Kostenloser MTA-STS-Prüfer — E-Mail-Transportsicherheitsrichtlinie verifizieren
Prüfen Sie, ob Ihre Domain einen gültigen MTA-STS-Record veröffentlicht. MTA-STS zwingt empfangende Mail-Server, TLS bei der Zustellung an Ihre Domain zu verwenden, und verhindert Downgrade-Angriffe und Abhören.
Warum MTA-STS für E-Mail-Sicherheit wichtig ist
Was dieser MTA-STS-Prüfer zurückgibt
Wir fragen den _mta-sts-DNS-TXT-Record ab und geben seinen vollständigen Inhalt und Validierungsstatus zurück.
Häufige MTA-STS-Anwendungsfälle
MTA-STS ist besonders wichtig für Domains, die sensible oder regulierte E-Mails verarbeiten.
Ersteinrichtungsverifizierung — MTA-STS-Record nach DNS-Veröffentlichung live bestätigen
Policy-Modus-Audit — enforce vs. testing-Modus nach Policy-Rollout verifizieren
Post-Migrations-Prüfung — MTA-STS-Record nach Domain- oder DNS-Anbieterwechsel bestätigen
Compliance-Audit — TLS-Durchsetzung für HIPAA-, DSGVO- oder ISO-27001-Anforderungen validieren
Sicherheitsüberprüfung — MTA-STS in vollständige E-Mail-Infrastruktur-Sicherheitsbewertung einbeziehen
Fehlerbehebung — eingehende E-Mail-Fehler diagnostizieren, die mit TLS-Policy-Fehlkonfiguration zusammenhängen könnten
Wie man MTA-STS-Ergebnisse liest
Das Ergebnis zu verstehen hilft Ihnen, TLS-Durchsetzung für Ihre Domain korrekt zu konfigurieren und zu debuggen.
Record-Status prüfen
Gültig bedeutet, der MTA-STS-DNS-TXT-Record wurde gefunden und beginnt mit v=STSv1. Nicht gefunden bedeutet, TLS-Durchsetzung wird sendenden Servern nicht signalisiert. Ungültig bedeutet, der Record ist fehlerhaft oder doppelt vorhanden.
Rohen Record überprüfen
Der rohe TXT-Record zeigt den vollständigen MTA-STS-Eintrag einschließlich Version und optionaler Felder. Bestätigen, dass er dem entspricht, was Ihr DNS-Anbieter anzeigt.
Policy-Datei prüfen
MTA-STS erfordert auch eine Policy-Datei, die unter https://mta-sts.ihredomain.com/.well-known/mta-sts.txt gehostet wird. Der DNS-Record und die Policy-Datei müssen beide vorhanden und konsistent sein.
Modus verifizieren
Starten Sie im testing-Modus (mode: testing), um TLS-RPT-Berichte zu erhalten, ohne E-Mails zu blockieren. Wechseln Sie zu enforce nur, nachdem bestätigt wurde, dass alle Absender erfolgreich über TLS zustellen können.
Wer MTA-STS-Prüfer verwendet
MTA-STS-Verifizierung wird von E-Mail-Administratoren, Sicherheitsteams und Compliance-Beauftragten verwendet.
E-Mail-Administratoren, die verifizieren, dass TLS-Durchsetzungs-Policy aktiv und korrekt ist
Sicherheitsingenieure, die E-Mail-Transportsicherheit für Compliance-Überprüfungen auditieren
IT-Manager, die MTA-STS als Teil einer umfassenden E-Mail-Infrastruktur-Bewertung prüfen
Zustellbarkeitsberater, die Domain-Sicherheitskonfiguration für Kunden verifizieren
Compliance-Beauftragte, die TLS-in-Transit-Anforderungen für regulierte Industrien validieren
Häufig gestellte Fragen
Was ist MTA-STS?
MTA-STS (Mail Transfer Agent Strict Transport Security) ist ein E-Mail-Sicherheitsstandard (RFC 8461), der sendenden Mail-Servern signalisiert, dass Ihre Domain TLS für die E-Mail-Zustellung erfordert. Er verhindert Downgrade-Angriffe, die TLS von SMTP-Verbindungen entfernen.
Welchen DNS-Record verwendet MTA-STS?
MTA-STS erfordert einen TXT-Record unter _mta-sts.ihredomain.com, der mit v=STSv1 beginnt. Es erfordert außerdem eine Policy-Datei, die unter https://mta-sts.ihredomain.com/.well-known/mta-sts.txt gehostet wird.
Was sind die MTA-STS-Policy-Modi?
Es gibt drei Modi: none (nur Berichterstattung, keine Durchsetzung), testing (Fehler melden, aber trotzdem zustellen) und enforce (Zustellung ablehnen, wenn TLS nicht hergestellt werden kann). Beginnen Sie mit testing, um zu überwachen, bevor Sie zu enforce wechseln.
Ersetzt MTA-STS STARTTLS?
Nein. STARTTLS aktualisiert Verbindungen opportunistisch auf TLS, kann aber von Angreifern entfernt werden. MTA-STS fügt strenge Durchsetzung und Zertifikatsvalidierung auf STARTTLS auf, wodurch Downgrade-Angriffe verhindert werden.
Was ist TLS-RPT und wie verhält es sich zu MTA-STS?
TLS-RPT (TLS Reporting, RFC 8460) sendet aggregierte Berichte über TLS-Zustellungsfehler an einen angegebenen E-Mail- oder HTTPS-Endpunkt. Kombinieren Sie es mit MTA-STS, um Benachrichtigungen zu erhalten, wenn TLS-Zustellung an Ihre Domain fehlschlägt.
Wird MTA-STS legitime E-Mails blockieren?
Im enforce-Modus ja — wenn ein sendender Server keine gültige TLS-Verbindung herstellen kann, wird die Zustellung abgelehnt. Verwenden Sie zuerst den testing-Modus, um Absender zu identifizieren, die TLS-Probleme haben, bevor Sie zu enforce wechseln.
Wie verifiziert dieser Prüfer MTA-STS?
Das Tool fragt den _mta-sts-DNS-TXT-Record in Echtzeit ab und gibt den rohen Record-Inhalt und Validierungsstatus zurück. Hinweis: Dieses Tool prüft nur den DNS-Record, nicht die Policy-Datei, die unter mta-sts.ihredomain.com gehostet wird.
Speichert dieses Tool die Domains, die ich prüfe?
Nein. Alle DNS-Abfragen werden in Echtzeit durchgeführt, ohne dass Domain-Daten nach Abschluss der Abfrage gespeichert werden.