Red Sifts umfassender Leitfaden zur E-Mail-Sicherheit

image
Entdecken Sie unseren Leitfaden
In diesem Kapitel
In diesem Kapitel

MTA-STS

Was ist MTA-STS?

Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard, der die Verschlüsselung von Nachrichten beim Versand zwischen zwei Mailservern ermöglicht. Er teilt sendenden Servern mit, dass E-Mails nur über eine verschlüsselte Verbindung mit dem Transport Layer Security (TLS)-Protokoll übertragen werden dürfen, wodurch verhindert wird, dass Cyberkriminelle Nachrichten abfangen. Die Einführung von MTA-STS hat stark zugenommen, da Organisationen im Jahr 2026 erkennen, wie wichtig Sicherheit auf der Transportschicht ist, um E-Mails während der Übertragung zu schützen.

Warum brauchen Sie MTA-STS?

Das Simple Mail Transfer Protocol (SMTP) bietet allein keinerlei Sicherheit und ist deshalb anfällig für böswillige Angriffe wie sogenannte Man-in-the-Middle-Attacken. Eine Man-in-the-Middle-Attacke bedeutet, dass die Kommunikation zwischen zwei Servern abgefangen und möglicherweise verändert wird, ohne dass der Empfänger hiervon etwas mitbekommt.

Außerdem ist die Verschlüsselung bei SMTP optional, was bedeutet, dass E-Mails auch unverschlüsselt versendet werden können. Wird eine unverschlüsselte Nachricht während der Übertragung abgefangen, kann sie leicht gelesen und verändert werden. Ohne MTA-STS kann ein Angreifer die Kommunikation abfangen und den Versanddienst dazu bringen, die Nachricht im Klartext zu übertragen.

Mit der Aktivierung von MTA-STS wird eine TLS-Verbindung vorausgesetzt, was die Verschlüsselung und Vertraulichkeit Ihrer Nachrichten sicherstellt. Im Jahr 2026 ist MTA-STS zu einem Standard-Sicherheitsmerkmal für Organisationen geworden, die sensible Kommunikation abwickeln. Der MTA-STS-Standard ist so entscheidend für die Verbesserung der SMTP-Sicherheit, dass er von wichtigen Mailservice-Anbietern wie Google und Microsoft breit unterstützt wird.

Weitere technische Details finden Sie im Kapitel zu MTA-STS und TLS in unserem Technischen Einrichtungsleitfaden.

free trial imagefree trial image

Häufig gestellte Fragen: Leitfaden zur E-Mail-Sicherheit

Warum ist E-Mail grundsätzlich unsicher und wie nutzen Angreifer diese Schwachstelle aus?

Alle Maßnahmen zur E-Mail-Sicherheit (außer DMARC) sind wirkungslos, wenn eine bösartige E-Mail scheinbar von einer legitimen Domain stammt. Grund dafür ist ein Fehler im Simple Mail Transfer Protocol (SMTP). Im Oktober 2008 hat die Network Working Group dieses offiziell als 'grundsätzlich unsicher' eingestuft und festgestellt, dass jeder eine Domain imitieren und betrügerische E-Mails im Namen des Domaininhabers versenden kann.

Jeder mit sehr grundlegenden Programmierkenntnissen kann sich das nötige Wissen zur Imitation der E-Mail-Identität einer anderen Person durch eine schnelle Google-Suche aneignen. Das Ergebnis ist eine E-Mail, die legitim aussieht und keine typischen Phishing-Anzeichen aufweist. Bei 3,4 Milliarden Phishing-E-Mails täglich bleiben E-Mail-Systeme das Hauptziel von Cyberkriminellen.

Was sind SPF und DKIM und warum reichen sie allein nicht zum Schutz von E-Mails aus?

SPF (Sender Policy Framework) prüft, ob eine E-Mail von einer durch den SPF-Eintrag der Absenderdomain autorisierten IP-Adresse versendet wurde. Dies geschieht über einen DNS-TXT-Eintrag mit der Liste der autorisierten Mailserver.

DKIM (DomainKeys Identified Mail) nutzt eine kryptografische Signatur, die über einen öffentlichen Schlüssel im DNS validiert wird, um zu bestätigen, dass der Inhalt der E-Mail nicht verändert wurde und von einer autorisierten Domain stammt. Beide sind essenziell für die E-Mail-Sicherheit, verhindern aber keine exakte Imitation.

Obwohl diese Protokolle dem Empfänger zeigen, von wem die E-Mail stammt, erhält der Empfänger keine Anweisung, wie er darauf reagieren soll. Große Postfachanbieter verlangen ab 2026 SPF und DKIM für den Versand von Massennachrichten.

Was ist DMARC, und wie funktioniert es mit SPF und DKIM, um Domain-Spoofing zu verhindern?

DMARC steht für Domain-based Message Authentication, Reporting und Conformance. Es ist ein Protokoll für ausgehende E-Mail-Sicherheit, mit dem Domaininhaber empfangenden Postfächern mitteilen können, dass gefälschte E-Mails abgelehnt werden sollen. DMARC kombiniert die Ergebnisse von SPF und DKIM, um festzustellen, ob Ihre E-Mail legitim und autorisiert ist.

Die DMARC-Richtlinie (definiert durch den "p="-Tag im DNS-Eintrag) gibt daraufhin den empfangenden Servern vor, wie mit solchen E-Mails zu verfahren ist. DMARC verhindert exakte Domain-Imitation, indem es empfangenden Servern anweist, keine E-Mails zu akzeptieren, die nicht authentifiziert sind. 2026 ist DMARC für Organisationen, die Massen-E-Mails versenden, zum Standard geworden.

