Was ist der Unterschied zwischen einem Syntax-Validator und einem Eintrag-Inspektor?

Ein Syntax-Validator analysiert einen DNS-Roheintrag, den Sie einfügen, ohne DNS-Auflösung. Ein Inspektor löst die Domain live aus dem Internet auf und zeigt die Antwort so an, wie sie von Mailservern gesehen wird.

In welcher Reihenfolge sollte man SPF, DKIM und DMARC konfigurieren?

Beginnen Sie mit SPF, um Ihre Sendeserver zu autorisieren, dann konfigurieren Sie DKIM zum Signieren Ihrer Nachrichten. Aktivieren Sie DMARC im p=none-Modus zur Beobachtung, dann wechseln Sie schrittweise zu quarantine und reject.

Warum landen meine E-Mails im Spam trotz gültigem SPF und DKIM?

Gültiges SPF und DKIM reichen nicht immer aus. Überprüfen Sie das DMARC-Alignment (SPF/DKIM-Domain muss mit From übereinstimmen), Ihre IP-Reputation, und nutzen Sie den E-Mail-Tester für eine vollständige Diagnose.

Was ist das 10-DNS-Lookup-Limit für SPF?

Jeder include-, a-, mx-, ptr- und redirect-Mechanismus löst eine DNS-Abfrage aus. Die SPF-Spezifikation begrenzt diese Abfragen auf 10 pro Überprüfung. Darüber hinaus gibt SPF permerror zurück und Ihre E-Mails können abgelehnt werden.

Ist BIMI für gute Zustellbarkeit erforderlich?

Nein, BIMI beeinflusst die Zustellbarkeit nicht. Es ist eine visuelle Identitätsschicht, die Ihr Logo in kompatiblen Webmail-Clients anzeigt. Es erfordert DMARC auf quarantine oder reject, um zu funktionieren.

Wie erkenne ich, ob mein DKIM-Schlüssel zu kurz ist?

Der DKIM-Inspektor zeigt die Länge des öffentlichen Schlüssels an. 1024-Bit-Schlüssel werden akzeptiert, aber 2048 Bit werden empfohlen. 512-Bit-Schlüssel gelten als schwach und können abgelehnt werden.

Was bedeutet striktes vs. entspanntes Alignment in DMARC?

Striktes Alignment erfordert eine exakte Übereinstimmung zwischen der From-Domain und der SPF/DKIM-Domain. Entspanntes Alignment akzeptiert Subdomains. Standardmäßig verwendet DMARC entspannt für mehr Flexibilität.

Was ist MTA-STS und warum brauche ich es?

MTA-STS (Mail Transfer Agent Strict Transport Security) erzwingt TLS-Verschlüsselung für eingehende E-Mails. Es verhindert Man-in-the-Middle- und Downgrade-Angriffe, indem es sendenden Servern mitteilt, TLS bei der Verbindung zu Ihren Mailservern zu verlangen.

Wie funktioniert MTA-STS mit DMARC?

MTA-STS und DMARC ergänzen sich. DMARC validiert die Absenderidentität, während MTA-STS die Transportverschlüsselung erzwingt. Zusammen schützen sie sowohl die Authentizität als auch die Vertraulichkeit Ihrer E-Mails.

E-Mail-Authentifizierungs-Toolbox

Vollständige Zustellbarkeitsdiagnose in Sekunden

E-Mails im Spam? Unsichere Konfiguration? Analysieren, validieren und korrigieren Sie Ihre SPF-, DKIM-, DMARC-, BIMI-, MTA-STS- und TLS-RPT-Einträge mit über 25 kostenlosen Tools.

Syntax-Prüfer

SPF-Syntax-Validator

Überprüfen Sie Ihre SPF-Zeichenkette vor Änderungen. Kontrollieren Sie die Mechanismus-Reihenfolge, zählen Sie DNS-Lookups und vermeiden Sie Überschreitungen.

DKIM-Syntax-Validator

Fügen Sie einen DKIM-Roheintrag ein und überprüfen Sie jedes Tag vor der Veröffentlichung. Erkennen Sie Syntaxfehler, abgeschnittene Schlüssel und ungültige Optionen.

