Wofür steht MTA-STS

MTA-STS steht für Mail Transfer Agent Strict Transport Security. Es handelt sich dabei um ein Sicherheitsprotokoll, das es Domäneninhabern ermöglicht, die Verwendung der Transport Layer Security (TLS)-Verschlüsselung beim Austausch von E-Mails mit anderen Mailservern zu erzwingen.

Im Wesentlichen ist MTA-STS ein Mechanismus zum Schutz vor Man-in-the-Middle-Angriffen (MITM), die die E-Mail-Sicherheit und den Datenschutz gefährden können. Indem es TLS-Verschlüsselung vorschreibt und eine strenge Sicherheitsrichtlinie durchsetzt, verhindert MTA-STS, dass Angreifer E-Mail-Nachrichten abfangen und lesen sowie bösartige Inhalte verändern oder in diese Nachrichten einfügen.

Warum sollte man MTA-STS einsetzen?

Folgend aufgelistet einige Vorteile des Einsatz von MTA-STS:

  • Durch die Implementierung von MTA-STS können Domänen sicherstellen, dass ihre E-Mail-Übertragung verschlüsselt und sicher ist, wodurch die Wahrscheinlichkeit von E-Mail-Verletzungen verringert wird. Außerdem fördert MTA-STS die Verwendung gültiger TLS-Zertifikate, was die Vertrauenswürdigkeit der Domäne erhöht.

  • Schutz vor Man-in-the-Middle-Angriffen: MTA-STS verhindert, dass Angreifer Ihre E-Mail-Nachrichten abfangen und verändern, wodurch die Vertraulichkeit und Integrität Ihrer Kommunikation gefährdet werden kann.

  • Erzwingung von TLS-Verschlüsselung: MTA-STS erzwingt die Verwendung der TLS-Verschlüsselung, die für den Schutz sensibler Daten vor unbefugtem Zugriff unerlässlich ist.

  • Einfache Implementierung: MTA-STS ist relativ einfach zu implementieren und zu konfigurieren, insbesondere für Domaininhaber, die bereits Erfahrung mit der Verwaltung von DNS-Einträgen haben.

Wie funktioniert MTA-STS?

Für MTA-STS muss an der eigenen Maildomäne ein DNS-Eintrag namens “MTA-STS” hinzufügt werden. Dieser Eintrag enthält direkte Anweisungen an entfernte Mailserver bezüglich der E-Mail-Übertragung.

Folgend aufgeführt einige Beispiele wie Anweisungen/Richtlinien aussehen könnten:

  1. Ohne - Wenn “Ohne” eingestellt ist, bedeutet dies, dass die Domäne MTA-STS nicht unterstützt und die E-Mail-Übertragung auf SMTP-Standardprotokollen beruht.

  2. Test - Die Domäne testet eine neue MTA-STS-Richtlinie, und die Mailserver müssen die Anforderungen nicht vollständig erfüllen.

  3. Erzwingen - Die Domäne hat MTA-STS erfolgreich implementiert und erzwingt sichere E-Mail-Verbindungen.

Wenn ein entfernter Mailserver eine zu sendende E-Mail erhält, prüft er automatisch, ob die Empfängerdomäne einen MTA-STS-Eintrag veröffentlicht hat oder nicht. Wenn ein MTA-STS-Eintrag gefunden wird, prüft der Mailserver die Richtlinie der Domäne für die E-Mail-Übertragung.

Wenn die Domänenrichtlinie auf “Ohne oder “Test” eingestellt ist, funktioniert die E-Mail-Übertragung mit den Standard-SMTP-Protokollen.

Wenn jedoch “Erzwingen” eingestellt ist, prüft der Mailserver, ob das von der Absenderdomäne verwendete TLS-Zertifikat gültig ist und von einer vertrauenswürdigen Stelle ausgestellt wurde. Ist das TLS-Zertifikat nicht gültig, schlägt die E-Mail-Übertragung fehl, und der Absender erhält eine Fehlermeldung.

Zertifikatsüberprüfung:

Der zweite von MTA-STS verwendete Mechanismus ist die Zertifikatsüberprüfung. Wenn ein E-Mail-Server eine Nachricht erhält, prüft er im öffenltichen DNS auf die MTA-STS-Richtlinie des Absenders. Es wird geprüft, ob das Zertifikat des Servers mit der Richtlinie übereinstimmt. Sollten die Zertifikate nicht übereinstimmen oder keine veröffentlichte Richtlinie zutreffen, wird die E-Mail zurückgewiesen.

Einrichtung von MTA-STS

Um MTA-STS einzurichten, müssen Sie die folgenden Schritte ausführen:

  1. Erstellung eines TLS-Zertifikats: Sie müssen ein TLS-Zertifikat für Ihre E-Mail-Domäne erstellen. Sie können entweder ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) erwerben oder ein kostenloses Zertifikat von Let’s Encrypt verwenden.

  2. Erstellen einer MTA-STS-Richtliniendatei: Erstellen Sie eine Richtliniendatei , die Ihre MTA-STS-Richtlinie definiert. Diese Datei sollte den Namen “mta-sts.txt” tragen und auf dem Webserver Ihrer Domain gehostet werden.

  3. MTA-STS-Richtlinie veröffentlichen: Veröffentlichen Sie Ihre MTA-STS-Richtlinie , indem Sie einen DNS-Eintrag auf dem DNS-Server Ihrer Domain hinzufügen. Dieser Eintrag sollte ein TXT-Eintrag mit dem Namen “_mta-sts” sein und die URL zu Ihrer Richtliniendatei enthalten.

  4. Testen Sie die MTA-STS-Richtlinie: Sie sollten Ihre MTA-STS-Richtlinie testen, um sicherzustellen, dass sie korrekt funktioniert.

  5. MTA-STS-Protokolle überwachen: Überwachen Sie die Protokolle, um sicherzustellen, dass Ihre Richtlinie korrekt umgesetzt wird, und um eventuell auftretende Probleme zu beheben.

Schnell umgesetzt in M365

Mit ein paar Zeilen Code können Sie dies in Exchange Online schnell implementieren:

1
2
3

Connect-ExchangeOnline
Get-transportRule
Enable-TransportRuleTransportRule <Name der Richtlinie> -RequireTLS $true -EnableSecureTransport $true

Wie testet man MTA-STS?

Zunächst sollte überprüft werden, ob die zu testende Domäne eine MTA-STS-Richtlinie veröffentlicht hat. Dies können Sie tun, indem Sie eine DNS-Suche nach dem TXT-Eintrag “_mta-sts.domain.com” durchführen. Sollte der Eintrag existieren, so hat die Domäne MTA-STS bereits aktiviert.

Des Weiteren müssen Sie das HTTPS-Zertifikat der Domäne überprüfen. Dazu können Sie Tools wie SSL Labs’ SSL Server Test oder Qualys SSL Server Test verwenden. Die Testergebnisse zeigen, ob der Server MTA-STS unterstützt und ob das Zertifikat gültig ist.

Eine andere Möglichkeit der Überprüfung bietet folgende Seite: https://www.mailhardener.com/tools/mta-sts-validator