comcast, 1&1 oder LinkedIn f\u00fcr die Entwicklung eines Standards ein, der die \u00dcbertragung von E-Mails sicherer gestalten soll.<\/p>\n

Dieser Vorschlag wurde bei der Internet Engineering Task Force (IETF<\/a>) eingereicht, die den Standard ihrerseits weiterentwickelte, bis er als RFC 8461<\/a> ver\u00f6ffentlicht werden konnte.<\/p>\n

Funktionsweise von MTA-STS<\/h3>\n

Zugegeben: Mit STARTTLS, S\/MIME, PGP, DANE oder DMARC gibt es schon gen\u00fcgend SMTP-Abk\u00fcrzungen. Sie alle haben ihre St\u00e4rken und Schw\u00e4chen. Letztere sollen mithilfe von MTA-STS deutlich minimiert werden, indem MTA-STS den unverschl\u00fcsselten E-Mail-Versand zwischen zwei Mailservern unterbindet. Es geht also explizit um die Kommunikation zwischen Mailservern.<\/p>\n

Mithilfe von MTA-STS ist es dem empfangenden Mailserver m\u00f6glich, dem versendenden Mailserver per DNS mitzuteilen, dass dieser TLS zur Transportverschl\u00fcsselung nutzen soll (Achtung: Damit lautet der DNS-Eintrag nicht mehr auf \u201e_smtp_sts\u201c, sondern auf \u201e_mta_sts\u201c). Der Versand-Mailserver wird vor dem E-Mail-Versand in die Lage versetzt, eine MTA-STS-Policy von einem Webserver abzurufen. Hierin wird definiert, welche E-Mail-Server die E-Mails per TLS entgegennehmen.<\/p>\n

Der Versand-Server speichert eben diese Policy f\u00fcr eine Dauer, die definiert werden kann. Innerhalb dieses Zeitraums werden E-Mails ausschlie\u00dflich per TLS zugestellt.<\/p>\n

Durch diesen Vorgang werden beispielsweise Man-in-the-middle-Attacken (MITM-Attacken) effektiv verhindert. Im Prinzip handelt es sich bei MTA-STS also um eine erzwungene Verschl\u00fcsselung f\u00fcr Mailserver.<\/p>\n

Ist MTA-STS nun der Durchbruch?<\/h3>\n

E-Mail-Anbieter versuchen schon seit Jahrzehnten, die Kommunikation ihrer Kunden vor Lauschangriffen sowie Manipulation zu sch\u00fctzen. Mit STARTTLS fand man eine flexible M\u00f6glichkeit f\u00fcr verschl\u00fcsselte, aber auch f\u00fcr Klartextverbindungen. Jedoch musste man bald feststellen, dass sich STARTTLS zu einfach unterbinden l\u00e4sst. Ein \u201eMan in the Middle\u201c ist in der Lage, die Kommunikation abzuh\u00f6ren und\/ oder zu manipulieren.<\/p>\n

Mit DANE f\u00fcr SMTP wurde im Jahr 2015 ein offenes Verfahren standardisiert. Basis daf\u00fcr jedoch ist eine Namensaufl\u00f6sung per DNSSEC. Es gibt gro\u00dfe Provider, die DANE z\u00fcgig implementiert hatten. Jedoch ist DANE f\u00fcr zahlreiche Administratoren bis heute nicht umsetzbar, da sich nicht jede Domain per DNSSEC aufl\u00f6sen l\u00e4sst. DANE konnte sich deshalb nie richtig durchsetzen.<\/p>\n

Die Br\u00fccke zwischen dem als unzureichend sicher eingestuften STARTTLS und dem h\u00e4ufig nicht realisierbaren DANE soll MTA-STS schlagen. Vielfach wird MTA-STS als eine Art DANE ohne DNSSEC beschrieben.<\/p>\n