DMARC-Syntax-Validator

Validieren Sie die Tags p=, sp=, adkim=, aspf= und überprüfen Sie die rua/ruf-Berichtsadressen vor der Veröffentlichung.

BIMI-Syntax-Validator

Überprüfen Sie die Tiny-PS-Konformität Ihres SVG-Logos, die HTTPS-URL und das Vorhandensein des VMC-Zertifikats.

MTA-STS-Syntax-Validator

Validieren Sie Ihren MTA-STS-DNS-TXT-Eintrag und Policy-Dateiinhalt offline. Prüfen Sie Version, Modus, MX-Muster und max_age vor der Bereitstellung.

TLS-RPT-Syntax-Validator

Validieren Sie TLS-RPT TXT-Einträge offline vor der Bereitstellung.

DANE TLSA Syntax-Validator

Validieren Sie TLSA-Einträge offline vor der Bereitstellung.

Datensatz-Prüfer

SPF-Eintrag-Inspektor

Lösen Sie die Domain auf und entfalten Sie die vollständige SPF-Kette. Erkennen Sie, wo das 10-DNS-Lookup-Limit überschritten würde.

DKIM-Eintrag-Inspektor

Lösen Sie einen DKIM-Selector live aus dem Internet auf. Zeigen Sie den öffentlichen Schlüssel, seine Länge an und erkennen Sie Rotationsprobleme.

DMARC-Eintrag-Inspektor

Lösen Sie _dmarc.domain auf, zeigen Sie die aktive Richtlinie und den Durchsetzungsprozentsatz an. Überprüfen Sie vor dem Wechsel zu reject.

DMARCbis Checker

Analysiere die DMARCbis-Kompatibilität deiner Domain: DNS Tree Walk, veraltete Tags, Migrationsempfehlungen.

BIMI-Eintrag-Inspektor

Lösen Sie default._bimi.domain auf, laden Sie das Logo herunter und überprüfen Sie VMC vor der Bereitstellung Ihrer Markenidentität.

MTA-STS-Eintrag-Inspektor

Lösen Sie MTA-STS-Einträge live auf. Rufen Sie die Policy-Datei ab, verifizieren Sie TLS-Zertifikate und prüfen Sie MX-Muster gegen Ihre Mailserver.

TLS-RPT-Eintrags-Prüfer

Überprüfen Sie die TLS-RPT-Konfiguration für jede Domain mit externer RUA-Verifizierung.

DANE-TLSA-Prüfer

Überprüfen Sie die DANE/TLSA-Konfiguration für jede Domain mit DNSSEC und Zertifikatabgleich.

DKIM-Selektor-Finder

Entdecken Sie automatisch alle DKIM-Selektoren einer Domain, ohne deren Namen kennen zu müssen.

Datensatz-Generatoren

SPF-Record-Generator

Erstellen Sie einen gültigen SPF-Eintrag mit vorkonfigurierten E-Mail-Anbietern.

SPF-Flattener

SPF-Einträge vereinfachen, um verschachtelte Includes zu eliminieren und das 10-DNS-Lookup-Limit einzuhalten.

DKIM-Generator

Generieren Sie DKIM-Schlüsselpaare (RSA/Ed25519) und DNS TXT-Einträge.

DMARC-Eintrag-Generator

Erstellen Sie einen vollständigen DMARC-Eintrag mit allen Optionen: Richtlinien, Alignments, Berichte, Prozentsätze. Bereit zur Veröffentlichung.

DMARCbis-Migration

Konvertiere deinen aktuellen DMARC-Eintrag in einen DMARCbis-konformen Eintrag.

MTA-STS-Generator

Generieren Sie RFC 8461-konforme MTA-STS-Einträge und Policy-Dateien. Konfigurieren Sie Modus, MX-Muster und Cache-Dauer mit Schritt-für-Schritt-Anleitung.

TLS-RPT-Generator

Generieren Sie TLS-RPT DNS-Einträge mit mailto- und HTTPS-Berichts-URIs.

