Elke dag vliegen miljoenen bedrijfsmails over het internet. En hoewel je misschien denkt dat ze veilig onderweg zijn, is de realiteit anders: de verbinding tussen twee mailservers is niet standaard versleuteld. Hier komt MTA-STS (Mutual TLS Authentication for SMTP) om de hoek — een manier om die route wél te beveiligen. Maar hoe zit het met de adoptie in Nederland?
Wat is MTA-STS eigenlijk?
MTA-STS is een beveiligingsstandaard die zorgt dat twee mailservers verplicht een versleutelde (TLS) verbinding gebruiken als ze e-mail uitwisselen. Het werkt via een eenvoudig tekstbestand dat je in de DNS van je domein plaatst — als een "beleid" dat zegt: "Voor e-mail naar mij geldt: alleen beveiligde verbinding".
Het verschil met STARTTLS (wat veel mailservers al gebruiken) is cruciaal: STARTTLS is optioneel. Als de ontvangende server zegt "ik kan geen TLS", gaat de e-mail tóch door — maar dan onversleuteld. MTA-STS zegt: "Geen TLS? Dan gaat je e-mail niet door." Veel veiliger.
Waarom MTA-STS voor Nederlandse bedrijven?
In Nederland gelden enkele belangrijke regels. De Telecommunicatiewet vereist dat reclame- en commerciële e-mails op een veilige, versleutelde manier worden verstuurd. Ook de AVG (Algemene Verordening Gegevensbescherming — de Nederlandse naam voor GDPR) vraagt om proportioneel beveiligde communicatie. Als je klantgegevens, aanbestedingen of gevoelige informatie per mail verzendt, is MTA-STS een manier om dat risico te verlagen.
Bovendien: steeds meer e-maildiensten (Gmail, Outlook, iCloud) en internetproviders richten hun policies strenger in. Als jouw domein MTA-STS niet ondersteunt, kan je reputatie dalen bij ontvangers die dit controleren. Voor bedrijven op Ziggo, KPN, Hotmail of andere grote providers is dit al relevant.
Hoe zet je MTA-STS in op je domein?
Het instellen is eigenlijk vrij rechtlijnig. Volg deze stappen:
- Zorg dat je mailserver STARTTLS ondersteunt. MTA-STS werkt alleen als TLS al mogelijk is — het verzet gewoon het defaultgedrag van "optioneel" naar "verplicht".
- Maak een mta-sts.txt bestand met het beleid. Dit is een tekstbestand met regels zoals
version: STSv1,mode: enforce(oftestingom eerst te testen), enmax_age: 604800(hoe lang het beleid geldig is). - Host het bestand op
https://mta-sts.joudomein.nl/.well-known/mta-sts.txt— HTTPS verplicht! - Voeg een DNS TXT record toe onder
_mta-sts.joudomein.nldie aangeeft waar het beleid te vinden is en welke versie het is. - Test je instellingen met onze gratis inbox placement test — we checken ook je MTA-STS configuratie.
MTA-STS adoptie in Nederland: wat zeggen de cijfers?
Hoewel MTA-STS steeds belangrijker wordt, is de adoptie onder Nederlandse bedrijven nog relatief laag. Ons onderzoek via /email-stats/ scant wekelijks de top domeinen en volgt welke beveiligingsstandaarden zij toepassen.
Het beeld dat emergeert: grote bedrijven en mailproviders (Gmail-domeinhouders, Exchange Online organisaties) hebben MTA-STS vaker ingericht. Maar veel midden- en kleinbedrijven — vooral in traditionele sectoren — hebben het nog niet als prioriteit gesteld. Dit hangt ook samen met het feit dat MTA-STS "stilletjes" werkt: het breekt niet zichtbaar het mail-versturen, het vergroot alleen de veiligheid.
Als je je domein wil vergelijken met de landelijke trend, check de live gegevens op /email-stats/ — daar zie je real-time adoption rates voor SPF, DKIM, DMARC, MTA-STS en andere standaarden. Op die manier hou je voeling met wat concurrenten en partners doen.
Veelgestelde vragen over MTA-STS
Werkt MTA-STS ook als mijn ontvangers geen MTA-STS ondersteunen?
Wat is het verschil tussen STARTTLS, DANE en MTA-STS?
DANE: Gebruikt DNSSEC om TLS-certificaat te verifiëren — maar vereist dat je DNSSEC op je domein hebt ingericht (complexer).
MTA-STS: Forceert TLS en is gemakkelijker in te stellen dan DANE — geen DNSSEC nodig. Ideaal voor meeste bedrijven.