Ein vollständiges Audit der E-Mail-Sicherheit und Zustellbarkeit
Die E-Mail-Konfiguration einer Domain entscheidet sich an zwei Fronten. Beim Versand bestimmt die Authentifizierung (SPF, DKIM, DMARC), ob Ihre Nachrichten den Posteingang erreichen oder im Spam landen. Beim Empfang schützen die Transportsicherheit (MTA-STS, DANE, TLS-RPT) und die DNS-Integrität (DNSSEC) Ihren Austausch vor Abfangen und Missbrauch. Eine Schwachstelle auf nur einer Seite schwächt das Ganze.
Dieses Audit für E-Mail-Zustellbarkeit und Sicherheit (auch "DMARC Checker", "SPF Lookup", "DKIM Validator", "Domain Health Check" oder "E-Mail-Sicherheits-Audit" genannt) nimmt neun Protokolle in drei Säulen unter die Lupe, in einem einzigen Scan.
Versand (Outbound):
| Protokoll | Rolle | Auswirkung bei Fehlen oder Ungültigkeit |
|---|---|---|
| SPF | Autorisiert Server, im Namen Ihrer Domain zu senden | Risiko der Ablehnung oder Spam-Einstufung |
| DKIM | Signiert Ihre Nachrichten kryptografisch | Schwache Authentifizierung, Spoofing-Risiko |
| DMARC | Legt die Richtlinie bei SPF/DKIM-Fehlschlag fest | Kein Schutz gegen Missbrauch |
| BIMI | Zeigt Ihr Logo im Posteingang an | Optional, stärkt das visuelle Vertrauen |
Empfang (Inbound):
| Protokoll | Rolle | Auswirkung bei Fehlen oder Ungültigkeit |
|---|---|---|
| MX | Gibt an, wo E-Mails empfangen werden | Domain gilt als nicht für E-Mail bestimmt |
| MTA-STS | Erzwingt TLS-Verschlüsselung für eingehende E-Mails | E-Mails im Klartext, anfällig fürs Abfangen |
| DANE | Authentifiziert die TLS-Zertifikate der MX über DNSSEC | Keine kryptografische Prüfung des Mailservers |
| TLS-RPT | Empfängt Berichte über TLS-Fehlschläge | Keine Sichtbarkeit bei Verschlüsselungsproblemen |
Man startet dieses Audit in drei Situationen. Vor einer Kampagne, um zu bestätigen, dass die Domain versandbereit ist. Zur Absicherung des Empfangs, indem man die Transportverschlüsselung und die DNS-Integrität kontrolliert. Und nach einem Plattformwechsel, wenn zu prüfen ist, ob die neuen DKIM-Selektoren und ihre Einträge sauber veröffentlicht sind.
So nutzen Sie das E-Mail-Audit in 3 Schritten
Schritt 1: Geben Sie Ihre Domain ein
Geben Sie die zu prüfende Domain ein (captaindns.com). Wenn Sie über mehrere Plattformen versenden (Mailchimp, Brevo, Google Workspace), ergänzen Sie die zugehörigen DKIM-Selektoren für eine vollständige Prüfung des Versands.
Wo Sie Ihre DKIM-Selektoren finden:
- Mailchimp:
k1(Einstellungen → Domain → Authentifizierung) - Brevo:
mail(Einstellungen → Absender → DKIM) - Google Workspace:
google(Admin-Konsole → Apps → Gmail → Authentifizierung) - Microsoft 365:
selector1,selector2(Admin → Domains → DNS-Einträge)
Schritt 2: Die Analyse läuft
Das Tool fragt Ihre DNS-Einträge ab, ohne dass Sie eingreifen müssen.
Beim Versand prüft es die SPF-Syntax, ihre Anzahl an Lookups und ihren -all-Mechanismus, validiert jeden DKIM-Selektor samt Schlüsselgröße (2048 Bit oder mehr), kontrolliert die DMARC-Richtlinie und ihre Berichte und bestätigt schließlich, dass der BIMI-Eintrag auf ein erreichbares Logo zeigt.
Beim Empfang listet es Ihre MX auf und testet deren Auflösung und Redundanz, prüft den MTA-STS-Eintrag, seine HTTPS-Richtlinie und seinen Modus (enforce oder testing), gleicht die TLSA-Einträge von DANE mit der DNSSEC-Validierung ab und stellt sicher, dass TLS-RPT auch ein Berichtsziel deklariert.
