Einleitung
Zwischen „TLS wird schon irgendwie genutzt“ und wirklich belastbarer Transportsicherheit liegt im Mailflow ein großer Unterschied. Genau in dieser Lücke bewegen sich SMTP DANE und MTA-STS. Microsoft hat am 10. März 2026 angekündigt, dass sich diese Sicherheitsmechanismen in Exchange Online nun auch gezielt über Outbound Connectors steuern lassen. Das ist vor allem für Partnerstrecken, Smart-Host-Szenarien und regulierte Kommunikationspfade relevant.
Wichtig ist die Einordnung: SMTP DANE mit DNSSEC und MTA-STS sind im ausgehenden Pfad von Exchange Online bereits standardmäßig aktiv. Neu ist nicht die generelle Existenz der Protokolle, sondern die Möglichkeit, ihr Verhalten pro Outbound Connector bewusster zu steuern. Damit wird aus einer Plattformfunktion ein Architektur- und Betriebshebel für konkrete Routing-Szenarien.
Was bedeutet das?
Die neue Konstellation betrifft vor allem Organisationen, die E-Mails nicht ausschließlich über den Standardpfad von Exchange Online zustellen. Sobald domänenspezifische Outbound Connectors, Partner-Connectoren oder Smart Hosts im Spiel sind, entsteht die Frage, wie strikt Exchange Online die Transportabsicherung auf genau diesen Routen prüfen soll. Genau dafür sind die neuen Connector Modes gedacht.
Für die Praxis heißt das: Sicherheitsvorgaben lassen sich besser an den jeweiligen Kommunikationspfad anpassen. Gleichzeitig steigt die Verantwortung in Design und Betrieb, denn ein zu lockerer Modus reduziert die Schutzwirkung, während ein zu strenger Modus zu Warteschlangen, NDRs und im Fehlerfall zu verworfenen Nachrichten führen kann.
Was ist SMTP DANE?
SMTP DANE erweitert den SMTP-Transport um eine kryptografisch abgesicherte Vertrauenskette auf Basis von DNSSEC und TLSA-Records. Vereinfacht gesagt prüft der sendende Server nicht nur, ob TLS möglich ist, sondern auch, ob der angesprochene Zielserver tatsächlich der erwartete Mailserver für die Domain ist und ob dessen Zertifikat zu den veröffentlichten TLSA-Informationen passt. Damit wird ein Teil des Risikos adressiert, das bei rein opportunistischem TLS durch DNS-Manipulation oder Man-in-the-Middle-Angriffe bestehen bleibt.
Wenn für eine Ziel-Domain kein TLSA-Record vorhanden ist, läuft der Mailflow grundsätzlich ohne DANE-Prüfung weiter. Wenn die Domain jedoch DANE signalisiert und die DNSSEC- oder TLSA-Prüfung fehlschlägt, kann Exchange Online die Zustellung zurückstellen oder blockieren. Microsoft dokumentiert dafür unter anderem Fehlerbilder wie tlsa-invalid, dnssec-invalid, starttls-not-supported oder Zertifikat-Host-Mismatch.
Was ist MTA-STS?
MTA-STS verfolgt dasselbe Ziel wie DANE: den Schutz des SMTP-Transports gegen Downgrade- und Man-in-the-Middle-Angriffe. Technisch funktioniert es aber anders. Statt auf DNSSEC und TLSA zu setzen, veröffentlicht die Ziel-Domain per DNS-TXT-Eintrag einen Hinweis auf eine per HTTPS bereitgestellte Richtlinie. Diese Policy definiert, welche MX-Hosts erwartet werden, ob TLS erzwungen werden soll und wie lange die Richtlinie gecacht werden darf.
Für Exchange Online ist relevant, dass MTA-STS im ausgehenden Pfad Teil der Sicherheitsinfrastruktur ist. Bei Smart-Host-basierten Outbound Connectors prüft Exchange Online MTA-STS nicht gegen die finale Empfängerdomain, sondern gegen die Smart-Host-Domain. Das ist ein wichtiger Punkt, weil sich dadurch die Vertrauenskette an der tatsächlichen Routing-Architektur orientiert.
Der Unterschied zwischen SMTP DANE und MTA-STS
Beide Standards schließen Sicherheitslücken, die opportunistisches TLS allein nicht abdeckt. Der wesentliche Unterschied liegt im Vertrauensmodell: DANE stützt sich auf DNSSEC und TLSA, MTA-STS auf Zertifizierungsstellen sowie eine per HTTPS veröffentlichte Richtlinie. Microsoft beschreibt ausdrücklich, dass beide Protokolle demselben Zweck dienen, aber unterschiedliche technische Grundlagen nutzen.
Für Architekturentscheidungen ist das mehr als ein Protokolldetail. DANE ist besonders stark, wenn DNSSEC sauber betrieben wird. MTA-STS ist oft einfacher in bestehende Web- und Zertifikatsprozesse einzubetten. In hybriden oder partnerbezogenen Szenarien ist deshalb nicht nur wichtig, welches Protokoll sicherer wirkt, sondern welches entlang der gesamten Route sauber betrieben und dauerhaft überwacht werden kann. Diese Einordnung ist eine fachliche Schlussfolgerung auf Basis der von Microsoft beschriebenen Vertrauensmodelle und Betriebsanforderungen.
Was ist an den neuen Connector Modes in Exchange Online neu?
Für Outbound Connectors dokumentiert Microsoft jetzt zwei steuerbare Parameter: SmtpDaneMode und MtaStsMode. Für SMTP DANE sind die Werte Opportunistic, Mandatory und None verfügbar. Für MTA-STS sind die Werte Opportunistic und None dokumentiert. In beiden Fällen ist Opportunistic der Standardwert.