DANE-TLSA-Generator

Generieren Sie TLSA-Einträge aus einem Zertifikat, um SMTP mit DANE abzusichern.

BIMI-Eintrag-Generator

Erstelle BIMI-DNS-Eintrage mit Logo-URL und optionalem VMC-Zertifikat.

Zustellbarkeits-Tools

DMARC-Berichtsleser

Laden Sie DMARC-Aggregatberichte hoch und analysieren Sie diese, um Authentifizierungsergebnisse zu verstehen und Probleme zu identifizieren.

E-Mail-Zustellbarkeits-Audit

Analysieren Sie MX, SPF, DKIM und DMARC gleichzeitig. Identifizieren Sie Zustellbarkeitsblocker in Sekunden.

E-Mail-Tester

Senden Sie eine Test-E-Mail und erhalten Sie eine Zustellbarkeitsbewertung von 100. Vollständige Diagnose mit empfohlenen Maßnahmen.

E-Mail-Header-Analysator

Fügen Sie Roh-Header einer empfangenen E-Mail ein. Identifizieren Sie den Absender, überprüfen Sie SPF/DKIM/DMARC und verfolgen Sie das vollständige Routing.

IP-Blacklist-Prüfer

Prüfen Sie, ob Ihre IP auf Blacklists steht

Domain-Blacklist-Prüfer

Prüfen Sie, ob Ihre Domain auf URI-Blacklists steht

SMTP/MX-Tester

Testen Sie die SMTP-Konnektivität Ihrer MX-Server: Banner, STARTTLS, TLS-Zertifikat, Open Relay.

TLS-RPT-Berichtsleser

Analysieren Sie Ihre TLS-RPT-Berichte

Hosting-Dienste

MTA-STS-Hosting

Hosten Sie Ihre MTA-STS-Richtlinie automatisch mit kostenlosem DNS-Deployment.

BIMI-Hosting

Hosten Sie Ihre BIMI-Logos und Zertifikate mit automatischer Domain-Verifizierung.

TLS-RPT-Monitoring

Überwachen und analysieren Sie TLS-RPT-Berichte für Ihre Domains automatisch.

DMARC Monitoring

Empfangen und überwachen Sie DMARC-Berichte für Ihre Domains automatisch.

Warum E-Mail-Authentifizierung wesentlich ist

Drei Bausteine, die sich ergänzen

SPF gibt an, welche Server für Ihre Domain senden dürfen. Die Regel wird in einem TXT-Eintrag am Apex veröffentlicht. Gut konfiguriert, begrenzt es Spoofing. Zu permissiv, lässt es Missbrauch durch.

DKIM signiert Ihre Nachrichten. Der öffentliche Schlüssel lebt in einem TXT unter selector._domainkey. Eine gültige Signatur beweist, dass die Nachricht nicht verändert wurde und zeigt an, welche Domain sie signiert hat.

DMARC verknüpft die sichtbare Adresse mit SPF und DKIM. Wenn SPF oder DKIM passt und mit der Absenderdomain aligniert ist, gilt die Nachricht als konform. Die Richtlinie entscheidet dann über die Behandlung bei Fehlschlag: Beobachtung, Quarantäne oder Ablehnung.

Was ein Empfängerserver sieht

Beim Empfang liest der Server Ihre DNS-Einträge und fügt einen Authentication-Results-Header hinzu. Sie finden spf=pass oder fail, dkim=pass oder fail, dmarc=pass oder fail, mit der bewerteten Domain. Dieser Header ist Ihre Ground Truth. Er bestätigt die reale Wirkung Ihrer Einstellungen, jenseits der Theorie.

Was BIMI ändert

BIMI ist kein Spamfilter. Es zeigt ein validiertes Logo an, wenn DMARC mit einer durchgesetzten Richtlinie vorhanden ist. Das Logo wird über einen dedizierten DNS-Eintrag und manchmal ein VMC-Zertifikat angefordert. Ergebnis: Der Empfänger identifiziert Ihre Marke besser und erkennt eine Fälschung schneller.

