Benachrichtigung

Duet AI heißt jetzt Gemini für Google Workspace. Weitere Informationen

E-Mail-Sicherheit durch MTA-STS- und TLS-Berichterstellung erhöhen

2. MTA-STS-Richtlinien erstellen

Wenn Sie den Standard „Mail Transfer Agent-Strict Transport Security“ (MTA-STS) für Ihre Domains einrichten möchten, müssen Sie für jede Domain eine eigene Richtlinie erstellen und veröffentlichen. Darin sind die Mailserver in der Domain definiert, die MTA-STS verwenden.

Für jede Domain ist eine separate Richtliniendatei erforderlich. Die Richtlinien können zwar identisch sein, müssen aber für jede Domain mit MTA-STS separat gehostet werden.

Serveranforderungen für MTA-STS

Auf die Mailserver für eingehende E-Mails muss Folgendes zutreffen:

  • E-Mails werden über eine sichere Verbindung (TLS) übertragen.
  • Sie verwenden die TLS-Version 1.2 oder höher.
  • Für die TLS-Zertifikate der Server gilt:
    • Der enthaltene Domainname entspricht dem des Servers für eingehende E-Mails. Das ist der Server in Ihren MX-Einträgen.
    • Sie sind signiert und werden von einer Stammzertifizierungsstelle als vertrauenswürdig eingestuft.
    • Sie dürfen nicht abgelaufen sein.

Weitere Informationen zur sicheren Übertragung mit TLS-Zertifikaten

Modi für die MTA-STS-Richtlinien

Sie können MTA-STS-Richtlinien im Testmodus oder im erzwungenen Modus einrichten.

Testmodus

Im Testmodus erhalten Sie von externen Mailservern täglich Berichte mit Informationen zu Problemen, die beim Verbinden mit Ihrer Domain erkannt wurden. Die Berichte enthalten Informationen zu erkannten MTA-STS-Richtlinien, Zugriffsstatistiken, fehlgeschlagenen Verbindungen und Details zu Nachrichten, die nicht gesendet werden konnten.

Im Testmodus fordert Ihre Domain nur Berichte an. Es werden keine laut MTA-STS erforderlichen Sicherheitsmaßnahmen für Verbindungen erzwungen. Wir empfehlen, den Testmodus in den ersten beiden Wochen zu aktivieren. Die in diesem Zeitraum gewonnenen Berichtsdaten genügen, um Probleme mit Ihrer Domain zu erkennen und zu beheben.

Beheben Sie mithilfe der Informationen in den täglichen Berichten die Sicherheitsprobleme mit Ihrem Server oder Ihrer Domain, z. B. Fehler bei der Verschlüsselung. Legen Sie anschließend den erzwungenen Modus für die Richtlinie fest.

Erzwungener Modus

Wenn der erzwungene Modus für die Richtlinie aktiviert ist, müssen externe Server überprüfen, ob die SMTP-Verbindung sowohl verschlüsselt als auch authentifiziert ist.

Falls das nicht auf die Verbindung zutrifft, geschieht Folgendes:

  • Server, die MTA-STS unterstützen, senden keine E-Mails an Ihre Domain.
  • Server, die MTA-STS nicht unterstützen, senden wie gewohnt Nachrichten über SMTP-Verbindungen an Ihre Domain, wobei diese SMTP-Verbindungen möglicherweise nicht verschlüsselt sind.

Im erzwungenen Modus erhalten Sie weiterhin täglich Berichte von externen Servern.

Richtliniendatei erstellen

Die Richtliniendatei ist eine Nur-Text-Datei mit Schlüssel/Wert-Paaren. Jedes Paar muss sich in der Textdatei in einer separaten Zeile befinden, wie im Beispiel unten gezeigt. Die Richtlinientextdatei darf maximal 64 KB groß sein.

Name der Richtliniendatei: Der Name muss mta-sts.txt lauten.

Richtliniendateien aktualisieren: Sie müssen die Richtliniendatei jedes Mal entsprechend aktualisieren, wenn Sie Mailserver hinzufügen oder bearbeiten oder die Domain wechseln.

Aufbau der Richtliniendatei: Die erste Zeile der Richtlinie muss das Feld version enthalten. Die Reihenfolge aller anderen Felder ist beliebig. Hier sehen Sie ein Beispiel für eine Richtliniendatei:

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Inhalt der Richtliniendatei: Die Richtlinie muss alle dieser Schlüssel/Wert-Paare enthalten. Führen Sie die Schritte unter MTA-STS-Konfiguration überprüfen aus, um eine Richtlinie abzurufen, die für Ihre Domain angepasst wurde.

Schlüssel Wert
version Die Protokollversion. Der Wert muss STSv1 lauten.
mode

Richtlinienmodus:

  • testing (Testen): Externe Server senden Berichte zu Verschlüsselungsproblemen und anderen Problemen, die beim Verbinden mit Ihrer Domain erkannt wurden. Die MTA-STS-Anforderung, dass Verschlüsselung und Authentifizierung erfolgen müssen, wird nicht erzwungen.

  • enforce (Erzwingen): Mailserver, die für MTA-STS eingerichtet sind, senden keine Nachrichten an Ihre Domain, wenn die SMTP-Verbindung nicht sowohl authentifiziert als auch verschlüsselt ist. Wie im Testmodus erhalten Sie Berichte von externen Servern zu Verbindungsproblemen.

  • none (Ohne): Externen Servern wird mitgeteilt, dass die Domain kein MTA-STS mehr unterstützt. Nutzen Sie diesen Modus, wenn Sie MTA-STS außer Kraft setzen möchten. Weitere Informationen zum Entfernen von MTA-STS (RFC 8461) (in englischer Sprache)
mx

MX-Eintrag für die Domain

  • Die Richtlinie muss für alle der Domain hinzugefügten MX-Einträge einen mx-Eintrag haben.
  • Jeder mx-Eintrag muss sich in der Richtliniendatei in einer separaten Zeile befinden, wie im Beispiel gezeigt.
  • Der Name des Mailservers muss im Standardformat SAN (Subject Alternative Name) vorliegen.
  • Der Wert mx muss eines der folgenden Formate haben:

    Server müssen im MX-Standardformat angegeben werden: alt1.aspmx.solarmora.com

    Wenn Sie mehrere Server mit dem gleichen Benennungsmuster angeben, können Sie einen Platzhalter für die Angaben auf der linken Seite verwenden, z. B. *.solarmora.com

Weitere Informationen zu MX-Einträgen und MX-Eintragswerten
max_age

Maximale Gültigkeitsdauer der Richtlinie in Sekunden. max_age wird jedes Mal für einen externen Server zurückgesetzt, wenn der Server die Richtlinie prüft. Daher gelten für unterschiedliche externe Server unterschiedliche Gültigkeitszeiträume für dieselbe Richtlinie.

Der Wert muss zwischen 86.400 (1 Tag) und 31.557.600 (etwa 1 Jahr) liegen.

Für den Testmodus empfehlen wir einen Wert zwischen 604.800 und 1.209.600 (1–2 Wochen).

Weitere Informationen

MTA-STS-Richtlinien veröffentlichen

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
2794861711272455662
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false