Daten & Statistiken8 Min. Lesezeit

MTA-STS: Wie verbreitet ist der Transport-Schutz wirklich?

SPF, DKIM und DMARC kennt inzwischen fast jeder E-Mail-Verantwortliche – MTA-STS dagegen fristet ein Nischendasein. Hier ordnen wir ein, warum das so ist und wie du deine eigene Domain nachrüstest.

Wer nach Zahlen zur MTA-STS-Verbreitung sucht, landet meist bei der ernüchternden Erkenntnis: verlässliche, aktuelle Prozentangaben sind rar, weil sich viele Studien nur auf SPF, DKIM und DMARC konzentrieren. MTA-STS wird oft mitgedacht, aber selten separat gemessen. Fest steht aus laufenden Domain-Scans: MTA-STS liegt in der Praxis klar hinter den drei etablierten Authentifizierungsstandards zurück – die meisten Domains, auch größere, haben es schlicht nicht eingerichtet. Warum das so ist, was MTA-STS überhaupt leistet und wie du es für deine eigene Domain aktivierst, zeigen wir im Folgenden.

Was ist MTA-STS und wofür wird es gebraucht?

SMTP-Verbindungen zwischen Mailservern nutzen traditionell "opportunistisches" TLS (STARTTLS): Der empfangende Server bietet Verschlüsselung an, der sendende Server nutzt sie, wenn möglich – erzwungen wird aber nichts. Ein Angreifer, der die Verbindung manipulieren kann, lässt STARTTLS einfach verschwinden, und die E-Mail wird unverschlüsselt übertragen (Downgrade-Angriff). Genau hier setzt MTA-STS (Mail Transfer Agent Strict Transport Security) an: Die empfangende Domain veröffentlicht eine Policy, die verschlüsselten Transport und gültige Zertifikate zur Pflicht macht. Sendende Server, die MTA-STS unterstützen, respektieren diese Vorgabe und liefern nur noch über eine geprüfte, verschlüsselte Verbindung aus. Ergänzend gibt es TLS-RPT (TLS Reporting), das Fehlberichte über gescheiterte TLS-Verbindungen an eine Reporting-Adresse schickt – ähnlich wie DMARC-Aggregatberichte, nur für die Transportebene statt für die Absenderauthentifizierung.

Absender-ServerTransport & AuthentifizierungMTA-STS/TLS, SPF, DKIM, DMARCSpamfilterInhalt, Reputation, EngagementPosteingangSpam-Ordner
MTA-STS sichert die Transportebene, bevor Authentifizierung und Spamfilter überhaupt greifen.

Wie verbreitet ist MTA-STS wirklich?

Belastbare, aktuelle Zahlen bekommt man am ehesten aus laufenden Domain-Scans statt aus einmaligen Studien. Unser eigener wöchentlicher Scan der Tranco-Top-1-Million-Domains unter /email-stats/ erfasst neben SPF, DKIM und DMARC auch BIMI und MTA-STS-Adoption – und zeigt durchgehend dasselbe Muster: SPF ist am weitesten verbreitet, DKIM und DMARC folgen mit spürbarem Abstand, und MTA-STS bildet zusammen mit BIMI das Schlusslicht. Statt fixe Prozentwerte zu zitieren, die schnell veralten, lohnt sich der Blick auf die Live-Zahlen dort – sie aktualisieren sich laufend und lassen sich direkt mit dem eigenen Sektor oder Land vergleichen. Für DACH-Domains gilt qualitativ dasselbe Bild: Große Provider wie GMX, Web.de oder T-Online betreiben ihre Infrastruktur professionell genug, um moderne Transportsicherheit umzusetzen, aber bei kleinen und mittleren Unternehmen, die über eigene Domains versenden, ist MTA-STS in der Regel noch nicht Standard.

Warum bleibt MTA-STS eine Ausnahme?

  • Die Bulk-Sender-Anforderungen von Google und Yahoo, an denen sich die meisten Absender orientieren, nennen explizit SPF, DKIM, DMARC und One-Click-Unsubscribe – MTA-STS taucht dort nicht als Pflichtkriterium auf. Wer nur die Mindestanforderungen erfüllen will, hat schlicht keinen Druck.
  • Die Einrichtung ist technisch aufwendiger: Neben einem DNS-Eintrag braucht es eine per HTTPS erreichbare Policy-Datei auf einer eigenen Subdomain – das ist ein zusätzlicher Hosting-Schritt, den SPF, DKIM und DMARC nicht verlangen.
  • Viele deutsche ESPs und Shop-Plattformen (CleverReach, rapidmail, Shopware, JTL-Shop, Mailjet DE) führen Nutzer aktiv durch SPF/DKIM/DMARC-Setup, weil davon die Zustellung sichtbar abhängt. MTA-STS fehlt in diesen Onboarding-Flows meist komplett.
  • Der sichtbare Nutzen ist geringer: Ein falsch konfiguriertes SPF sorgt sofort für Spam-Ordner-Landung, ein fehlendes MTA-STS bleibt im Alltag meist unbemerkt – bis tatsächlich ein Downgrade-Angriff stattfindet.
Erst testen, dann erzwingen
Setze den Modus in deiner MTA-STS-Policy zunächst auf testing statt enforce. So bekommst du über TLS-RPT Rückmeldung, ob eingehende Server deine Policy korrekt lesen, ohne dass bei Konfigurationsfehlern echte E-Mails hart bouncen.