Die häufigsten Fehler

Zwei SPF mit demselben Namen → In einen einzelnen Wert zusammenführen
SPF überschreitet 10 Lookups → Includes vereinfachen oder den SPF Flattener verwenden
Falsch geschriebener DKIM-Selector → Der Schlüssel wird unauffindbar
Abgeschnittener öffentlicher Schlüssel → Überprüfung schlägt stillschweigend fehl
DMARC ohne Alignment → Nachricht passiert, schützt aber nicht die Identität
DMARC-Berichte an unüberwachtes Postfach → Sie verlieren Observability. Nutzen Sie das DMARC-Monitoring, um Berichte automatisch zu sammeln und zu visualisieren

TTL und DNS-Propagierung

Das Netzwerk "propagiert" nicht im strengen Sinne. Es cached gemäß TTL. Ein kurzer TTL hilft während eines Updates. Ein zu kurzer TTL belastet auf Dauer unnötig. Ein mittlerer TTL (3600-86400s) stabilisiert eine validierte Einstellung. Reduzieren Sie vor einer Änderung, stellen Sie danach wieder her.

So nutzen Sie die CaptainDNS-Toolbox

SPF-, DKIM-, DMARC-Syntax-Validatoren

Validatoren lesen Ihre Roheinträge und erklären jedes Element:

SPF: Mechanismus-Reihenfolge, include, redirect, Vorhandensein von all, DNS-Abfragenzählung, nicht existierende IPs und Domains. Das Ziel ist, unter 10 Lookups zu bleiben und Schleifen zu vermeiden.

DKIM: Lesen der Tags v, k, p, t, s. Schlüssellängenüberprüfung, Erkennung von Abschneidungen, ungültigen Zeichen und Best Practices zur Schlüsselrotation.

DMARC: Lesen der Tags v, p, sp, adkim, aspf, pct, rua, ruf. Überprüfung des gewählten Alignments und der Gültigkeit von Berichtsadressen.

Live-Eintrag-Inspektoren

Inspektoren lösen DNS auf und zeigen die Antwort so an, wie sie aus dem Internet gesehen wird:

SPF-Inspektor: entfaltet die Include-Kette, zeigt aufgerufene Domains und wo das Limit überschritten würde
DKIM-Inspektor: löst den Selector auf, extrahiert den öffentlichen Schlüssel und prüft Formatkonsistenz
DMARC-Inspektor: liest _dmarc.domain, zeigt die aktive Richtlinie, rua/ruf-Adressen und Durchsetzungsprozentsatz

Diese Tools überprüfen die Gegenwart, nicht die Theorie. Ideal für ein Ticket oder Produktionsdeployment.

E-Mail-Zustellbarkeits-Audit

Diese Prüfung analysiert MX, SPF, DKIM und DMARC gleichzeitig, um eine einfache Frage zu beantworten: Ist die Domain sendebereit? Sie zeigt auch die wahrscheinlichste Fehlerursache: SPF zu permissiv, fehlender DKIM-Schlüssel, nicht durchgesetzte DMARC-Richtlinie, striktes Alignment, das bei einer Subdomain fehlschlägt, MX zeigt auf einen CNAME.

DMARC-Eintrag-Generator

Der Generator hilft Ihnen, vollständige, RFC-konforme DMARC-Einträge zu erstellen:

Domain-Konfiguration: einfache Eingabe mit automatischer _dmarc-Hostname-Generierung
Flexible Richtlinien: Wahl zwischen none, quarantine und reject mit Subdomain-Handling
Integrierte Berichterstattung: rua/ruf-Adressen mit Validierung und Implementierungsanleitung
Erweiterte Optionen: DKIM/SPF-Alignments, Prozentsätze, Intervalle und Fehleroptionen

Das Tool generiert den vollständigen Eintrag, bereit zur Veröffentlichung, und führt zum Inspektor für die Post-Deployment-Überprüfung.

DMARCbis: Vorbereitung auf den Übergang zu DMARC v2

DMARCbis folgt auf RFC 7489 und erhebt DMARC zum IETF Proposed Standard. Die wichtigste Änderung: Die Public Suffix List wird durch einen DNS Tree Walk-Algorithmus ersetzt, um die organisatorische Domain zu identifizieren.

