--- title: "MTA-STS-Hosting - TLS-Verschlüsselung für E-Mail-Zustellung erzwingen | DMARC Report" description: "DMARC Report hostet Ihre MTA-STS-Richtliniendatei, damit Empfangs-Mailserver TLS-Verschlüsselung erzwingen. Kein separater Webserver nötig. Verhindern Sie Downgrade-Angriffe und stellen Sie verschlüsselte E-Mail-Zustellung sicher." image: "https://dmarcreport.com/images/og-default.png" canonical: "https://dmarcreport.com/de/mta-sts-hosting/" --- E-Mail-Verschlüsselung # TLS-Verschlüsselung erzwingen ohne einen Webserver zu betreiben MTA-STS erfordert das Hosting einer Richtliniendatei an einem bestimmten HTTPS-Endpunkt. DMARC Report hostet sie für Sie - verhindert Downgrade-Angriffe und stellt verschlüsselte E-Mail-Zustellung an Ihre Domain sicher. [ Kostenlos testen → ](https://app.dmarcreport.com/) [Preise ansehen](/de/preisgestaltung/) Der Standard ## Was ist MTA-STS? MTA-STS (Mail Transfer Agent Strict Transport Security) ist in **RFC 8461** definiert. Es teilt sendenden Mailservern mit, dass Ihre Domain TLS-verschlüsselte Verbindungen erfordert - und dass sie die Zustellung verweigern sollen, wenn keine Verschlüsselung hergestellt werden kann. Ohne MTA-STS verlässt sich E-Mail auf opportunistisches TLS - ein sendender Server _versucht_ Verschlüsselung, fällt aber stillschweigend auf Klartext zurück, wenn dies fehlschlägt. Das macht Ihre E-Mail anfällig für Man-in-the-Middle- und Downgrade-Angriffe. - Verhindert TLS-Downgrade-Angriffe auf eingehende E-Mails - Erfordert, dass sendende Server Ihre Mailserver-Zertifikate überprüfen - Arbeitet neben DANE als ergänzender Verschlüsselungsstandard - Übernommen von Google, Microsoft, Yahoo und anderen großen Anbietern https://mta-sts.beispiel.de/.well-known/mta-sts.txt version: STSv1 mode: enforce mx: mail.beispiel.de mx: \*.beispiel.de max\_age: 604800 Gültiges TLS-Zertifikat • Gehostet von DMARC Report Das Problem ## Wie Downgrade-Angriffe Ihre E-Mails stehlen Ohne MTA-STS kann ein Man-in-the-Middle TLS aus der Verbindung entfernen und E-Mails zwingen, im Klartext zu reisen. MTA-STS macht dies unmöglich. Normal Opportunistisches TLS Der Sender versucht TLS herzustellen. Wenn die Verschlüsselungsverhandlung gelingt, reist die E-Mail verschlüsselt. Aber wenn etwas schiefgeht, fällt der Server stillschweigend auf Klartext zurück. Verschlüsselt wenn möglich Unter Angriff TLS entfernt Ein Angreifer fängt die Verbindung ab und entfernt den STARTTLS-Befehl. Der sendende Server denkt, TLS sei nicht verfügbar, und stellt die E-Mail im Klartext zu - vollständig lesbar. Klartext - exponiert Mit MTA-STS TLS erzwungen Der sendende Server prüft Ihre MTA-STS-Richtlinie vor der Verbindung. Wenn TLS nicht hergestellt werden kann oder das Zertifikat ungültig ist, verweigert der Server die Zustellung - die E-Mail wird niemals im Klartext gesendet. Immer verschlüsselt Richtlinienmodi ## Drei Modi für jede Bereitstellungsphase Beginnen Sie mit Testing zur Überwachung, wechseln Sie zu Durchsetzen wenn bereit, und verwenden Sie Keine, wenn Sie die Richtlinie vorübergehend deaktivieren müssen. Testing mode: testing TLS-Fehler melden, aber E-Mails trotzdem zustellen. Verwenden Sie diesen Modus bei der erstmaligen Bereitstellung von MTA-STS, um Probleme zu erkennen, ohne E-Mails zu blockieren. Erstbereitstellung - überwachen vor der Durchsetzung Durchsetzen mode: enforce E-Mail-Verbindungen ablehnen, die kein TLS herstellen können. Empfangsserver verweigern die Zustellung von E-Mails an Ihre Domain über einen unverschlüsselten Kanal. Produktion - nach Überprüfung, dass keine Zustellprobleme bestehen Keine mode: none Die MTA-STS-Richtlinie deaktivieren. Empfangsserver ignorieren die Richtliniendatei und fallen auf opportunistisches TLS-Verhalten zurück. Vorübergehende Deaktivierung - Fehlerbehebung oder Migration So funktioniert es ## Drei Schritte zur MTA-STS-Bereitstellung Kein Webserver zu konfigurieren, keine Zertifikate zu verwalten, keine Infrastruktur zu pflegen. Fügen Sie Ihre Domain hinzu und wir erledigen den Rest. 1 Domain hinzufügen Geben Sie Ihre Domain in DMARC Report ein. Wir erkennen automatisch Ihre MX-Einträge und generieren eine MTA-STS-Richtliniendatei, die auf Ihre Mail-Infrastruktur zugeschnitten ist. 2 Wir hosten die Richtliniendatei DMARC Report hostet die Richtliniendatei unter https://mta-sts.ihredomain.de/.well-known/mta-sts.txt mit einem gültigen TLS-Zertifikat - kein Webserver auf Ihrer Seite nötig. 3 DNS-TXT-Eintrag hinzufügen Veröffentlichen Sie einen TXT-Eintrag bei \_mta-sts.ihredomain.de, um die Richtlinie zu aktivieren. Wir generieren den exakten Eintragsinhalt zum Kopieren und Einfügen. DNS TXT-Eintrag Erforderlicher DNS-Eintrag Host \_mta-sts.ihredomain.de Typ TXT Wert v=STSv1; id=20240101T000000Z Der id-Wert ändert sich, wenn Sie den Richtlinienmodus aktualisieren Was Sie bekommen ## Alles im MTA-STS-Hosting enthalten ### Gehostete Richtliniendatei Wir stellen Ihre MTA-STS-Richtlinie am erforderlichen HTTPS-Endpunkt bereit. Kein Webserver, Zertifikat oder Infrastruktur auf Ihrer Seite zu pflegen. ### Automatische Zertifikate TLS-Zertifikate für die mta-sts-Subdomain werden automatisch bereitgestellt und erneuert. Null Wartungsaufwand für Sie. ### Richtlinienmodus-Wechsel Wechseln Sie zwischen Testing-, Durchsetzungs- und Deaktivierungsmodus über das Dashboard. Änderungen werden sofort wirksam - keine DNS-Bearbeitungen erforderlich. ### DNS-Eintrag-Generierung Wir generieren den exakten \_mta-sts TXT-Eintrag, den Sie benötigen. Kopieren und in Ihren DNS-Anbieter einfügen - kein Rätselraten über Formatierung oder Versionierung. ### Überwachungs-Dashboard Verfolgen Sie Richtlinienabruf-Aktivitäten und sehen Sie, wann Empfangsserver Ihre MTA-STS-Richtlinie anfordern. Erkennen Sie Fehlkonfigurationen, bevor sie den E-Mail-Fluss beeinträchtigen. ### TLS-RPT-Integration Kombinieren Sie MTA-STS mit TLS-RPT, um Berichte zu erhalten, wenn TLS-Verbindungen fehlschlagen. MTA-STS erzwingt, TLS-RPT berichtet. Verfügbarkeit ## Verfügbar ab Shield und höher MTA-STS-Hosting ist im **Shield-Tarif ($75/Monat)** und allen höheren Tarifen enthalten. Keine Zusatzgebühren, keine Kosten pro Domain für MTA-STS. Enthält außerdem TLS-RPT-Überwachung, Schutz geparkter Domains und alle DMARC-Kernfunktionen. [ Preise ansehen → ](/de/preisgestaltung/) [Mehr über TLS-RPT-Überwachung erfahren → ](/de/tls-rpt/) ## E-Mail-Verschlüsselung noch heute erzwingen Starten Sie Ihre kostenlose Testphase - stellen Sie MTA-STS in Minuten bereit, ohne Infrastruktur verwalten zu müssen. [Kostenlos testen](https://app.dmarcreport.com/) ## Was Sicherheitsteams über DMARC Report sagen ![G2 Leader - DMARC](https://media.mailhop.org/dmarcreport/images/g2-badges/DMARC_Leader_Leader.png) Rated 4.8/5 on G2 · 469 verified reviews ![G2 Momentum Leader - DMARC](https://media.mailhop.org/dmarcreport/images/g2-badges/DMARC_MomentumLeader_Leader.png) VU Verified User in Information Technology and Services 5/5 ### "Best security tool for your own domains" The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind. 8/31/2022Verified on G2 RC Ryan C. Director 4.5/5 ### "Control Centre for Email Security" I like that we can see and check all reports on just 1 platform. We manage multiple domains, and monitoring them all in one place is essential. 8/29/2022Verified on G2 eg eddy g. Director 4.5/5 ### "A great solution to a common email problem." I have been using them for the last month after my Google business email started giving DMARC errors. I didn't even know what it meant at that time. After a little googling I found that people can spoof it as well. So far so good — the best thing is it protects every email. 