Schritt 3: Die Ergebnisse lesen
Sie erhalten:
- Gesamtscore von 100 mit Konfigurations-Badge (Ausgezeichnet, Gut, Mittel, Unzureichend)
- Diagnosen pro Protokoll mit Pass/Fail-Status
- Korrekturmaßnahmen nach Priorität sortiert
- JSON-Export zum Teilen mit Ihrem technischen Team
Berechnung des Scores von 100
Der Gesamtscore aggregiert drei gewichtete Säulen: Versand (50%), Empfang (35%) und DNS-Sicherheit (15%). So setzen sie sich zusammen.
| Säule | Gewichtung | Komponenten |
|---|---|---|
| Versand (Outbound) | 50% | SPF, DKIM, DMARC, BIMI |
| Empfang (Inbound) | 35% | MX, MTA-STS, DANE, TLS-RPT |
| DNS-Sicherheit | 15% | DNSSEC, CAA |
Jede Säule wird auf 100 bewertet und dann nach ihrem Gewicht eingerechnet. Die Summe mündet in eine Note. Über 90 sitzt alles: das ist Ausgezeichnet. Zwischen 75 und 89 hält die Basis, ein paar Einstellungen fehlen noch (Gut). Von 55 bis 74 nagen Fehler oder Warnungen an Ihrer Zustellbarkeit oder Sicherheit (Mittel). Unter 55% sieht es düster aus: ein schwerer Blocker gefährdet Versand oder Empfang (Unzureichend).
Punkteverteilung nach Säule
Versand (100 Punkte):
| Komponente | Max. Punkte | Hauptkriterien |
|---|---|---|
| DMARC | 40 | p=reject-Richtlinie, rua/ruf-Berichte, striktes Alignment |
| SPF | 30 | Gültige Syntax, 10-Lookup-Limit, -all-Mechanismus |
| DKIM | 25 | Gültige Selektoren, Schlüssel ≥2048 Bit, Redundanz |
| BIMI | 5 | Gültiger Eintrag, SVG-Tiny-PS-Logo, VMC vorhanden |
Empfang (100 Punkte):
| Komponente | Max. Punkte | Hauptkriterien |
|---|---|---|
| MX | 40 | Vorhandensein, Auflösung, Redundanz (2+ MX) |
| MTA-STS | 30 | Gültiger DNS-Eintrag, HTTPS-Richtlinie, Enforce-Modus |
| DANE | 15 | TLSA-Einträge veröffentlicht, DNSSEC-signiert |
| TLS-RPT | 15 | Gültiger Eintrag, RUA-Ziele konfiguriert |
DNS-Sicherheit (100 Punkte):
| Komponente | Max. Punkte | Hauptkriterien |
|---|---|---|
| DNSSEC | 80 | Zone signiert und Kette validiert |
| CAA | 20 | Eintrag vorhanden, Ausstellung eingeschränkt, iodef-Kontakt gesetzt |
Ein CAA-Eintrag (Certification Authority Authorization) legt fest, welche Zertifizierungsstellen ein Zertifikat für Ihre Domain ausstellen dürfen. Ohne ihn kann jede beliebige Stelle ein Zertifikat für captaindns.com signieren. Der Wert 0 issue ";" macht jeder Ausstellung die Tür zu, und das iodef-Tag öffnet einen Kanal, über den Versuche gemeldet werden.
Häufige Fehler, die das Audit erkennt
Vier Probleme tauchen in der großen Mehrheit der gescheiterten Audits auf. So erkennen und beheben Sie sie.
SPF: zu viele DNS-Anfragen (permerror)
SPF verträgt höchstens 10 DNS-Lookups. Ein einziges include: zu viel, und alles bricht: der Resolver gibt permerror zurück und ignoriert Ihre Richtlinie schlicht und ergreifend. Das typische Symptom ist ein abgestürzter SPF-Score, obwohl der Eintrag sehr wohl existiert. Das Audit zählt Ihre Lookups neu, erkennt verschachtelte include: (oft 12 oder mehr) und zeigt die Überschreitung an. Der Ausweg: ersetzen Sie die include: durch IP-Bereiche, oder erledigen Sie das mit einem Klick über unseren SPF Flattener.
DKIM: Selektor nicht auffindbar
Jede Versandplattform hat ihren eigenen DKIM-Selektor. Solange er nicht in Ihrer Zone veröffentlicht ist, schlägt die Signatur bei jeder Mail fehl, ausnahmslos. Sie glauben, DKIM sei eingerichtet, doch das Audit meldet ein NXDOMAIN auf k1._domainkey.captaindns.com: der Schlüssel existiert im DNS nicht. Holen Sie den richtigen Selektor bei Ihrem Versandanbieter und veröffentlichen Sie den passenden TXT-Eintrag.
DMARC: zu nachgiebige Richtlinie
Eine p=none-Richtlinie schützt vor nichts. Sie beobachtet, sie blockiert nicht: die Mailanbieter lassen nicht authentifizierte E-Mails durch, die in Ihrem Namen verschickt werden. Das Audit weist darauf hin, sobald es p=none liest, erst recht, wenn auch die rua-Berichte fehlen. Das Vorgehen: härten Sie in Stufen, p=quarantine und dann p=reject, und behalten Sie die DMARC-Berichte im Auge, damit keine legitime Sendung blockiert wird.