Drei Tags kommen hinzu (psd, np, t), drei werden entfernt (pct, ri, rf). Das Reporting wird in drei separate normative Dokumente aufgeteilt.

DMARCbis Checker analysiert die Kompatibilität deiner DMARC-Einträge mit dem neuen Standard. Er erkennt veraltete Tags, prüft die Erkennung via Tree Walk und empfiehlt die nötigen Anpassungen.

DMARCbis Migration generiert automatisch einen Eintrag nach dem neuen Standard aus deinem aktuellen DMARC-Eintrag, mit einem Vorher/Nachher-Vergleich.

BIMI in Produktion

Der BIMI-Validator prüft die Eintragsstruktur, testet die HTTPS-Logo-URL, verifiziert Tiny-PS-Einschränkungen und lädt das VMC herunter, wenn vorhanden. Kombiniert mit DMARC auf quarantine oder reject durchgesetzt, sichert es die Logo-Anzeige in kompatiblen Webmail-Clients.

MTA-STS für Transportsicherheit

MTA-STS (RFC 8461) fügt eine kritische Schutzschicht hinzu, indem es TLS-Verschlüsselung für eingehende E-Mails erzwingt. Ohne MTA-STS kann opportunistisches TLS von Angreifern herabgestuft werden. Mit MTA-STS müssen sendende Server TLS verwenden oder die Zustellung ablehnen.

MTA-STS-Tools

Syntax-Validator: Fügen Sie Ihren DNS-TXT-Eintrag und Policy-Dateiinhalt ein. Der Validator prüft Version, Modus, MX-Muster und max_age-Direktiven vor der Veröffentlichung.

Eintrag-Inspektor: Geben Sie eine Domain ein, um den Live-MTA-STS-Eintrag und die Policy-Datei abzurufen. Verifiziert TLS-Zertifikate und prüft MX-Muster gegen echte Mailserver.

Generator: Erstellen Sie konforme MTA-STS-Einträge und Policy-Dateien. Konfigurieren Sie Testing- oder Enforce-Modus, fügen Sie MX-Muster hinzu, setzen Sie die Cache-Dauer. Kopierbereite Ausgabe mit Deployment-Anweisungen.

MTA-STS-Hosting: Lassen Sie CaptainDNS Ihre MTA-STS-Policy-Datei hosten. Keine Webserver-Einrichtung nötig: erstellen Sie Ihre Policy, verifizieren Sie die Domain-Inhaberschaft, setzen Sie einen CNAME und fertig. Automatisches HTTPS, verwaltete Zertifikate und sofortige Aktualisierungen bei Policy-Änderungen.

Empfohlenes MTA-STS-Deployment

Generieren Sie den DNS-TXT-Eintrag und die Policy-Datei
Hosten Sie die Policy-Datei: nutzen Sie das MTA-STS-Hosting für wartungsfreies Hosting, oder hosten Sie selbst unter https://mta-sts.ihredomain.de/.well-known/mta-sts.txt
Veröffentlichen Sie den DNS-TXT-Eintrag unter _mta-sts.ihredomain.de
Starten Sie im Testing-Modus, um Probleme zu identifizieren, ohne die Zustellung zu unterbrechen
Wechseln Sie zu Enforce, sobald Sie verifiziert haben, dass alle MX-Server TLS unterstützen
Überwachen Sie mit TLS-RPT, um Fehlerberichte zu erhalten

TLS-RPT für Transport-Berichterstattung

TLS-RPT (RFC 8460) ergänzt MTA-STS durch den Empfang von Berichten über TLS-Verhandlungsfehler. Ohne diese Berichte wüssten Sie nicht, ob eingehende E-Mails wegen eines abgelaufenen Zertifikats oder einer Fehlkonfiguration stillschweigend scheitern.

Syntax-Validator: Fügen Sie Ihren TLS-RPT-DNS-TXT-Eintrag ein und validieren Sie die RFC-Konformität vor der Veröffentlichung. Prüfung der mailto- und HTTPS-Bericht-URIs.

