ServerRecords

Hilfe & Fehlerbehebung

MTA-STS

Worum es geht

MTA-STS erlaubt einer Domain zu verlangen, dass eingehende Mail nur über authentifiziertes TLS an ihre aufgeführten MX-Hosts zugestellt wird. Es kombiniert einen DNS-Eintrag (_mta-sts) mit einer Richtliniendatei, die unter https://mta-sts.deinedomain.com/.well-known/mta-sts.txt ausgeliefert wird.

So liest du dein Ergebnis

Ein gesundes Setup zeigt sowohl den DNS-Eintrag als auch eine abrufbare Richtliniendatei, mit mode: enforce für echten Schutz (Testing meldet nur). Prüfe, ob die mx:-Einträge der Richtlinie tatsächlich mit deinen MX-Hostnamen übereinstimmen.

Häufige Probleme und wie du sie behebst

DNS-Eintrag existiert, aber die Richtliniendatei ist nicht erreichbar

Wie es sich zeigt: Absender können die Richtlinie nicht abrufen, sodass MTA-STS stillschweigend nichts bewirkt; die Prüfung meldet den Abruffehler.

So behebst du es: Liefere die Datei exakt unter https://mta-sts.deinedomain.com/.well-known/mta-sts.txt mit einem gültigen Zertifikat für die Subdomain mta-sts aus. Eine winzige statische Website oder ein CDN-Worker reicht — aber sie muss verfügbar bleiben.

mx-Einträge der Richtlinie stimmen nicht mit den echten MX-Einträgen überein

Wie es sich zeigt: Im enforce-Modus beginnt legitime Mail von strengen Absendern nach einer MX-Änderung zurückgewiesen zu werden.

So behebst du es: Aktualisiere die Richtliniendatei immer dann, wenn sich MX-Einträge ändern (und erhöhe die id= im DNS-Eintrag, damit Caches aktualisieren). Automatisiere diese Kopplung, wenn MX-Änderungen auch nur einigermaßen häufig sind.

Bleibt für immer im Testing-Modus stecken

Wie es sich zeigt: TLSRPT-Berichte treffen ein, aber Downgrade-Angriffe hätten weiterhin Erfolg — der Testing-Modus blockiert nie etwas.

So behebst du es: Wechsle nach einer sauberen Zeit im Testing (beobachte deine TLSRPT-Berichte) mode: auf enforce und erhöhe die id=.

Abfrage für diesen Eintrag starten