MTA-STS steht für Mail Transfer Agent-Strict Transport Security und ist relativ neu wenn es um Sicherheit bei Mailservern geht. Im RFC-8461 steht 2018 drin, also doch relativ frisch am Markt.

Aber was macht den nun MTA-STS? Ganz einfach ausdrückt teilt man einem Sendenden Mailserver mit, das dieser bitte zwingend eine TLS Verbindung aufbauen soll. Diese Mitteilung passiert natürlich wie so vieles über die DNS Einstellungen der Domaine, aber hier auch zusätzlich über einen Text-Datei Eintrag auf einem sicheren Webserver. Der Server von welchem die E-Mail abgesendet wird, speichert sich diese Datei für einen angegebenen Zeitraum ebenfalls ab.

Das Verfahren ist zwar nicht ganz so sicher wie DANE mit DNSSEC im Kombination, ist aber wieder ein Schritt weiter in Richtung Absicherung des eigenen Mailverkehrs.

MTA-STS für Mailcow einrichten

Eine Datei mit dem Namen mta-sts.txt muss auf einem abgesicherten Webserver hinterlegt werden. Leider auch nicht auf irgendeinem Webserver, sondern genau auf einer bestimmten Subdomain und Ordnerpfad. Zum Glück ist das beim Mailcow relativ einfach.

Der Pfad muss lauten “ https://mta-sts.domain.de/.well-known/mta-sts.txt „. Keine doofen Fragen, der Pfad MUSS so lauten. Und jetzt noch die Schnitte oben drauf, das ganze MUSS über ein gültig signiertes Zertifikat verfügen. Die kostenlose Variante Let’s Encrypt ist vollkommen ok.

version: STSv1
mode: enforce
max_age: 15552000
mx: mail.schroederdennis.de
mx: *.schroederdennis.de

Kurze Erklärung, bei Mode kann man zwischen „enforce“ und „testing“ wählen. Enforce ist natürlich für den produktiven Einsatz. Max_Age gibt die Gültigkeit dieser Information an und unter den MX Records findet man die gültigen MX Records für den Mailserver. Die Version ist aktuell nicht veränderbar und bleibt auf STSv1 stehen.

Im Mailcow findet Ihr den Ordner .well-known unter /opt/mailcow-dockerized/data/web/.well-known. Dort legt Ihr bitte die Datei mit eurem angepassten Inhalt ab. Diese sollte dann frei lesbar im Browser aufrufbar sein. Für die Domain schroederdennis.de könnt Ihr diese lesen unter https://mta-sts.schroederdennis.de/.well-known/mta-sts.txt.

Selbst Google hat so einen Eintrag im Internet stehen. Das könnt Ihr hier sehen: https://mta-sts.gmail.com/.well-known/mta-sts.txt

3 DNS Einträge sind nötig für MTA-STS

mta-sts muss natürlich als A Record hinterlegt werden für die Abfrage der mta-sts.txt Datei.

Name: mta-sts
Typ: A
Wert: <DEINE-SERVER-IP-ADRESSE>

_mta-sts als TXT Record um überhaupt das MTA zu aktivieren. (Unterstrich nicht vergessen)

Name: _mta-sts
Typ: TXT
Wert: v=STSv1; id=20220231031800Z

Der ID Wert ist lediglich eine Versionsnummer in Form von einem Zeitstempel. Könnt Ihr so stehen lassen oder eben an den aktuellen Tag anpassen.

_smtp._tls als TXT Record dienst als Troubleshooting Zwecke. Wenn irgendwas irgendwo nicht stimmen sollte, dann erhaltet Ihr eine E-Mail von dem Server mit dem Problem mit ein paar Informationen.

Name: _smtp._tls
Typ: TXT
Wert: v=TLSRPTv1; rua=mailto:monitoring@schroederdennis.de

Achtet bitte penible auf die Schreibweise. Die führenden Unterstriche sind absolut wichtig, sonst klappt das ganze Thema nicht.

Bevor Ihr dieses Thema hier angeht, kümmert euch bitte zunächst um die SPF, DKIM und DMARC Einträge. Die sind meiner Meinung nach deutlich wichtiger.

AngebotBestseller Nr. 1
AMD Ryzen 9 5900X 12-core, 24-Thread Unlocked Desktop Processor, bis zu 4.8GHz
AMD Ryzen 9 5900X 12-core, 24-Thread Unlocked Desktop Processor, bis zu 4.8GHz
OS Support: Windows 10 - 64-Bit Edition, RHEL x86 64-Bit, Ubuntu x86 64-Bit
−255,02 EUR 228,87 EUR Amazon Prime

Folgender Link führt euch zum Thema:
Mailcow – SPF, DKIM und DMARC erklärt und einrichten

MTA-STS einrichten
checktls.com Auswertung
checktls.com Auswertung
ssllabs.com Auswertung