MTA-STS: Hilfe bei der Konfiguration<\/h3>\n

Das Einrichten von MTA-STS ist denkbar einfach. Sie ben\u00f6tigen einen Mailserver, der TLS unterst\u00fctzt, drei DNS-Namen sowie einen Webserver, der per HTTPS erreichbar ist. Um zu starten, m\u00fcssen Sie eine Policy einrichten. Das k\u00f6nnte f\u00fcr die Domain psw-group.de so aussehen:<\/p>\n

version: STSv1
\nmode: testing
\nmax_age: 86400
\nmx: mail.psw-group.de
\nmx: *.psw-group.de<\/p>\n

In dieser Beispiel-Policy ist die STS-Version enthalten; aktuell gibt es nur die Version STSv1. Bei \u201emode\u201c entscheiden Sie sich f\u00fcr \u201etesting\u201c, wenn Sie testen m\u00f6chten, oder \u201eenforce\u201c, wenn Sie bereits produktiv arbeiten. \u201emax_age\u201d definiert den Zeitraum, \u00fcber den der Mailserver die Policy cachen darf. Die Angabe erfolgt in Sekunden. Geben Sie in der Policy au\u00dferdem alle Mailserver an, die TLS zwingend anfordern und unterst\u00fctzen m\u00fcssen. Sie k\u00f6nnen diese einzeln oder als Wildcard angeben (mx).<\/p>\n

Haben Sie Ihre Policy erstellt, sichern Sie diese als Textdatei mit dem Namen mta-sts.txt. \u00dcbertragen Sie die Policy auf einen Webserver. Wichtig: Dieser Webserver muss per HTTPS erreichbar sein! Das Zertifikat f\u00fcr den Webserver muss von einer vertrauensw\u00fcrdigen Zertifizierungsstelle stammen; selbstsignierte Zertifikate funktionieren nicht. Daneben muss der Webserver unter dem Namen mta-sts.domain.de aufrufbar sein. F\u00fcr unsere Beispiel-Domain hie\u00dfe das also, dass der Webserver unter mta-sts.psw-group.de erreichbar sein muss. Speichern Sie die Policy im Verzeichnis .well_known.<\/p>\n

Ihre Policy sollte nun unter folgendem Link erreichbar sein: https:\/\/mta-sts.domain.de\/.well-known\/mta-sts.txt.<\/p>\n

Neben dem DNS-Eintrag f\u00fcr den Webserver ben\u00f6tigen Sie zwei weitere TXT-Records: _mta-sts.domain.de sowie _smtp._tls.domain.de. Der letzte TXT-Record ist zwar nicht zwingend notwendig, jedoch k\u00f6nnte der MTA-STS validator ohne ihn ins Stolpern kommen.<\/p>\n

Im Eintrag _mta-sts.domain.de sind die STS-Version sowie eine Policy-ID zu vergeben, die als Zeitstempel fungiert. \u00c4ndert sich die Policy, muss die ID entsprechend angepasst werden.<\/p>\n

Zur Fehleranalyse dient der zweite TXT-Record. Hinterlegen Sie hier eine E-Mail-Adresse, sendet Ihnen der Mailserver Informationen zu etwaigen Problemen.<\/p>\n

Um zu testen, ob die Mailserver f\u00fcr TLS konfiguriert sind, bietet sich der TLS-Test von CheckTLS<\/a> an. F\u00fcr MTA-STS muss der Mailserver TLS mindestens in der Version 1.2 unterst\u00fctzen. Der MTA-STS validator<\/a> von Ayke van La\u00ebthem erlaubt es, die MTA-STS-Konfiguration zu pr\u00fcfen. Geben Sie f\u00fcr den Test einfach die Domain ein.<\/p>\n

Ergeben sich im Testbetrieb keinerlei Probleme, l\u00e4sst sich die Policy in den Produktivmodus schalten (mode: enforce). Dann kann auch die Zeitspanne (max_age) erheblich erh\u00f6ht werden, beispielsweise auf 4 – 6 Monate.<\/p>\n