Wer nach Zahlen zur MTA-STS-Verbreitung sucht, landet meist bei der ernüchternden Erkenntnis: verlässliche, aktuelle Prozentangaben sind rar, weil sich viele Studien nur auf SPF, DKIM und DMARC konzentrieren. MTA-STS wird oft mitgedacht, aber selten separat gemessen. Fest steht aus laufenden Domain-Scans: MTA-STS liegt in der Praxis klar hinter den drei etablierten Authentifizierungsstandards zurück – die meisten Domains, auch größere, haben es schlicht nicht eingerichtet. Warum das so ist, was MTA-STS überhaupt leistet und wie du es für deine eigene Domain aktivierst, zeigen wir im Folgenden.
Was ist MTA-STS und wofür wird es gebraucht?
SMTP-Verbindungen zwischen Mailservern nutzen traditionell "opportunistisches" TLS (STARTTLS): Der empfangende Server bietet Verschlüsselung an, der sendende Server nutzt sie, wenn möglich – erzwungen wird aber nichts. Ein Angreifer, der die Verbindung manipulieren kann, lässt STARTTLS einfach verschwinden, und die E-Mail wird unverschlüsselt übertragen (Downgrade-Angriff). Genau hier setzt MTA-STS (Mail Transfer Agent Strict Transport Security) an: Die empfangende Domain veröffentlicht eine Policy, die verschlüsselten Transport und gültige Zertifikate zur Pflicht macht. Sendende Server, die MTA-STS unterstützen, respektieren diese Vorgabe und liefern nur noch über eine geprüfte, verschlüsselte Verbindung aus. Ergänzend gibt es TLS-RPT (TLS Reporting), das Fehlberichte über gescheiterte TLS-Verbindungen an eine Reporting-Adresse schickt – ähnlich wie DMARC-Aggregatberichte, nur für die Transportebene statt für die Absenderauthentifizierung.
Wie verbreitet ist MTA-STS wirklich?
Belastbare, aktuelle Zahlen bekommt man am ehesten aus laufenden Domain-Scans statt aus einmaligen Studien. Unser eigener wöchentlicher Scan der Tranco-Top-1-Million-Domains unter /email-stats/ erfasst neben SPF, DKIM und DMARC auch BIMI und MTA-STS-Adoption – und zeigt durchgehend dasselbe Muster: SPF ist am weitesten verbreitet, DKIM und DMARC folgen mit spürbarem Abstand, und MTA-STS bildet zusammen mit BIMI das Schlusslicht. Statt fixe Prozentwerte zu zitieren, die schnell veralten, lohnt sich der Blick auf die Live-Zahlen dort – sie aktualisieren sich laufend und lassen sich direkt mit dem eigenen Sektor oder Land vergleichen. Für DACH-Domains gilt qualitativ dasselbe Bild: Große Provider wie GMX, Web.de oder T-Online betreiben ihre Infrastruktur professionell genug, um moderne Transportsicherheit umzusetzen, aber bei kleinen und mittleren Unternehmen, die über eigene Domains versenden, ist MTA-STS in der Regel noch nicht Standard.
Warum bleibt MTA-STS eine Ausnahme?
- Die Bulk-Sender-Anforderungen von Google und Yahoo, an denen sich die meisten Absender orientieren, nennen explizit SPF, DKIM, DMARC und One-Click-Unsubscribe – MTA-STS taucht dort nicht als Pflichtkriterium auf. Wer nur die Mindestanforderungen erfüllen will, hat schlicht keinen Druck.
- Die Einrichtung ist technisch aufwendiger: Neben einem DNS-Eintrag braucht es eine per HTTPS erreichbare Policy-Datei auf einer eigenen Subdomain – das ist ein zusätzlicher Hosting-Schritt, den SPF, DKIM und DMARC nicht verlangen.
- Viele deutsche ESPs und Shop-Plattformen (CleverReach, rapidmail, Shopware, JTL-Shop, Mailjet DE) führen Nutzer aktiv durch SPF/DKIM/DMARC-Setup, weil davon die Zustellung sichtbar abhängt. MTA-STS fehlt in diesen Onboarding-Flows meist komplett.
- Der sichtbare Nutzen ist geringer: Ein falsch konfiguriertes SPF sorgt sofort für Spam-Ordner-Landung, ein fehlendes MTA-STS bleibt im Alltag meist unbemerkt – bis tatsächlich ein Downgrade-Angriff stattfindet.
testing statt enforce. So bekommst du über TLS-RPT Rückmeldung, ob eingehende Server deine Policy korrekt lesen, ohne dass bei Konfigurationsfehlern echte E-Mails hart bouncen.MTA-STS für deine Domain einrichten
Die Einrichtung besteht aus zwei Teilen: einem DNS-TXT-Eintrag als Ankündigung und einer Policy-Datei, die per HTTPS erreichbar sein muss.
Zusätzlich brauchst du die eigentliche Policy-Datei, gehostet unter einer festen URL:
https://mta-sts.deinedomain.de/.well-known/mta-sts.txt
version: STSv1
mode: testing
mx: mail.deinedomain.de
max_age: 86400Für die Fehlerberichte lohnt sich zusätzlich ein TLS-RPT-Eintrag, damit du siehst, ob und wo TLS-Verbindungen scheitern:
_smtp._tls.deinedomain.de TXT "v=TLSRPTv1; rua=mailto:tls-reports@deinedomain.de"Erst wenn die Berichte über einen längeren Zeitraum sauber aussehen, wechselst du den Modus von testing auf enforce.
Eigene Konfiguration prüfen
MTA-STS selbst prüfst du am besten direkt über DNS-Lookup-Tools und indem du kontrollierst, ob deine Policy-Datei über HTTPS korrekt ausgeliefert wird. Für die Frage, ob deine gesamte Authentifizierungskette – SPF, DKIM, DMARC – sauber steht und wie deine E-Mails bei GMX, Web.de, T-Online, Gmail und Outlook tatsächlich ankommen, nutzt du am besten den kostenlosen Inbox-Placement-Test: Du schickst eine Testmail an bereitgestellte Adressen bei über 20 Providern und bekommst zurück, ob sie im Posteingang, im Spam-Ordner oder bei Gmail in Promotions landet, inklusive Auth-Auswertung und Screenshots des tatsächlichen Renderings. So siehst du in einem Durchgang, ob Transportverschlüsselung und Absenderauthentifizierung zusammen greifen – ganz ohne Anmeldung.
Ist MTA-STS für den E-Mail-Versand Pflicht?
Was ist der Unterschied zwischen MTA-STS und DANE?
Was passiert, wenn ich MTA-STS im Modus enforce falsch konfiguriere?
testing mit TLS-RPT beobachten und erst danach auf enforce umstellen.