Zum Hauptinhalt springen

Neue Tools

100 % kostenlos

MTA-STS- & BIMI-Hosting, DMARC- & TLS-RPT-Monitoring

CaptainDNS hostet Ihre MTA-STS-Richtlinie und Ihr BIMI-Logo und überwacht Ihre DMARC- und TLS-RPT-Berichte automatisch. Kostenlos, ohne eigenen Server.

Google, Yahoo und Microsoft verlangen jetzt eine stärkere E-Mail-Authentifizierung. Schützen Sie Ihre Zustellbarkeit mit wenigen Klicks.

MTA-STSBIMITLS-RPTDMARC Monitoring

E-Mail-Sicherheit: 4 kostenlose verwaltete Tools zum Schutz Ihrer Domains

Von CaptainDNS
Veröffentlicht am 13. März 2026

Die 4 von CaptainDNS verwalteten E-Mail-Sicherheitstools: MTA-STS, BIMI, TLS-RPT und DMARC
TL;DR
  • 4 zu 100 % kostenlose verwaltete Tools: MTA-STS-Hosting, BIMI-Hosting, TLS-RPT-Monitoring, DMARC-Monitoring
  • Keine Infrastruktur erforderlich: DNS + Dashboard genügen
  • Gemeinsame Domain-Verifizierung: ein einziger TXT-Record für alle Dienste
  • Konformität mit den Anforderungen von Google/Yahoo (DMARC seit Feb. 2024 Pflicht)
  • Einrichtung in 3 Schritten, weniger als 5 Minuten pro Tool

Die E-Mail-Absicherung einer Domain beschränkt sich nicht auf die Veröffentlichung eines SPF-Records. Für einen umfassenden Schutz müssen Sie auch die SMTP-Verschlüsselung erzwingen (MTA-STS), unsichtbare TLS-Fehler überwachen (TLS-RPT), Authentifizierungsberichte analysieren (DMARC) und Ihre visuelle Identität anzeigen (BIMI). Vier Protokolle, vier unterschiedliche Infrastrukturanforderungen.

Das Problem: Jedes Protokoll erfordert einen eigenen HTTPS-Server, eine eigene Sammeladresse oder eine eigene Analyse-Pipeline. Für KMU oder Systemadministratoren, die mehrere Domains verwalten, summieren sich der Zeit- und Infrastrukturaufwand schnell.

CaptainDNS übernimmt diese Infrastruktur. Sie konfigurieren einige DNS-Records, wir hosten die Dateien, sammeln die Berichte und zeigen die Ergebnisse in einem einheitlichen Dashboard an. Und das kostenlos -- denn E-Mail-Sicherheit sollte nicht vom Serverbudget abhängen.

Schema der 4 E-Mail-Sicherheitsprotokolle

Warum ergänzen sich diese 4 Protokolle?

SPF, DKIM und DMARC authentifizieren den Absender. Sie beantworten die Frage: "Ist dieser Server berechtigt, im Namen dieser Domain zu senden?" Doch die Authentifizierung allein reicht nicht aus.

MTA-STS erzwingt die TLS-Verschlüsselung zwischen SMTP-Servern. Ohne dieses Protokoll kann ein Angreifer die Verbindung abfangen oder herabstufen (Downgrade-Angriff). TLS-RPT ergänzt MTA-STS, indem es TLS-Fehler meldet, die niemand sieht: E-Mails, die vom Empfängerserver stillschweigend abgelehnt werden.

BIMI fügt die visuelle Vertrauensebene hinzu. Es zeigt Ihr Logo im Posteingang an, erfordert aber ein DMARC mit Durchsetzung (p=quarantine oder p=reject).

Jedes Protokoll schließt eine Lücke, die die anderen nicht abdecken:

  • DMARC ohne MTA-STS = Authentifizierung ohne garantierte Verschlüsselung
  • MTA-STS ohne TLS-RPT = erzwungene Verschlüsselung, aber keine Sichtbarkeit bei Fehlern
  • BIMI ohne DMARC-Durchsetzung = nicht aktivierbar
  • TLS-RPT ohne MTA-STS = Berichte ohne durchzusetzende Richtlinie

Alle vier zusammen bilden eine schlüssige Kette: Authentifizierung, Verschlüsselung, Überwachung, Identität.

MTA-STS-Hosting: SMTP-Verschlüsselung erzwingen

MTA-STS (RFC 8461) ermöglicht es einer Domain zu deklarieren, dass sie TLS-Verschlüsselung für den E-Mail-Empfang verlangt. Sendende Server, die MTA-STS unterstützen, verweigern den unverschlüsselten Versand, wenn die Richtlinie es untersagt.

Die klassische Bereitstellung erfordert einen HTTPS-Server zum Hosten der Richtliniendatei unter mta-sts.captaindns.com/.well-known/mta-sts.txt sowie ein gültiges, regelmäßig erneuertes TLS-Zertifikat.