Bei SmtpDaneMode=Opportunistic nutzt Exchange Online DANE, wenn die Ziel-Domain DANE mit DNSSEC unterstützt. Wenn die Domain DANE nicht unterstützt, wird die Nachricht mit den Connector- oder Standard-Einstellungen zugestellt. Unterstützt die Domain DANE, aber die Validierung scheitert, stellt Exchange Online die Nachricht bis zu 24 Stunden zurück, versucht gegebenenfalls auf einen sekundären MX auszuweichen und verwirft die Nachricht anschließend, wenn die Validierung weiterhin fehlschlägt. Mit Mandatory wird DANE für diesen Connector zur Pflicht, also auch dann zum Zustellhindernis, wenn die Ziel-Domain DANE gar nicht anbietet.
Bei MtaStsMode=Opportunistic verhält sich Exchange Online ähnlich zurückhaltend, aber mit einer wichtigen Besonderheit: Es gibt hier keinen separaten Mandatory-Wert auf Connector-Ebene. Die harte Wirkung entsteht dann, wenn die Ziel-Domain selbst eine MTA-STS-Policy im Modus enforce veröffentlicht und die Validierung fehlschlägt. Dann wird die Nachricht bis zu 24 Stunden erneut versucht und anschließend verworfen. None deaktiviert die Prüfung, senkt laut Microsoft aber ausdrücklich die Sicherheit und kann Umleitungen oder Abfangen von Nachrichten begünstigen.
Genau diese Unterscheidung ist für die Beratung wichtig: SMTP DANE kann auf Connector-Ebene explizit verpflichtend gemacht werden. MTA-STS lässt sich auf Connector-Ebene dagegen nur opportunistisch nutzen oder abschalten. Wer beide Protokolle gedanklich gleich behandelt, übersieht einen entscheidenden Architekturunterschied.
Was sollte man beachten und tun?
Outbound Connectors zuerst fachlich klassifizieren
Nicht jeder Connector braucht dieselbe Strenge. Zuerst sollte klar sein, welche Connectoren sicherheitskritische Partnerkommunikation, regulierte Mailflows oder Smart-Host-Routen bedienen und welche nur technische Sonderwege abbilden. Erst danach ergibt eine Entscheidung über Opportunistic, Mandatory oder None fachlich Sinn. Die Dokumentation der Parameter zeigt, dass diese Entscheidung direkte Auswirkungen auf Zustellverhalten und Sicherheitsniveau hat.
None nur als bewusste Ausnahme behandeln
Microsoft weist bei None für beide Protokolle ausdrücklich auf reduzierte Sicherheit sowie das Risiko von Umleitung oder Abfangen durch bösartige Gegenstellen hin. Daraus folgt für Governance und Beratung: None sollte kein bequemer Standard sein, sondern eine dokumentierte Ausnahme mit klarer Begründung, etwa für temporäre Interoperabilitätsprobleme. Diese Empfehlung ist eine unmittelbare Ableitung aus Microsofts Risikobeschreibung.
Smart-Host-Szenarien sauber prüfen
Gerade bei Partner- oder Gateway-Routen ist die technische Realität oft komplexer als das Ziel-Domain-Modell. Für MTA-STS dokumentiert Microsoft ausdrücklich, dass bei Smart-Host-Connectoren gegen die Smart-Host-Domain validiert wird. Wer diesen Punkt im Design übersieht, bewertet Fehlermeldungen falsch oder setzt die falschen Erwartungen an die Gegenstelle.
Monitoring und Troubleshooting vorbereiten
Für den operativen Betrieb ist der Bericht Outbound messages in Transit Security relevant. Dort zeigt Exchange Online Daten zu DANE, MTA-STS, TLS-Only und No TLS sowie blockierte Nachrichten aufgrund von Validierungsfehlern. Ergänzend helfen NDR- und SMTP-Fehlercodes wie 5.4.8, 5.7.5, 4.7.323 oder 4.7.324, um zwischen Policy-, Zertifikats-, DNSSEC- und TLSA-Problemen zu unterscheiden.
Eigene Domains auf Eingangsseite sauber vorbereiten
Wer nicht nur ausgehend sicher senden, sondern auch eingehend geschützt empfangen will, sollte die eigene Domain-Konfiguration prüfen. Für MTA-STS beschreibt Microsoft die notwendige Kombination aus TXT-Record und HTTPS-Policy. Für DNSSEC- und DANE-bezogene Prüfungen stellt Exchange Online zudem das Cmdlet Get-DnssecStatusForVerifiedDomain bereit, das DNS-, MX- und MTA-STS-bezogene Validierungen für akzeptierte Domains sichtbar macht.
Fazit
Die Ankündigung zu SMTP DANE- und MTA-STS-Connector-Modes in Exchange Online ist kein kleines Transport-Detail, sondern eine relevante Erweiterung für alle Organisationen mit differenziertem Mailrouting. Der eigentliche Mehrwert liegt darin, Sicherheitsmechanismen nicht nur global hinzunehmen, sondern pro Connector bewusst in die Mailflow-Architektur einzubauen.
Wer Exchange Online mit Partner-Connectoren, Smart Hosts oder streng regulierten Kommunikationspfaden betreibt, sollte diese neuen Steuerungsmöglichkeiten jetzt in Designstandards, Betriebsdokumentation und Fehlerszenarien aufnehmen. Besonders wichtig ist dabei die saubere Trennung zwischen DANE und MTA-STS, weil beide zwar dasselbe Ziel verfolgen, in Exchange Online aber nicht identisch gesteuert werden.