TLS-Verschlüsselung erzwingen
ohne einen Webserver zu betreiben
MTA-STS erfordert das Hosting einer Richtliniendatei an einem bestimmten HTTPS-Endpunkt. DMARC Report hostet sie für Sie — verhindert Downgrade-Angriffe und stellt verschlüsselte E-Mail-Zustellung an Ihre Domain sicher.
Was ist MTA-STS?
MTA-STS (Mail Transfer Agent Strict Transport Security) ist in RFC 8461 definiert. Es teilt sendenden Mailservern mit, dass Ihre Domain TLS-verschlüsselte Verbindungen erfordert — und dass sie die Zustellung verweigern sollen, wenn keine Verschlüsselung hergestellt werden kann.
Ohne MTA-STS verlässt sich E-Mail auf opportunistisches TLS — ein sendender Server versucht Verschlüsselung, fällt aber stillschweigend auf Klartext zurück, wenn dies fehlschlägt. Das macht Ihre E-Mail anfällig für Man-in-the-Middle- und Downgrade-Angriffe.
- Verhindert TLS-Downgrade-Angriffe auf eingehende E-Mails
- Erfordert, dass sendende Server Ihre Mailserver-Zertifikate überprüfen
- Arbeitet neben DANE als ergänzender Verschlüsselungsstandard
- Übernommen von Google, Microsoft, Yahoo und anderen großen Anbietern
Wie Downgrade-Angriffe Ihre E-Mails stehlen
Ohne MTA-STS kann ein Man-in-the-Middle TLS aus der Verbindung entfernen und E-Mails zwingen, im Klartext zu reisen. MTA-STS macht dies unmöglich.
Der Sender versucht TLS herzustellen. Wenn die Verschlüsselungsverhandlung gelingt, reist die E-Mail verschlüsselt. Aber wenn etwas schiefgeht, fällt der Server stillschweigend auf Klartext zurück.
Ein Angreifer fängt die Verbindung ab und entfernt den STARTTLS-Befehl. Der sendende Server denkt, TLS sei nicht verfügbar, und stellt die E-Mail im Klartext zu — vollständig lesbar.
Der sendende Server prüft Ihre MTA-STS-Richtlinie vor der Verbindung. Wenn TLS nicht hergestellt werden kann oder das Zertifikat ungültig ist, verweigert der Server die Zustellung — die E-Mail wird niemals im Klartext gesendet.
Drei Modi für jede Bereitstellungsphase
Beginnen Sie mit Testing zur Überwachung, wechseln Sie zu Durchsetzen wenn bereit, und verwenden Sie Keine, wenn Sie die Richtlinie vorübergehend deaktivieren müssen.
TLS-Fehler melden, aber E-Mails trotzdem zustellen. Verwenden Sie diesen Modus bei der erstmaligen Bereitstellung von MTA-STS, um Probleme zu erkennen, ohne E-Mails zu blockieren.
E-Mail-Verbindungen ablehnen, die kein TLS herstellen können. Empfangsserver verweigern die Zustellung von E-Mails an Ihre Domain über einen unverschlüsselten Kanal.
Die MTA-STS-Richtlinie deaktivieren. Empfangsserver ignorieren die Richtliniendatei und fallen auf opportunistisches TLS-Verhalten zurück.
Drei Schritte zur
MTA-STS-Bereitstellung
Kein Webserver zu konfigurieren, keine Zertifikate zu verwalten, keine Infrastruktur zu pflegen. Fügen Sie Ihre Domain hinzu und wir erledigen den Rest.
Geben Sie Ihre Domain in DMARC Report ein. Wir erkennen automatisch Ihre MX-Einträge und generieren eine MTA-STS-Richtliniendatei, die auf Ihre Mail-Infrastruktur zugeschnitten ist.
DMARC Report hostet die Richtliniendatei unter https://mta-sts.ihredomain.de/.well-known/mta-sts.txt mit einem gültigen TLS-Zertifikat — kein Webserver auf Ihrer Seite nötig.
Veröffentlichen Sie einen TXT-Eintrag bei _mta-sts.ihredomain.de, um die Richtlinie zu aktivieren. Wir generieren den exakten Eintragsinhalt zum Kopieren und Einfügen.
Alles im MTA-STS-Hosting enthalten
Gehostete Richtliniendatei
Wir stellen Ihre MTA-STS-Richtlinie am erforderlichen HTTPS-Endpunkt bereit. Kein Webserver, Zertifikat oder Infrastruktur auf Ihrer Seite zu pflegen.
Automatische Zertifikate
TLS-Zertifikate für die mta-sts-Subdomain werden automatisch bereitgestellt und erneuert. Null Wartungsaufwand für Sie.
Richtlinienmodus-Wechsel
Wechseln Sie zwischen Testing-, Durchsetzungs- und Deaktivierungsmodus über das Dashboard. Änderungen werden sofort wirksam — keine DNS-Bearbeitungen erforderlich.
DNS-Eintrag-Generierung
Wir generieren den exakten _mta-sts TXT-Eintrag, den Sie benötigen. Kopieren und in Ihren DNS-Anbieter einfügen — kein Rätselraten über Formatierung oder Versionierung.
Überwachungs-Dashboard
Verfolgen Sie Richtlinienabruf-Aktivitäten und sehen Sie, wann Empfangsserver Ihre MTA-STS-Richtlinie anfordern. Erkennen Sie Fehlkonfigurationen, bevor sie den E-Mail-Fluss beeinträchtigen.
TLS-RPT-Integration
Kombinieren Sie MTA-STS mit TLS-RPT, um Berichte zu erhalten, wenn TLS-Verbindungen fehlschlagen. MTA-STS erzwingt, TLS-RPT berichtet.
Verfügbar ab Shield und höher
MTA-STS-Hosting ist im Shield-Tarif ($75/Monat) und allen höheren Tarifen enthalten. Keine Zusatzgebühren, keine Kosten pro Domain für MTA-STS.
Enthält außerdem TLS-RPT-Überwachung, Schutz geparkter Domains und alle DMARC-Kernfunktionen.
E-Mail-Verschlüsselung noch heute erzwingen
Starten Sie Ihre kostenlose Testphase — stellen Sie MTA-STS in Minuten bereit, ohne Infrastruktur verwalten zu müssen.
Kostenlos testenWas Sicherheitsteams über DMARC Report sagen
Rated 4.8/5 on G2 · 469 verified reviews
Verified User in Information Technology and Services
"Best security tool for your own domains"
The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.
Ryan C.
Director
"Control Centre for Email Security"
I like that we can see and check all reports on just 1 platform. We manage multiple domains, and monitoring them all in one place is essential.
eddy g.
Director
"A great solution to a common email problem."
I have been using them for the last month after my Google business email started giving DMARC errors. I didn't even know what it meant at that time. After a little googling I found that people can spoof it as well. So far so good — the best thing is it protects every email.