MTA-STS

Der Sicherheitsstandard für verschlüsselten E-Mail-Transport

MTA-STS: Der Sicherheitsstandard für verschlüsselten E-Mail-Transport

Die Sicherheit der E-Mail-Kommunikation basiert traditionell auf dem Protokoll STARTTLS. Dieses weist jedoch eine kritische Schwachstelle auf: Es ist optional. Wenn ein Angreifer eine TLS-Verschlüsselung während des Verbindungsaufbaus verhindert (ein sogenannter Downgrade-Angriff), fällt die Kommunikation auf unverschlüsselten Klartext zurück. MTA-STS (RFC 8461) löst dieses Problem, indem es Verschlüsselung für den Mail-Transport erzwingt.

Die Problematik: Das "Opportunistic TLS"-Dilemma

Standardmäßig versuchen Mailserver, E-Mails verschlüsselt zu übertragen. Schlägt der Handshake jedoch fehl – sei es durch Fehlkonfigurationen oder durch einen Man-in-the-Middle-Angriff –, wird die Nachricht dennoch zugestellt, nur eben unverschlüsselt. Für Unternehmen bedeutet dies ein erhebliches Risiko für die Vertraulichkeit und Integrität ihrer Daten.

Was ist MTA-STS?

MTA-STS steht für Mail Transfer Agent Strict Transport Security. Es handelt sich um einen Mechanismus, der es Domänenbesitzern ermöglicht, gegenüber sendenden Mailservern zu deklarieren, dass TLS-Verschlüsselung zwingend erforderlich ist und dass Zertifikate validiert werden müssen.

Die Funktionsweise im Überblick

  • Policy-Veröffentlichung: Das Unternehmen hinterlegt eine Richtliniendatei auf einem Webserver unter einer speziellen Subdomain (mta-sts.ihredomain.de).

  • DNS-Signalisierung: Ein spezieller TXT-Eintrag im DNS signalisiert sendenden Servern, dass eine MTA-STS-Policy existiert.

  • Erzwingung: Der sendende Server ruft die Policy ab. Ist dort der Modus enforce hinterlegt, wird die E-Mail nur dann zugestellt, wenn eine sichere, authentifizierte TLS-Verbindung aufgebaut werden kann. Andernfalls wird der Sendeversuch abgebrochen.

Die strategischen Vorteile

  • Schutz vor Man-in-the-Middle-Angriffen: Verhindert effektiv das Mitlesen oder Manipulieren von E-Mails auf dem Transportweg.

  • Vermeidung von Downgrade-Attacken: Eliminiert die Schwäche von „Opportunistic TLS“.

  • Verbesserte Reputation: Wie bei der security.txt signalisiert die Implementierung von MTA-STS ein hohes Maß an technischer Professionalität und Sicherheitsbewusstsein.

  • Compliance: Unterstützt die Einhaltung strenger Datenschutzrichtlinien (z. B. DSGVO), die den Stand der Technik für die Übertragung personenbezogener Daten fordern.

Implementierungsschritte

Um MTA-STS erfolgreich einzuführen, sind drei Komponenten erforderlich:

  • Die Policy-Datei: Eine Textdatei, die Verschlüsselungsparameter und MX-Hosts definiert.

  • HTTPS-Hosting: Die Datei muss über eine gesicherte URL erreichbar sein: https://mta-sts.ihredomain.de/.well-known/mta-sts.txt.

  • DNS-Einträge: Ein TXT-Eintrag für _mta-sts.ihredomain.de (zur Versionierung) und ein TXT-Eintrag für _smtp._tls.ihredomain.de (für das TLS-Reporting, bekannt als TLS-RPT).

Hinweis: Es empfiehlt sich, MTA-STS zunächst im Modus testing zu betreiben. In dieser Phase werden Fehlkonfigurationen gemeldet, aber die Zustellung wird noch nicht blockiert.

Zusammenfassung

MTA-STS schließt eine der letzten großen Sicherheitslücken im SMTP-Protokoll. Während SPF, DKIM und DMARC die Authentizität des Absenders schützen, garantiert MTA-STS die Sicherheit des Transportwegs. Für moderne Unternehmen sollte die Implementierung – idealerweise in Kombination mit TLS-Reporting – zum Standard-Repertoire der IT-Härtung gehören.
Allgemeine Hinweise zum IOK-Blog

Der IOK Blog stellt IT-Administratoren aktuelle und aus unserer Sicht relevante Informationen zur Verfügung. „Kurz und knackig“ wollen wir Sie so informiert halten. Für sämtliche Informationen gilt Folgendes:

  • Die Informationen wurden sorgfältig recherchiert, gelten aus unserer Sicht aber nur zum Zeitpunkt der Veröffentlichung. Bitte eventuelle Updates ggf. bei den genannten Ansprechpartnern der IOK oder bei Herstellern erfragen.
  • Irrtum und Änderungen sind vorbehalten.
  • IOK übernimmt keine Gewährleistung und Haftung für Schäden, die sich direkt oder indirekt aus der Umsetzung der von uns publizierten Artikel und vorgeschlagenen Vorgehensweisen und Informationen ergeben.
  • Technische Informationen und Lizenzbedingungen der Hersteller gelten in jedem Fall.

Wir wünschen Ihnen nun viel Erfolg mit den Infos aus dem IOK-Blog!

Wünschen Sie einen Rückruf zu diesem IOK Blogpost?

Sie haben Fragen zum Update oder benötigen Unterstützung bei dessen Installation? Wir rufen Sie zurück!