Zum Hauptinhalt springen
Anmelden
CaptainDNS

Propagation & Diagnose

Vergleichen Sie öffentliche Resolver und analysieren Sie die gelieferten Antworten.

E-Mail-Diagnose

Werkzeuge zur Überprüfung und Validierung Ihrer E-Mail-Authentifizierung.

SPF
DKIM
DMARC
DMARCbis
BIMI
MTA-STS
TLS-RPT
DANE / TLSA

Zustellbarkeit

E-Mail-Zustellbarkeits-AuditMail-Header-AnalyseE-Mail-TesterIP-Blacklist-PrüferDomain-Blacklist-PrüferSPF-FlattenerDKIM-Selektor-FinderSMTP/MX-Tester

Sichern & Überwachen

Datensatzgeneratoren, Richtlinien-Hosting und kontinuierliche Überwachung.

Netzwerk & Web

Netzwerktools, Webseitenanalyse und Zertifikate.

IP-Tools

Meine IP-Adresse

Ermitteln Sie Ihre IPv4/IPv6-Adressen und deren Geostandort.

Reverse-Lookup

Lösen Sie einen PTR-Eintrag auf und prüfen Sie die DNS-Konsistenz.

IP-WhoIs

Ermitteln Sie den Inhaber eines IP-Bereichs und seine Kontakte.

IPv4-Netzmaske

Berechnen Sie Netzwerk, Broadcast und nutzbare Hosts für jeden IPv4-Block.

IPv6-Subnetzrechner

Berechne IPv6-Subnetze, Adressbereiche und Reverse-DNS-Einträge.

Zertifikate & BIMI

BIMI-Logo-Inspektor

Analysieren Sie die URL eines BIMI-Logos, sein Format, Metadaten und Rendering.

BIMI SVG Converter

Konvertiere ein SVG in Sekunden ins BIMI-konforme Tiny-PS-Format.

CSR-Parser

Analysieren Sie einen CSR, lesen Sie Subject-Daten, Fingerprints und angeforderte SANs.

VMC-Inspektor

Prüfen Sie ein Verified Mark Certificate: ausstellende CA, