Der umfassende Leitfaden von Red Sift zur E-Mail-Sicherheit
MTA-STS
Was ist MTA-STS?
Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard, der die Verschlüsselung von Nachrichten beim Versand zwischen zwei Mailservern ermöglicht. Er teilt sendenden Servern mit, dass E-Mails nur über eine verschlüsselte Verbindung mit dem Transport Layer Security (TLS)-Protokoll übertragen werden dürfen, wodurch verhindert wird, dass Cyberkriminelle Nachrichten abfangen. Die Einführung von MTA-STS hat stark zugenommen, da Organisationen im Jahr 2026 erkennen, wie wichtig Sicherheit auf der Transportschicht ist, um E-Mails während der Übertragung zu schützen.
Warum brauchen Sie MTA-STS?
Das Simple Mail Transfer Protocol (SMTP) bietet allein keinerlei Sicherheit und ist deshalb anfällig für böswillige Angriffe wie sogenannte Man-in-the-Middle-Attacken. Eine Man-in-the-Middle-Attacke bedeutet, dass die Kommunikation zwischen zwei Servern abgefangen und möglicherweise verändert wird, ohne dass der Empfänger hiervon etwas mitbekommt.
Außerdem ist die Verschlüsselung bei SMTP optional, was bedeutet, dass E-Mails auch unverschlüsselt versendet werden können. Wird eine unverschlüsselte Nachricht während der Übertragung abgefangen, kann sie leicht gelesen und verändert werden. Ohne MTA-STS kann ein Angreifer die Kommunikation abfangen und den Versanddienst dazu bringen, die Nachricht im Klartext zu übertragen.
Mit der Aktivierung von MTA-STS wird eine TLS-Verbindung vorausgesetzt, was die Verschlüsselung und Vertraulichkeit Ihrer Nachrichten sicherstellt. Im Jahr 2026 ist MTA-STS zu einem Standard-Sicherheitsmerkmal für Organisationen geworden, die sensible Kommunikation abwickeln. Der MTA-STS-Standard ist so entscheidend für die Verbesserung der SMTP-Sicherheit, dass er von wichtigen Mailservice-Anbietern wie Google und Microsoft breit unterstützt wird.
Weitere technische Details finden Sie im Kapitel zu MTA-STS und TLS in unserem Technischen Einrichtungsleitfaden.
Häufig gestellte Fragen: Leitfaden zur E-Mail-Sicherheit
Alle Maßnahmen zur E-Mail-Sicherheit (außer DMARC) sind unwirksam, wenn eine bösartige E-Mail scheinbar von einer legitimen Domain stammt. Grund dafür ist ein Konstruktionsfehler im Simple Mail Transfer Protocol (SMTP). Im Oktober 2008 erklärte die Network Working Group es offiziell als „grundsätzlich unsicher“ und stellte fest, dass jeder eine Domain imitieren und betrügerische E-Mails verschicken kann, die vorgeben, vom Domain-Inhaber zu stammen.
Jeder mit sehr grundlegenden Programmierkenntnissen kann sich die Schritte zum Imitieren einer E-Mail-Identität in einer einfachen Google-Suche aneignen. Das Ergebnis ist eine E-Mail, die legitim aussieht, ohne typische Phishing-Indikatoren. Da täglich 3,4 Milliarden Phishing-E-Mails verschickt werden, bleiben E-Mail-Systeme das Hauptziel von Cyberkriminellen.
SPF (Sender Policy Framework) prüft, ob eine E-Mail von einer IP-Adresse versendet wird, die durch den SPF-Eintrag der sendenden Domain per DNS-TXT-Eintrag autorisiert ist.
DKIM (DomainKeys Identified Mail) verwendet eine kryptografische Signatur, die über einen öffentlichen Schlüssel im DNS validiert wird, um zu bestätigen, dass der Inhalt der E-Mail nicht verändert wurde und von einer autorisierten Domain stammt. Beide sind essenziell für die E-Mail-Sicherheit, aber verhindern keine exakte Imitation.
Während die Protokolle dem Empfänger mitteilen, von wem die E-Mail stammt, fehlt dem Empfänger die Anweisung, was mit dieser Information zu tun ist. Große E-Mail-Anbieter verlangen ab 2026 SPF und DKIM für Massenversender von E-Mails.
DMARC steht für Domain-based Message Authentication, Reporting, and Conformance. Es ist ein ausgehendes E-Mail-Sicherheitsprotokoll, das Domain-Inhabern ermöglicht, empfangenden Postfächern mitzuteilen, dass sie gefälschte E-Mails ablehnen sollen. DMARC kombiniert die Ergebnisse von SPF und DKIM, um zu ermitteln, ob Ihre E-Mail authentisch und autorisiert ist.
Die DMARC-Richtlinie (festgelegt durch das "p="-Tag im DNS-Eintrag) gibt anschließend den empfangenden Servern Anweisungen, wie mit der E-Mail zu verfahren ist. DMARC verhindert exakte Domain-Imitationen, indem es den empfangenden Servern anweist, keine nicht authentifizierten E-Mails zu akzeptieren. Ab 2026 ist DMARC für Organisationen, die Massen-E-Mails senden, Standardvoraussetzung.
Die SPF-Spezifikation begrenzt DNS-Lookups auf zehn. Wenn Ihr SPF-Eintrag dies überschreitet, schlägt SPF fehl. Gezählt werden die Mechanismen: a, ptr, mx, include, redirect und exists. Tatsächlich reichen zehn Lookups nicht aus, denn die meisten Unternehmen nutzen mehrere E-Mail-Sende-Tools.
G Suite belegt allein vier DNS-Lookups, HubSpot für Marketing nutzt sieben – und schon ist das Limit überschritten. Sobald Sie mehr als zehn SPF-Lookups haben, beginnen Ihre E-Mails, zufällig die Validierung zu verfehlen. Deshalb steigen Unternehmen im Jahr 2026 auf dynamisches SPF-Management um, anstatt zu versuchen, ihre Records manuell zu pflegen.
Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein Standard, der die Verschlüsselung von Nachrichten bei der Übertragung zwischen Mail-Servern ermöglicht. Er legt fest, dass E-Mails ausschließlich über eine mit Transport Layer Security (TLS) verschlüsselte Verbindung versendet werden dürfen, was Abfangen durch Cyberkriminelle verhindert. SMTP allein bietet keine Sicherheit, weshalb es anfällig für Man-in-the-Middle-Angriffe ist, bei denen die Kommunikation abgefangen und möglicherweise verändert wird.
Außerdem ist Verschlüsselung in SMTP optional, sodass E-Mails unverschlüsselt versendet werden können. Ohne MTA-STS kann ein Angreifer die Kommunikation abfangen und die Übertragung im Klartext erzwingen. Im Jahr 2026 ist MTA-STS eine Standard-Sicherheitsmaßnahme für Organisationen, die sensible Kommunikation handhaben.
Mit der Einführung von DMARC profitieren Sie davon, Phishing-Angriffe, die angeblich von Ihrem Unternehmen stammen, zu stoppen, das Kundenvertrauen zu stärken, das Cyberrisiko zu verringern und die Anforderungen für Bulk-Sender von Google, Yahoo und Microsoft zu erfüllen.
DMARC stärkt die Konformität mit PCI DSS 4.0 und verbessert die gesamte organisatorische Widerstandsfähigkeit gegenüber sich weiterentwickelnden Cyberbedrohungen. Ist DMARC einmal auf p=reject (Durchsetzung) gesetzt, blockiert es Lieferantenbetrug, Kontoübernahmen und E-Mail-Spoofing, indem es verhindert, dass böswillige Akteure Ihre Domain für das Versenden von Phishing-Mails oder Business Email Compromise (BEC) nutzen. Laut dem Data Breach Investigations Report von Verizon aus dem Jahr 2025 machen BEC-Angriffe mehr als 17–22 % aller Social-Engineering-Vorfälle aus.
Red Sift OnDMARC beschleunigt die DMARC-Einführung mit automatischer Sender-Erkennung, konkreten Empfehlungen, Anomalieerkennung und rollenbasierter Zugriffssteuerung für globale Teams. Bis 2026 ermöglichen führende Plattformen Unternehmen, innerhalb von 6–8 Wochen p=reject umzusetzen – statt der vormals üblichen sechs Monate.
Ein wesentlich genannter Vorteil von OnDMARC ist die durchschnittliche Zeit von 6–8 Wochen bis zur vollständigen Durchsetzung. Die leistungsfähige Automatisierung der Plattform analysiert laufend sämtliche Aktivitäten auf Ihrer Domain und zeigt Ihnen, wo und wie Sie Änderungen vornehmen müssen. Bereits 24 Stunden nach dem Hinzufügen Ihres individuellen DMARC-Eintrags ins DNS beginnt OnDMARC mit der Analyse und Darstellung der DMARC-Berichte in übersichtlichen Dashboards.
Wichtige E-Mail-Anbieter wie Microsoft, Google und Yahoo schreiben DMARC für Bulk-Sender (Organisationen mit mehr als 5.000 E-Mails pro Tag) seit 2024–2025 vor – diese Anforderungen sind 2026 zum Standard geworden.
Auch bestimmte Branchen- und Regierungsanforderungen zielen zunehmend auf verbindliches DMARC. US-Bundesbehörden sind ebenso dazu verpflichtet wie nach DORA regulierte Zahlungsabwickler. Zusätzlich stärkt die DMARC-Implementierung die Einhaltung weiterer Vorschriften wie PCI DSS 4.0, DSGVO und NIS2. Für Teams in Cybersicherheit, E-Mail-Sicherheit und IT ist es unerlässlich, dass die E-Mail-Sicherheit der Organisation internationalen Best Practices und Anforderungen entspricht.