Eintrag-Inspektor: Lösen Sie den TLS-RPT-Eintrag einer Domain live auf. Überprüfen Sie Berichtsadressen, einschließlich externer Empfangsberechtigungen.

Generator: Erstellen Sie einen gültigen TLS-RPT-Eintrag mit mailto- und/oder HTTPS-Bericht-URIs. Kopierbereite Ausgabe für Ihre DNS-Zone.

TLS-RPT-Monitoring: Verfolgen Sie TLS-RPT-Berichte Ihrer Domains direkt in CaptainDNS. Visualisieren Sie TLS-Verhandlungsfehler, identifizieren Sie problematische Zertifikate und erhalten Sie Warnungen bei Anomalien.

DANE/TLSA für Zertifikats-Authentifizierung

DANE (RFC 6698/7672) bindet TLS-Zertifikate über DNSSEC-signierte TLSA-DNS-Einträge an Domainnamen. Im Gegensatz zum klassischen CA-basierten Modell ermöglicht DANE dem Domain-Inhaber, genau festzulegen, welches Zertifikat ein Server präsentieren muss.

Syntax-Validator: Fügen Sie einen TLSA-Roheintrag ein und überprüfen Sie Usage, Selector, Matching Type und Zertifikatsdatenfelder vor der Veröffentlichung. Erkennt nicht empfohlene Kombinationen und Hex-Formatfehler.

Eintrag-Inspektor: Geben Sie eine Domain ein, um die vollständige DANE-Konfiguration zu prüfen: MX-Auflösung, TLSA-Lookup, DNSSEC-Validierung und Abgleich mit dem TLS-Zertifikat des Servers.

Generator: Erstellen Sie einen TLSA-Eintrag aus Ihrem PEM-Zertifikat oder direkt vom Server via STARTTLS. Unterstützt DANE-EE, DANE-TA, SHA-256, SHA-512 und SPKI-Selector.

Empfohlenes DANE-Deployment

Aktivieren Sie DNSSEC für Ihre Domain (absolute Voraussetzung)
Generieren Sie den TLSA-Eintrag mit dem DANE-Generator
Veröffentlichen Sie den Eintrag unter _25._tcp.ihrmailhost
Überprüfen Sie mit dem DANE-Inspektor nach der Propagierung
Aktivieren Sie TLS-RPT, um DANE-Fehlerberichte zu erhalten
Planen Sie die Rotation: Aktualisieren Sie den TLSA-Eintrag vor jeder Zertifikatserneuerung

Eintrag-Generatoren

Neben dem DMARC-Generator deckt die Toolbox die Eintragserstellung für jedes Protokoll ab:

SPF-Generator: Erstellen Sie einen gültigen SPF-Eintrag durch Auswahl Ihrer vorkonfigurierten E-Mail-Anbieter (Google Workspace, Microsoft 365 usw.). Der Generator fügt Mechanismen zusammen, prüft das 10-Lookup-Limit und erzeugt einen veröffentlichungsfertigen Eintrag.

SPF Flattener: Glätten Sie Ihre SPF-Einträge, um verschachtelte Includes zu eliminieren. Das Tool löst jedes Include in direkte IP-Adressen auf, reduziert DNS-Lookups und verhindert permerror-Fehler in der Produktion.

DKIM-Generator: Generieren Sie ein DKIM-Schlüsselpaar (RSA 1024/2048-Bit oder Ed25519) und den zugehörigen DNS-TXT-Eintrag. Das Tool erzeugt den privaten Schlüssel für Ihren Server und den öffentlichen Schlüssel für die DNS-Veröffentlichung.

BIMI-Generator: Erstellen Sie einen BIMI-DNS-Eintrag mit Ihrer SVG-Logo-URL und optionalem VMC-Zertifikat. Das Tool überprüft die DMARC-Voraussetzungen und leitet die Veröffentlichung an.

