MTA-STS Übersicht
Willkommen zur MTA-STS-Dokumentation. Verwenden Sie die Seitenleiste oder die untenstehenden Links zur Navigation:
Was ist MTA-STS?
MTA-STS ist ein Sicherheitsprotokoll, das es E-Mail-Servern ermöglicht, die Verschlüsselung und Zertifikatsvalidierung über Transport Layer Security (TLS) durchzusetzen, wenn E-Mails an andere Server gesendet werden, die das Protokoll unterstützen. MTA-STS steht für Mail Transfer Agent Strict Transport Security über TLS und ist in RFC 8461 definiert.
Wie funktioniert MTA-STS?
MTA-STS funktioniert, indem E-Mail-Servern erlaubt wird, eine Richtlinie zu veröffentlichen, die festlegt, wie andere Server sich mit ihnen verbinden sollen. Die Richtlinie enthält folgende Informationen:
- Die Gültigkeitsdauer der Richtlinie
- Ob TLS-Verschlüsselung erforderlich oder optional ist
- Ob das Zertifikat des Servers mit dem Domainnamen übereinstimmen oder von einer vertrauenswürdigen Autorität signiert sein muss
- Wie Verbindungsfehler oder Richtlinienverletzungen gemeldet werden sollen
Die Richtlinie wird auf zwei Arten veröffentlicht: als DNS TXT-Eintrag und als Datei, die auf einem Webserver gehostet wird. Der DNS TXT-Eintrag enthält einen Hinweis auf den Webserver, auf dem sich die Richtliniendatei befindet. Die Richtliniendatei heißt .well-known/mta-sts.txt und ist als einfache Textdatei mit Schlüssel-Wert-Paaren formatiert.
Wenn ein E-Mail-Server eine E-Mail an einen anderen Server senden möchte, der MTA-STS unterstützt, fragt er zunächst den DNS TXT-Eintrag der Empfängerdomain ab, um zu prüfen, ob eine Richtlinie verfügbar ist. Wenn ja, ruft er die Richtliniendatei vom Webserver ab und befolgt die Anweisungen in der Richtlinie. Wenn die Richtlinie TLS-Verschlüsselung und Zertifikatsvalidierung erfordert, liefert der E-Mail-Server die E-Mail nur aus, wenn er eine sichere und authentifizierte Verbindung mit dem Empfänger-Server herstellen kann. Wenn die Richtlinie optional ist, versucht der E-Mail-Server, TLS-Verschlüsselung und Zertifikatsvalidierung zu verwenden, fällt jedoch auf eine unverschlüsselte Verbindung zurück, wenn dies fehlschlägt. Wenn die Richtlinie nicht verfügbar oder abgelaufen ist, verwendet der E-Mail-Server seine Standardeinstellungen für die E-Mail-Zustellung.
MTA-STS max-age Einstellungen
Die max_age-Direktive in der MTA-STS-Richtlinie gibt die maximale Lebensdauer der Richtlinie in Sekunden an. Hier sind einige wichtige Punkte dazu:
- Akzeptierte Werte: Jede positive Ganzzahl bis zu 31.557.600 Sekunden (was einem Jahr entspricht).
- Beispiel: Sie können
max_ageauf 604.800 Sekunden (was einer Woche entspricht) setzen.
Der Zweck von max_age besteht darin, zu bestimmen, wie lange Server Ihre MTA-STS-Richtlinie zwischenspeichern sollten, bevor sie nach einer neuen suchen. Google verarbeitet beispielsweise Richtlinien mit einem max_age von mehr als 86.400 Sekunden (einem Tag). Der maximale Wert für max_age beträgt 31.557.600 Sekunden.
Die Wahl eines geeigneten max_age-Wertes ist entscheidend. Hier sind einige Überlegungen:
- Kürzeres max_age:
- Ermöglicht eine einfachere Entfernung oder Änderung von MTA-STS, falls Interoperabilitätsprobleme auftreten.
- Nützlich für große Integratoren, die MTA-STS möglicherweise noch nicht unterstützen, dies aber in Zukunft planen.
- Längeres max_age:
- Reduziert die Häufigkeit von Richtlinienprüfungen.
- Bietet bessere Leistung, indem die Notwendigkeit häufiger Richtlinienaktualisierungen minimiert wird.
- Bedeutet jedoch auch, dass notwendige Richtlinienänderungen länger brauchen, um sich zu verbreiten.
Wie MTA-STS mit DMARC funktioniert
MTA-STS und DMARC ergänzen sich gegenseitig bei der Verbesserung der Sicherheit und Privatsphäre der E-Mail-Kommunikation. MTA-STS schützt die Verbindung zwischen E-Mail-Servern vor Abfangen und Manipulation, während DMARC den Inhalt und die Kopfzeile der E-Mail vor Spoofing und Phishing schützt. Durch die Verwendung beider Protokolle können E-Mail-Server und Benutzer ein höheres Maß an Vertrauen und Sicherheit in ihrer E-Mail-Kommunikation erreichen.
Warum ist MTA-STS wichtig?
MTA-STS ist wichtig, weil es die Sicherheit und Privatsphäre der E-Mail-Kommunikation verbessert. Durch die Durchsetzung von TLS-Verschlüsselung und Zertifikatsvalidierung verhindert MTA-STS, dass Angreifer E-Mails während der Übertragung abfangen, manipulieren oder fälschen.
Dies reduziert das Risiko von Phishing, Malware, Spam und Identitätsdiebstahl. MTA-STS hilft auch E-Mail-Servern, die Sicherheitsstandards und Vorschriften ihrer Branche oder Region einzuhalten.
Einschränkungen von MTA-STS
MTA-STS hat einige Einschränkungen, die E-Mail-Server und Benutzer beachten sollten. Einige davon sind:
- Geltungsbereich: MTA-STS gilt nur für die Verbindung zwischen E-Mail-Servern, nicht zwischen E-Mail-Clients und Servern. Daher müssen E-Mail-Clients und Benutzer weiterhin andere Sicherheitsmaßnahmen verwenden, wie z.B. Ende-zu-Ende-Verschlüsselung, um ihre E-Mails vor unbefugtem Zugriff oder Manipulation zu schützen.
- Abhängigkeit von DNS und Webservern: MTA-STS ist auf die Verfügbarkeit und Integrität der DNS- und Webserver angewiesen, die die Richtlinie hosten. Wenn diese Server kompromittiert, offline oder falsch konfiguriert sind, ist die Richtlinie möglicherweise nicht zugänglich oder korrekt, und die E-Mail-Zustellung kann beeinträchtigt werden.
- Durchsetzung der Richtlinie: MTA-STS verhindert nicht, dass E-Mail-Server E-Mails akzeptieren oder senden, die nicht mit der Richtlinie übereinstimmen. Beispielsweise kann ein E-Mail-Server eine E-Mail von einem Absender akzeptieren, der keine TLS-Verschlüsselung oder Zertifikatsvalidierung verwendet, oder er kann eine E-Mail an einen Empfänger senden, der MTA-STS nicht unterstützt. Daher müssen E-Mail-Server und Benutzer weiterhin andere Sicherheitsmechanismen verwenden, wie SPF, DKIM und DMARC, um die Identität und Authentizität der E-Mail-Absender und -Empfänger zu überprüfen.
Verwandte Themen
- TLS-RPT Domain-Einstellungen - Konfigurieren Sie TLS-RPT/MTA-STS-Einstellungen