Hilfe & Fehlerbehebung
MTA-STS
Worum es geht
MTA-STS erlaubt einer Domain zu verlangen, dass eingehende Mail nur über authentifiziertes TLS an ihre aufgeführten MX-Hosts zugestellt wird. Es kombiniert einen DNS-Eintrag (_mta-sts) mit einer Richtliniendatei, die unter https://mta-sts.deinedomain.com/.well-known/mta-sts.txt ausgeliefert wird.
So liest du dein Ergebnis
Ein gesundes Setup zeigt sowohl den DNS-Eintrag als auch eine abrufbare Richtliniendatei, mit mode: enforce für echten Schutz (Testing meldet nur). Prüfe, ob die mx:-Einträge der Richtlinie tatsächlich mit deinen MX-Hostnamen übereinstimmen.
Häufige Probleme und wie du sie behebst
DNS-Eintrag existiert, aber die Richtliniendatei ist nicht erreichbar
Wie es sich zeigt: Absender können die Richtlinie nicht abrufen, sodass MTA-STS stillschweigend nichts bewirkt; die Prüfung meldet den Abruffehler.
So behebst du es: Liefere die Datei exakt unter https://mta-sts.deinedomain.com/.well-known/mta-sts.txt mit einem gültigen Zertifikat für die Subdomain mta-sts aus. Eine winzige statische Website oder ein CDN-Worker reicht — aber sie muss verfügbar bleiben.
mx-Einträge der Richtlinie stimmen nicht mit den echten MX-Einträgen überein
Wie es sich zeigt: Im enforce-Modus beginnt legitime Mail von strengen Absendern nach einer MX-Änderung zurückgewiesen zu werden.
So behebst du es: Aktualisiere die Richtliniendatei immer dann, wenn sich MX-Einträge ändern (und erhöhe die id= im DNS-Eintrag, damit Caches aktualisieren). Automatisiere diese Kopplung, wenn MX-Änderungen auch nur einigermaßen häufig sind.
Bleibt für immer im Testing-Modus stecken
Wie es sich zeigt: TLSRPT-Berichte treffen ein, aber Downgrade-Angriffe hätten weiterhin Erfolg — der Testing-Modus blockiert nie etwas.
So behebst du es: Wechsle nach einer sauberen Zeit im Testing (beobachte deine TLSRPT-Berichte) mode: auf enforce und erhöhe die id=.