MX: fehlender oder ungültiger Eintrag
Kein MX, keine eingehende Post. Eine Domain ohne MX empfängt keine E-Mails, und manche Filter halten sie sogar beim Versand für unrechtmäßig. Wenn das Audit einen MX-Score von null zurückgibt, wurde kein Eintrag gefunden. Veröffentlichen Sie mindestens einen gültigen MX. Soll die Domain keine Post empfangen, deklarieren Sie einen Null-MX (0 .): das ist eine bewusste Haltung, kein Fehler.
Aktionsplan zur Verbesserung Ihrer Sicherheit und Zustellbarkeit
Gehen Sie die Baustelle nach Wirkung an. Die beiden Tabellen unten ordnen die Korrekturen für Versand und dann Empfang, vom Kritischsten bis zum Optionalen.
Versand:
| Priorität | Maßnahme | Auswirkung |
|---|---|---|
| 1. Kritisch | SPF mit -all einrichten und unter 10 Lookups bleiben | Verhindert die Ablehnung durch Server |
| 2. Hoch | DKIM mit Schlüssel ≥2048 Bit für jeden ESP veröffentlichen | Authentische Signatur der E-Mails |
| 3. Hoch | DMARC auf p=quarantine und dann p=reject umstellen | Schutz gegen Missbrauch |
| 4. Mittel | DMARC-Berichte (rua) über das DMARC-Monitoring einrichten | Überwachung der Fehlschläge |
| 5. Optional | BIMI mit zertifiziertem Logo ergänzen | Stärkt das visuelle Vertrauen |
Empfang:
| Priorität | Maßnahme | Auswirkung |
|---|---|---|
| 1. Hoch | Mindestens 2 MX für Redundanz veröffentlichen | Sichert den Empfang, selbst wenn ein Server ausfällt |
| 2. Mittel | MTA-STS im Enforce-Modus bereitstellen | Erzwingt TLS-Verschlüsselung für eingehende E-Mails |
| 3. Niedrig | Einen TLS-RPT-Eintrag veröffentlichen | Empfängt Berichte über TLS-Verbindungsfehler |
| 4. Niedrig | DANE/TLSA-Einträge ergänzen (bei aktivem DNSSEC) | Kryptografische Authentifizierung der MX-Zertifikate |
Tipp: Starten Sie das Audit zu den Momenten, die zählen, vor einer Kampagne, nach einem Anbieterwechsel, bei jeder DNS-Änderung. So erkennen Sie Probleme, bevor sie Ihre Sendungen benachteiligen oder Ihre Domain bloßstellen.
Konkrete Anwendungsfälle
Fall 1: Marketing-Kampagne mit 80% im Spam
Symptom: Sie versenden einen Newsletter über Mailchimp, doch der Großteil landet im Spam.
Diagnose mit dem Audit:
- MX = ✅ Pass
- SPF = ❌ Fail → 14 Lookups (Limit überschritten)
- DKIM = ❌ Fail → Selektor
k1nicht gefunden - DMARC = ⚠️
p=none
Prioritäre Maßnahmen:
- SPF abflachen, um unter 10 Lookups zu kommen
- Den DKIM-CNAME von Mailchimp veröffentlichen
- DMARC auf
p=quarantineumstellen
Fall 2: B2B-E-Mails von Microsoft 365 abgelehnt
Symptom: Ihre Geschäfts-E-Mails werden von Kunden abgelehnt, die Outlook/Microsoft 365 verwenden.
Diagnose mit dem Audit:
- SPF = ✅ Pass
- DKIM = ✅ Pass
- DMARC = ❌ Fail → Richtlinie
p=reject, aber Alignment fehlgeschlagen
Prioritäre Maßnahmen:
- Prüfen, ob die From-Domain mit der DKIM-Domain übereinstimmt (striktes Alignment)
aspf=rundadkim=rfür ein entspanntes Alignment einstellen
Fall 3: Migration zu Google Workspace
Symptom: Nach der Migration zu Google Workspace landen E-Mails im Spam.
Diagnose mit dem Audit:
- SPF = ⚠️ Warning →
include:_spf.google.comfehlt - DKIM = ❌ Fail → Selektor
googlenicht veröffentlicht
Prioritäre Maßnahmen:
include:_spf.google.comzum SPF hinzufügen- DKIM-Schlüssel in der Admin-Konsole erzeugen und veröffentlichen
FAQ - Häufig gestellte Fragen
F: Was genau prüft dieses E-Mail-Audit?