DKIM Selector Finder

Einen DKIM-Selector zu finden kann mühsam sein, wenn man seinen Namen nicht kennt. Der DKIM Selector Finder fragt automatisch eine Datenbank bekannter Selektoren ab (Google, Microsoft, Amazon SES usw.) und testet jeden gegen Ihre Domain. Ergebnis: eine Liste aktiver Selektoren mit ihren öffentlichen Schlüsseln, ohne Raten.

Reputations- und Konnektivitätsprüfungen

IP- und Domain-Blacklists

Perfekte SPF- und DKIM-Einstellungen nützen nichts, wenn Ihre IP oder Domain auf einer Blacklist steht. Der IP-Blacklist-Checker befragt wichtige DNSBLs (Spamhaus, Barracuda, SORBS usw.) und der Domain-Blacklist-Checker prüft URI-Listen (SURBL, URIBL usw.). Eine geblacklistete Domain sieht ihre E-Mails unabhängig von der Authentifizierung abgelehnt oder als Spam markiert.

SMTP/MX-Tester

Der SMTP-Tester überprüft die Konnektivität Ihrer MX-Server: DNS-Auflösung, SMTP-Verbindung, Banner, STARTTLS-Unterstützung, TLS-Zertifikatsvalidität und Open-Relay-Erkennung. Das letzte Glied in der Kette: Die DNS-Authentifizierung ist korrekt, aber ist der Server tatsächlich erreichbar und sicher?

Empfohlene Deployment-Methode

Ausgangszustand dokumentieren: DNS-Captures und Authentication-Results-Beispiele
TTL reduzieren vor Änderungen (300-600s)
SPF deployen sauber und einzigartig, mit dem Inspektor verifizieren
DKIM-Schlüssel veröffentlichen auf einem neuen Selector, Signatur testen
DMARC aktivieren auf p=none, Berichte analysieren, korrigieren dann durchsetzen
BIMI hinzufügen wenn DMARC durchgesetzt ist und Logo/VMC die Validierung bestehen
Komfortablen TTL wiederherstellen (3600-86400s) wenn stabil

Überwachung und täglicher Betrieb

Konfigurationen entwickeln sich mit Anbietern, Subdomains, Microservices und einmaligen Kampagnen. Halten Sie einen einfachen Zyklus ein: regelmäßige Kontrollen, Berichtslektüre, Schlüsselrotation, Bereinigung veralteter Includes und Selektoren. Eine Änderung sollte immer eine Spur hinterlassen: Datum, Autor, vorheriger Wert, neuer Wert, Grund. Dies verkürzt jede Diagnose.

Ergänzende Tools

Tool	Zweck
DNS-Propagierungsprüfer	Bestätigen, dass Ihre DNS-Änderungen weltweit sichtbar sind
DNS-Lookup	Jeden DNS-Eintragstyp abfragen
IP-Whois	Eigentümer einer IP-Adresse identifizieren
IP-Blacklist-Checker	Prüfen, ob Ihre IP auf einer Blacklist steht
Domain-Blacklist-Checker	Prüfen, ob Ihre Domain auf einer Blacklist steht
DMARC-Monitoring	DMARC-Aggregatberichte Ihrer Domains sammeln und visualisieren
SMTP/MX-Tester	SMTP-Konnektivität, STARTTLS und TLS-Zertifikate testen

Nützliche Ressourcen

RFC 7208 - Sender Policy Framework (SPF) (offizielle Spezifikation)
RFC 6376 - DomainKeys Identified Mail (DKIM) (offizielle Spezifikation)
RFC 7489 - Domain-based Message Authentication (DMARC) (offizielle Spezifikation)
RFC 8461 - MTA Strict Transport Security (MTA-STS) (offizielle Spezifikation)
RFC 8460 - SMTP TLS Reporting (TLS-RPT) (offizielle Spezifikation)
RFC 6698 - DNS-Based Authentication of Named Entities (DANE) (offizielle Spezifikation)
RFC 7672 - SMTP Security via Opportunistic DANE TLS (DANE für SMTP)
Google - E-Mail-Absenderrichtlinien (Gmail-Anforderungen)
Microsoft - E-Mail-Authentifizierung in Microsoft 365 (Outlook/M365-Leitfaden)