MTA-STS für deine Domain einrichten

Die Einrichtung besteht aus zwei Teilen: einem DNS-TXT-Eintrag als Ankündigung und einer Policy-Datei, die per HTTPS erreichbar sein muss.

v=STSv1; id=20260713120000ZKennzeichnet den Eintrag als MTA-STS-Version 1Eindeutige Kennung – bei jeder Policy-Änderung erhöhen oder neu setzen
Aufbau des DNS-TXT-Eintrags unter _mta-sts.deinedomain.de

Zusätzlich brauchst du die eigentliche Policy-Datei, gehostet unter einer festen URL:

https://mta-sts.deinedomain.de/.well-known/mta-sts.txt version: STSv1 mode: testing mx: mail.deinedomain.de max_age: 86400

Für die Fehlerberichte lohnt sich zusätzlich ein TLS-RPT-Eintrag, damit du siehst, ob und wo TLS-Verbindungen scheitern:

_smtp._tls.deinedomain.de TXT "v=TLSRPTv1; rua=mailto:tls-reports@deinedomain.de"

Erst wenn die Berichte über einen längeren Zeitraum sauber aussehen, wechselst du den Modus von testing auf enforce.

Eigene Konfiguration prüfen

MTA-STS selbst prüfst du am besten direkt über DNS-Lookup-Tools und indem du kontrollierst, ob deine Policy-Datei über HTTPS korrekt ausgeliefert wird. Für die Frage, ob deine gesamte Authentifizierungskette – SPF, DKIM, DMARC – sauber steht und wie deine E-Mails bei GMX, Web.de, T-Online, Gmail und Outlook tatsächlich ankommen, nutzt du am besten den kostenlosen Inbox-Placement-Test: Du schickst eine Testmail an bereitgestellte Adressen bei über 20 Providern und bekommst zurück, ob sie im Posteingang, im Spam-Ordner oder bei Gmail in Promotions landet, inklusive Auth-Auswertung und Screenshots des tatsächlichen Renderings. So siehst du in einem Durchgang, ob Transportverschlüsselung und Absenderauthentifizierung zusammen greifen – ganz ohne Anmeldung.

Ist MTA-STS für den E-Mail-Versand Pflicht?

Nein. Weder die Bulk-Sender-Anforderungen von Google und Yahoo noch das deutsche UWG verlangen MTA-STS explizit. Verpflichtend sind dort SPF, DKIM, DMARC und ein funktionierender One-Click-Unsubscribe. MTA-STS ist eine zusätzliche Sicherheitsmaßnahme auf Transportebene, keine gesetzliche oder plattformseitige Pflicht.

Was ist der Unterschied zwischen MTA-STS und DANE?

Beide erzwingen verschlüsselten SMTP-Transport, nutzen aber unterschiedliche Vertrauensmechanismen: DANE verankert die Zertifikatsprüfung in DNSSEC-signierten TLSA-Einträgen, MTA-STS verlässt sich auf eine per HTTPS gehostete Policy-Datei und braucht kein DNSSEC. Das macht MTA-STS in der Praxis einfacher einzuführen, weil viele Domains kein DNSSEC betreiben.

Was passiert, wenn ich MTA-STS im Modus enforce falsch konfiguriere?

Sendende Server, die deine Policy respektieren, liefern dann nur noch aus, wenn TLS und Zertifikat exakt passen – bei einer fehlerhaften Konfiguration können E-Mails hart abgewiesen werden, statt nur im Spam zu landen. Deshalb zuerst im Modus testing mit TLS-RPT beobachten und erst danach auf enforce umstellen.
Weiterführende Artikel
Found this useful? Share it
AB
Über den Autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Prüfen Sie Ihre Zustellbarkeit bei über 20 Providern

Gmail, Outlook, Yahoo, GMX, Web.de, ProtonMail und mehr. Echte Posteingang-Screenshots, SPF/DKIM/DMARC, Spamfilter-Urteile. Kostenlos, ohne Anmeldung.

Kostenlosen Test starten →

Unbegrenzte Tests · 20+ Seed-Postfächer · Live-Ergebnisse · Kein Konto nötig