8/29/2022Verified on G2 [Read all 469 reviews on G2 →](https://www.g2.com/products/dmarc-report/reviews) ```json {"@context":"https://schema.org","@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com","logo":{"@type":"ImageObject","url":"https://dmarcreport.com/images/dmarcreport-logo.png"},"description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","parentOrganization":{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138883901","name":"DuoCircle LLC","url":"https://www.duocircle.com","sameAs":["https://www.wikidata.org/wiki/Q138883901","https://www.crunchbase.com/organization/duocircle-llc","https://www.linkedin.com/company/duocircle","https://github.com/duocircle"],"subOrganization":[{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897474","name":"AutoSPF","url":"https://autospf.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897912","name":"Phish Protection","url":"https://www.phishprotection.com"}]},"sameAs":["https://www.wikidata.org/wiki/Q138898167","https://www.linkedin.com/company/duocircle","https://x.com/duocirclellc","https://www.g2.com/products/dmarc-report/reviews","https://github.com/duocircle","https://www.crunchbase.com/organization/duocircle-llc","https://www.trustradius.com/products/duocircle/reviews"],"aggregateRating":{"@type":"AggregateRating","ratingValue":"4.8","reviewCount":"470","bestRating":"5","worstRating":"1","url":"https://www.g2.com/products/dmarc-report/reviews"},"contactPoint":{"@type":"ContactPoint","contactType":"customer support","url":"https://dmarcreport.com/support/"},"knowsAbout":["DMARC","DMARC Reporting","DMARC Aggregate Reports","DMARC Forensic Reports","Sender Policy Framework","DKIM","Email Authentication","Email Security","DNS Management","Email Deliverability"]} ``` ```json {"@context":"https://schema.org","@type":"WebSite","name":"DMARC Report","url":"https://dmarcreport.com","description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","publisher":{"@type":"Organization","name":"DMARC Report","url":"https://dmarcreport.com","logo":{"@type":"ImageObject","url":"https://dmarcreport.com/images/dmarcreport-logo.png"},"description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","parentOrganization":{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138883901","name":"DuoCircle LLC","url":"https://www.duocircle.com","sameAs":["https://www.wikidata.org/wiki/Q138883901","https://www.crunchbase.com/organization/duocircle-llc","https://www.linkedin.com/company/duocircle","https://github.com/duocircle"],"subOrganization":[{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897474","name":"AutoSPF","url":"https://autospf.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897912","name":"Phish Protection","url":"https://www.phishprotection.com"}]}}} ``` ```json [{"@context":"https://schema.org","@type":"WebPage","name":"MTA-STS-Hosting - TLS-Verschlüsselung für E-Mail-Zustellung erzwingen | DMARC Report","description":"DMARC Report hostet Ihre MTA-STS-Richtliniendatei, damit Empfangs-Mailserver TLS-Verschlüsselung erzwingen. Kein separater Webserver nötig. Verhindern Sie Downgrade-Angriffe und stellen Sie verschlüsselte E-Mail-Zustellung sicher.","url":"https://dmarcreport.com/de/mta-sts-hosting/","isPartOf":{"@type":"WebSite","name":"DMARC Report","url":"https://dmarcreport.com"}}] ``` ```json {"@context":"https://schema.org","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https://dmarcreport.com/"},{"@type":"ListItem","position":2,"name":"Funktionen","item":"https://dmarcreport.com/de/eigenschaften/"},{"@type":"ListItem","position":3,"name":"MTA-STS-Hosting","item":"https://dmarcreport.com/de/mta-sts-hosting/"}]} ```