Was CaptainDNS für Sie übernimmt:

  • HTTPS-Hosting der Richtliniendatei mit automatisch erneuerbarem Let's-Encrypt-Zertifikat
  • Automatische Rotation der Richtlinien-ID (Feld id des DNS-Records)
  • Begleiteter Übergang vom Modus testing zu enforce

Sie fügen zwei DNS-Records hinzu. CaptainDNS erledigt den Rest. Kein Webserver zu konfigurieren.

MTA-STS-Hosting konfigurieren

BIMI-Hosting: Ihr Logo im Posteingang anzeigen

BIMI (Brand Indicators for Message Identification) zeigt Ihr Markenlogo neben Ihren E-Mails in kompatiblen E-Mail-Clients an. Gmail, Yahoo Mail und Apple Mail unterstützen es.

Das Hosting eines BIMI-Logos erfordert eine SVG-Datei im Tiny-PS-Format, die über HTTPS mit den richtigen Sicherheits-Headern (CSP, Content-Type) ausgeliefert wird. Wenn Sie ein VMC- oder CMC-Zertifikat besitzen, muss auch dieses gehostet und erreichbar gehalten werden.

Was CaptainDNS für Sie übernimmt:

  • HTTPS-Hosting des SVG-Logos im Tiny-PS-Format mit konformen CSP-Headern
  • Hosting des VMC- oder CMC-Zertifikats (falls vorhanden)
  • Automatische Generierung des BIMI-DNS-Eintrags

Voraussetzung: Ihre Domain muss ein DMARC mit p=quarantine oder p=reject haben. Das DMARC-Monitoring von CaptainDNS hilft Ihnen, dieses Ziel zu erreichen.

BIMI-Hosting konfigurieren

TLS-RPT-Monitoring: unsichtbare TLS-Fehler erkennen

TLS-RPT (RFC 8460) ist ein Berichtsmechanismus. Empfangsserver senden JSON-Berichte, die TLS-Verhandlungsfehler beim E-Mail-Empfang für Ihre Domain beschreiben.

Ohne TLS-RPT bleiben diese Fehler unsichtbar. Ein abgelaufenes Zertifikat, ein falsch konfigurierter MX, ein Downgrade -- kein Signal kommt zurück. E-Mails werden abgelehnt, ohne dass es jemand bemerkt.

Was CaptainDNS für Sie übernimmt:

  • Empfang und Speicherung der TLS-RPT-Berichte
  • Analyse der 9 in RFC 8460 definierten Fehlertypen (certificate expired, sts-policy-invalid usw.)
  • Dashboard mit Verlauf, Trends und Warnungen

TLS-RPT und MTA-STS sind für die gemeinsame Nutzung konzipiert. TLS-RPT-Berichte bestätigen Ihnen, dass Ihre MTA-STS-Richtlinie eingehalten wird -- oder warnen Sie, wenn dies nicht der Fall ist.

TLS-RPT-Monitoring aktivieren

DMARC-Monitoring: verstehen, wer im Namen Ihrer Domain sendet

Das DMARC-Monitoring sammelt und analysiert die aggregierten Berichte (RUA), die von E-Mail-Anbietern gesendet werden. Diese Berichte zeigen, welche Server E-Mails im Namen Ihrer Domain versenden und ob die SPF/DKIM-Authentifizierung erfolgreich ist oder fehlschlägt.

Was CaptainDNS für Sie übernimmt:

  • Empfang und Parsing der aggregierten DMARC-Berichte
  • Intelligenter Assistent, der Ihren bestehenden DMARC-Record erkennt und die erforderlichen Änderungen vorschlägt
  • Begleitete Progression von p=none (Beobachtung) über p=quarantine zu p=reject
  • Identifizierung legitimer vs. verdächtiger Versandquellen

Seit Februar 2024 verlangen Google und Yahoo einen DMARC-Record für jeden Absender. Für Absender von mehr als 5.000 E-Mails pro Tag an Gmail ist die DMARC-Ausrichtung Pflicht. Das Monitoring gibt Ihnen die nötige Sichtbarkeit, um die Durchsetzung zu erhöhen, ohne Ihre legitimen Mailflows zu beeinträchtigen.

DMARC-Monitoring aktivieren

DMARC-Monitoring-Dashboard

Was sie verbindet: gemeinsame Verifizierung und einheitliches Dashboard

Die vier Tools teilen sich einen gemeinsamen Domain-Verifizierungsmechanismus. Sie fügen einen einzigen TXT-Record hinzu:

_captaindns-verify.captaindns.com. 3600 IN TXT "captaindns-verify=xxxxxxxxxxxx"

Dieser Record beweist, dass Sie die Domain kontrollieren. Nach der Verifizierung können alle Dienste ohne erneute Verifizierung aktiviert werden.