Was bedeutet das SPF-10-Lookup-Limit und wie lösen Organisationen dieses Problem im Jahr 2026?

Die SPF-Spezifikation begrenzt DNS-Lookups auf 10. Überschreitet Ihr SPF-Eintrag diesen Wert, schlägt die SPF-Prüfung fehl. Zu den gezählten Mechanismen gehören: a, ptr, mx, include, redirect und exists. In der Praxis reichen 10 Lookups meist nicht aus, da viele Unternehmen mehrere E-Mail-Versandtools nutzen.

G Suite allein belegt 4 DNS-Lookups, dazu kommen beispielsweise 7 Lookups für Marketing mit HubSpot – und schon ist das Limit überschritten. Sobald Sie mehr als 10 SPF-Lookups haben, kommt es zu zufälligen Fehlern bei der E-Mail-Validierung. Daher setzen Unternehmen im Jahr 2026 auf dynamisches SPF-Management, anstatt zu versuchen, abgeflachte Einträge manuell zu pflegen.

Was ist MTA-STS und warum ist Sicherheit auf der Transportschicht für den E-Mail-Schutz wichtig?

Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard, der die Verschlüsselung von E-Mails beim Versand zwischen zwei Mailservern ermöglicht. Er legt fest, dass E-Mails nur über eine mit Transport Layer Security (TLS) verschlüsselte Verbindung gesendet werden dürfen, was eine Abfangbarkeit durch Cyberkriminelle verhindert. SMTP allein bietet keine Sicherheit und ist daher anfällig für Man-in-the-Middle-Angriffe, bei denen Kommunikation abgefangen und ggf. verändert wird.

Darüber hinaus ist Verschlüsselung in SMTP optional, sodass E-Mails im Klartext übertragen werden können. Ohne MTA-STS kann ein Angreifer die Kommunikation abfangen und erzwingen, dass die Nachricht im Klartext übertragen wird. 2026 ist MTA-STS eine Standard-Sicherheitsmaßnahme für Organisationen mit sensibler Kommunikation.

Welche geschäftlichen Vorteile bringt die Durchsetzung von DMARC?

Durch die Implementierung von DMARC profitieren Sie von der Blockierung von Phishing-Versuchen, die scheinbar von Ihrer Domain ausgehen, stärkerem Kundenvertrauen, reduziertem Cyberrisiko und der Einhaltung der Anforderungen für Massenaussendungen von Google, Yahoo und Microsoft.

DMARC stärkt zudem die Einhaltung von PCI DSS 4.0 und erhöht die allgemeine organisatorische Widerstandsfähigkeit gegen sich wandelnde Cyberbedrohungen. Ist die Policy auf p=reject (Durchsetzung) gesetzt, blockiert DMARC Lieferantenbetrug, Kontoübernahmen und E-Mail-Spoofing, indem es verhindert, dass Dritte Ihre Domain für Phishing-E-Mails und Business Email Compromise (BEC) nutzen. Laut dem Data Breach Investigations Report von Verizon 2025 machen BEC-Angriffe mehr als 17–22% aller Social-Engineering-Vorfälle aus.

Wie lange dauert die DMARC-Implementierung in der Regel und was unterscheidet Red Sift OnDMARC?

Red Sift OnDMARC beschleunigt die DMARC-Umsetzung mit automatisierter Sendersuche, konkreten Lösungsvorschlägen, Anomalie-Erkennung und rollenbasiertem Zugriff für globale Teams. Im Jahr 2026 ermöglichen führende Plattformen es Unternehmen, p=reject-Durchsetzung innerhalb von 6–8 Wochen statt der früher üblichen sechs Monate zu erreichen.

Einer der am häufigsten genannten Vorteile von OnDMARC ist die durchschnittliche Zeit von 6–8 Wochen bis zur vollen Durchsetzung. Die leistungsstarke Automatisierung der Plattform analysiert kontinuierlich sämtliche Vorgänge auf Ihrer Domain und zeigt Hinweise und Empfehlungen für notwendige Änderungen an. Bereits 24 Stunden nach Hinzufügen Ihres individuellen DMARC-Eintrags zu DNS beginnt OnDMARC, DMARC-Berichte zu analysieren und übersichtlich in Dashboards anzuzeigen.

Welche globalen Vorgaben und Anforderungen gibt es seit 2026 für DMARC?

Große E-Mail-Anbieter wie Microsoft, Google und Yahoo verlangen ab 2024–2025 DMARC für Versender von Massennachrichten (Organisationen, die mehr als 5.000 E-Mails pro Tag versenden), und diese Anforderungen sind 2026 zum Standard geworden.

Neben den Vorgaben der Postfachanbieter setzen auch einzelne Branchen und Behördenregulierungen zunehmend auf DMARC. US-Bundesbehörden müssen DMARC verwenden, ebenso wie durch DORA regulierte Zahlungsdienstleister. Darüber hinaus stärkt die DMARC-Implementierung die Einhaltung von Vorschriften wie PCI DSS 4.0, DSGVO und NIS2. Für Cybersecurity-, E-Mail-Sicherheits- und IT-Teams ist es entscheidend, die E-Mail-Sicherheit der eigenen Organisation internationalen Best Practices und Anforderungen anzupassen.