A: Neun Protokolle, verteilt auf drei Säulen. Beim Versand kontrolliert das Audit SPF (autorisierte Server), DKIM (kryptografische Signatur), DMARC (Authentifizierungsrichtlinie) und BIMI (Markenlogo). Beim Empfang deckt es MX (eingehende Server), MTA-STS (erzwungene TLS-Verschlüsselung), DANE (Zertifikatsauthentifizierung über DNSSEC) und TLS-RPT (Berichte über TLS-Fehlschläge) ab. Die Säule DNS-Sicherheit betrifft DNSSEC (Signierung der Zone) und CAA (autorisierte Zertifizierungsstellen).
F: Wie funktioniert der Score von 100?
A: Drei gewichtete Säulen kombinieren sich: der Versand (50%) bündelt DMARC (40 Pkt), SPF (30 Pkt), DKIM (25 Pkt) und BIMI (5 Pkt); der Empfang (35%) addiert MX (40 Pkt), MTA-STS (30 Pkt), DANE (15 Pkt) und TLS-RPT (15 Pkt); die DNS-Sicherheit (15%) verteilt sich auf DNSSEC (80 Pkt) und CAA (20 Pkt). Jede Säule wird auf 100 bewertet und dann nach ihrem Gewicht in den Gesamtscore umgerechnet. Über 90 sitzt die Konfiguration.
F: Warum zeigt mein SPF "zu viele Lookups" an?
A: Die RFC 7208 deckelt SPF auf 10 DNS-Auflösungen. Jedes include:, a:, mx: oder redirect= verbraucht eine davon. Stapeln Sie Mailchimp, Brevo und Google, und der Zähler springt schnell über die Marke. Um wieder darunter zu kommen, wandelt unser SPF Flattener Ihre Includes in direkte IP-Adressen um.
F: Wie füge ich einen DKIM-Selektor hinzu?
A: Der Selektor wechselt von Anbieter zu Anbieter: k1 für Mailchimp, mail für Brevo, google für Google Workspace, selector1 und selector2 für Microsoft 365. Geben Sie ihn ins Audit-Formular ein, und das Tool bestätigt, ob er in Ihrer Zone veröffentlicht ist.
F: Welche DMARC-Richtlinie sollte ich verwenden?
A: Gehen Sie in Stufen vor. Man startet mit p=none, um zu beobachten, ohne etwas zu blockieren, wechselt zu p=quarantine, um verdächtige Nachrichten in den Spam zu schicken, und verriegelt dann mit p=reject, um alles Nicht-Authentifizierte abzulehnen. Halten Sie auf jeder Stufe die rua-Berichte aktiv: sie sind es, die Sie davor bewahren, eine legitime Sendung zu blockieren.
F: Ist das Audit kostenlos?
A: Ja, kostenlos und ohne Registrierung. Sie geben Ihre Domain ein, die Ergebnisse erscheinen.
F: Werden meine Daten gespeichert?
A: Nein. Das Audit fragt nur öffentliche DNS-Einträge ab, die jedem über eine normale DNS-Anfrage zugänglich sind. Bei uns wird nichts aufbewahrt.
Ergänzende Tools
| Tool | Zweck |
|---|---|
| E-Mail-Header-Analyzer | SPF/DKIM/DMARC-Ergebnisse einer empfangenen E-Mail prüfen |
| SPF-Inspektor | Ihren SPF-Eintrag im Detail analysieren |
| SPF Flattener | SPF abflachen, um unter die 10 DNS-Lookups zu kommen |
| DKIM-Inspektor | Ihre DKIM-Schlüssel Selektor für Selektor validieren |
| DMARC-Inspektor | Ihre DMARC-Richtlinie zerlegen und testen |
| DNS-Propagationsprüfer | Bestätigen, dass Ihre DNS-Einträge weltweit propagiert sind |
| IP-Blacklist-Checker | Prüfen, ob Ihre IP auf einer Blockliste steht |
| Domain-Blacklist-Checker | Prüfen, ob Ihre Domain auf einer Blockliste steht |
| DMARC-Monitoring | DMARC-Aggregatberichte Ihrer Domains sammeln und visualisieren |
| TLS-RPT-Bericht-Analysator | Per E-Mail empfangene TLS-RPT-Berichte analysieren |
Nützliche Ressourcen
- RFC 7208 - SPF (offizielle SPF-Spezifikation)
- RFC 6376 - DKIM (offizielle DKIM-Spezifikation)
- RFC 7489 - DMARC (offizielle DMARC-Spezifikation)
- RFC 8461 - MTA-STS (SMTP MTA Strict Transport Security)
- RFC 8460 - TLS-RPT (SMTP TLS Reporting)
- RFC 6698 - DANE (DNS-Based Authentication of Named Entities)
- Google - E-Mail-Authentifizierung (Gmail-Leitfaden)
- Microsoft - E-Mail-Authentifizierung (Microsoft 365-Leitfaden)