Das einheitliche Dashboard fasst den Status jedes Protokolls pro Domain zusammen:

  • Status der MTA-STS-Richtlinie (testing/enforce)
  • Aktives BIMI-Logo und SVG-Konformität
  • Empfangene TLS-RPT-Berichte und erkannte Fehler
  • Aggregierte DMARC-Berichte und Fortschritt der Richtlinie

Sie können bis zu 5 Domains über ein einziges Konto verwalten. Wenn Ihr Portfolio größer ist, kontaktieren Sie uns zur Anpassung des Limits.

E-Mail-Sicherheit ist nur dann wirksam, wenn sie alle Ihre Domains abdeckt. Eine einzige Domain ohne DMARC oder ohne MTA-STS genügt, um eine von Angreifern ausnutzbare Lücke zu schaffen. Diese Protokolle auf Ihr gesamtes Portfolio anzuwenden -- aktive wie geparkte Domains -- ist der einzige tragfähige Ansatz.

Womit anfangen?

Die empfohlene Reihenfolge der Einrichtung folgt den Abhängigkeiten zwischen den Protokollen:

  1. DMARC-Monitoring: Das ist die Voraussetzung für alles Weitere. Sie benötigen Sichtbarkeit über Ihre Mailflows, bevor Sie etwas verschärfen. DMARC-Durchsetzung ist auch die Voraussetzung für BIMI.

  2. MTA-STS: Sobald DMARC eingerichtet ist, sichern Sie den Transport ab. Beginnen Sie im Modus testing, um zu prüfen, ob alles funktioniert.

  3. TLS-RPT: Aktivieren Sie es gleichzeitig mit MTA-STS oder direkt danach. Die TLS-RPT-Berichte bestätigen Ihnen, dass die MTA-STS-Richtlinie angewandt wird.

  4. BIMI: Letzter Schritt. Wenn DMARC auf p=quarantine oder p=reject steht, hosten Sie Ihr Logo, um die Anzeige im Posteingang zu nutzen.

Geschätzte Gesamtdauer: weniger als 20 Minuten für alle vier Tools, ohne DNS-Propagationszeit.

Beginnen Sie mit dem DMARC-Monitoring: Es ist das Fundament der gesamten Kette. Aktivieren Sie die Berichtserfassung, identifizieren Sie Ihre Versandquellen und steigern Sie dann schrittweise die Durchsetzung. DMARC-Monitoring aktivieren und greifen Sie in wenigen Minuten auf alle vier Tools zu.

FAQ

Muss man für die Nutzung dieser Tools bezahlen?

Nein. Alle vier Tools (MTA-STS-Hosting, BIMI-Hosting, TLS-RPT-Monitoring und DMARC-Monitoring) sind kostenlos. CaptainDNS hostet die Infrastruktur, verwaltet die Zertifikate und analysiert die Berichte ohne Kosten.

Wie viele Domains kann ich hinzufügen?

Sie können bis zu 5 Domains über ein einziges CaptainDNS-Konto verwalten. Wenn Sie ein größeres Portfolio abdecken müssen, kontaktieren Sie uns zur Anpassung des Limits. Die gemeinsame Verifizierung per TXT-Record gilt unabhängig für jede Domain.

Braucht man einen Webserver für das Hosting einer MTA-STS-Richtlinie?

Nein. Genau das eliminiert das MTA-STS-Hosting von CaptainDNS. Sie fügen zwei DNS-Records hinzu (einen CNAME für mta-sts.captaindns.com und einen TXT für _mta-sts). CaptainDNS hostet die Richtliniendatei über HTTPS mit einem automatisch erneuerbaren Let's-Encrypt-Zertifikat.

Kann man BIMI ohne VMC-Zertifikat nutzen?

Ja. Der selbstdeklarierte Modus (ohne Zertifikat) zeigt Ihr Logo in Yahoo Mail und Fastmail an. Für Gmail ist ein CMC- oder VMC-Zertifikat erforderlich. CaptainDNS hostet das SVG-Logo und das Zertifikat, falls Sie eines haben, aber das Zertifikat selbst liegt in Ihrer Verantwortung.

Was ist ein TLS-RPT-Bericht?

Ein TLS-RPT-Bericht ist eine JSON-Datei, die von Empfangs-Mailservern gesendet wird. Sie beschreibt die Ergebnisse der TLS-Verhandlung für an Ihre Domain gerichtete E-Mails: Erfolge, Fehler, Fehlertypen. Ohne Monitoring kommen diese Berichte per E-Mail an und werden nie gelesen. CaptainDNS sammelt sie und präsentiert sie in einem Dashboard.

Sind diese Tools mit meinem bestehenden E-Mail-Anbieter kompatibel?

Ja. MTA-STS, BIMI, TLS-RPT und DMARC sind offene Standards, die über DNS funktionieren. Sie sind kompatibel mit Microsoft 365, Google Workspace, OVHcloud, Infomaniak und jedem Anbieter, der die Konfiguration benutzerdefinierter DNS-Records unterstützt.

Quellen

Ähnliche Artikel