MTA-STS und TLS Reporting

Sie können Gmail in Ihrer Organisation sicherer machen, indem Sie MTA Strict Transport Security (MTA-STS) für Ihre Domain aktivieren. Dieser Standard sorgt dafür, dass eingehende E-Mails verschlüsselt und authentifiziert sein müssen. Verwenden Sie TLS-Berichte (Transport Layer Security), um Informationen zu externen Serververbindungen mit Ihrer Domain abzurufen.

Wie bei allen E-Mail-Anbietern wird auch bei Gmail für das Senden und Empfangen von Nachrichten das Simple Mail Transfer Protocol (SMTP) verwendet. Alleine bietet es jedoch keine Sicherheit und viele SMTP-Server sind nicht zusätzlich vor bösartigen Angriffen geschützt.

Das Protokoll ist z. B. anfällig für Man-in-the-Middle-Angriffe. Darunter versteht man einen Angriff, bei dem die Kommunikation zwischen zwei Servern abgefangen und möglicherweise unerkannt geändert wird. Mit MTA-STS lässt sich die Sicherheit der Mailserver-Verbindungen erhöhen und die Wahrscheinlichkeit solcher Angriffe verhindern.

Weitere Informationen zu MTA-STS (RFC 8461) und TLS Reporting (RFC 8460).

Google empfiehlt, zusätzliche E-Mail-Authentifizierungsmethoden für Ihr Konto einzurichten, darunter DKIM, SPF und DMARC. Weitere Informationen zu empfohlenen E-Mail-Authentifizierungsmethoden

E-Mail-Sicherheit mithilfe von MTA-STS

SMTP-Verbindungen für E-Mails sind sicherer, wenn der sendende Server MTA-STS unterstützt und der empfangende Server eine MTA-STS-Richtlinie im erzwungenen Modus hat.

E-Mails empfangen:Wenn Sie MTA-STS für Ihre Domain aktivieren, dürfen externe Mailserver nur dann Nachrichten an Ihre Domain senden, wenn für die SMTP-Verbindung Folgendes gilt:

Sie ist mit einem gültigen öffentlichen Zertifikat authentifiziert
Die Verschlüsselung erfolgt mit TLS 1.2 oder höher

Bei Mailservern, die MTA-STS unterstützen, werden Nachrichten nur über Verbindungen gesendet, die authentifiziert und verschlüsselt sind.

E-Mails senden:Gmail-Nachrichten aus Ihrer Domain erfüllen automatisch den MTA-STS-Standard, wenn sie an externe Server mit einer MTA-STS-Richtlinie im erzwungenen Modus gesendet werden.

TLS-Berichterstellung

Wenn Sie TLS Reporting aktivieren, erhalten Sie täglich Berichte von externen Mailservern, die eine Verbindung zu Ihrer Domain herstellen. Darin finden Sie Informationen zu Verbindungsproblemen, die gegebenenfalls beim E-Mail-Versand von externen Servern an Ihre Domain auftreten. Damit können Sie Sicherheitsprobleme Ihres Mailservers identifizieren und beheben.

Schritte zum Einrichten von MTA-STS und TLS Reporting

Überprüfen Sie die MTA-STS-Konfiguration für Ihre Domain.
Erstellen Sie eine MTA-STS-Richtlinie.
Veröffentlichen Sie die MTA-STS-Richtlinie.
Fügen Sie DNS-TXT-Einträge hinzu, um MTA-STS und TLS Reporting zu aktivieren.

Jetzt starten

Weitere Informationen zu MTA-STS- und TLS-Berichten

Wie wird die E-Mail-Sicherheit mit MTA-STS verbessert?

SMTP ist optional und SMTP-Internetstandards verlangen, dass bei diesem Protokoll Klartextverbindungen akzeptiert werden. Mit SMTP allein ist lediglich für die bestmögliche E-Mail-Zustellung gesorgt. Es bietet keine garantierte Nachrichtenübermittlung oder Mindestqualität des Diensts. TLS wird zwar von SMTP unterstützt, aber bei vielen SMTP-Servern nicht eingesetzt, was sie unsicher macht.

Häufige Sicherheitsprobleme bei SMTP-Servern:

Abgelaufene TLS-Zertifikate
Zertifikate, die nicht mit dem Domainnamen des Servers übereinstimmen
Zertifikate, die nicht von vertrauenswürdigen Drittanbietern ausgestellt wurden
Keine Unterstützung für sichere Protokolle

Die mangelnde Sicherheit führt dazu, dass SMTP-Verbindungen durch Man-in-the-Middle-Attacken und andere Angriffe gefährdet sind. Die meisten E-Mail-Anbieter versuchen, Nachrichten über SMTP-Verbindungen zu senden, für die TLS verwendet wird. Ist jedoch keine TLS-Verbindung möglich, werden E-Mails oft trotzdem versendet.

Haben Sie MTA-STS aktiviert, darf ein sendender Server nur dann Nachrichten senden, wenn folgende Bedingungen erfüllt sind:

Der sendende Server unterstützt MTA-STS.
Der Empfängerserver hat eine veröffentlichte MTA-STS-Richtlinie im erzwungenen Modus.

Weitere Informationen

Erfahren Sie, wie Sie mit der TLS-Einstellung erzwingen, dass E-Mails von oder an ausgewählte Domains und E-Mail-Adressen über eine sichere Verbindung (TLS) übertragen werden müssen.
Im RFC 3207 erfahren Sie mehr über SMTP.

Warum sollte ich TLS-Berichte verwenden?

Bei aktiviertem TLS Reporting erhalten Sie täglich Berichte von externen Mailservern zu den Verbindungen mit den Mailservern Ihrer Domain. Sie werden per E-Mail oder als Upload auf einem Webserver zur Verfügung gestellt. Anhand der Berichte können Sie Probleme erkennen, die auftreten, wenn über externe Server Nachrichten an Ihre Domain gesendet werden.

Die Berichte geben Aufschluss über den MTA-STS- und Verbindungsstatus der Mailserver Ihrer Domain. Dazu gehören:

Erkannte MTA-STS-Richtlinien
Traffic-Statistiken
Fehlgeschlagene Verbindungsversuche
Nachrichten, die nicht gesendet werden konnten

Bevor in Ihrer Domain die MTA-STS-Verschlüsselung und -Authentifizierung erzwungen werden, sollten Sie für Ihre Richtlinie den Modus Testen nutzen. Überprüfen Sie die täglichen Berichte, um Verbindungsprobleme mit Ihrer Domain zu erkennen und zu beheben. Ändern Sie dann den Modus Ihrer Richtlinie in Erzwingen. Weitere Informationen zu den MTA-STS-Richtlinienmodi

Möglicherweise erhalten Sie noch nicht viele TLS-Berichte. Das wird sich ändern, wenn mehr E-Mail-Anbieter diese Funktion unterstützen.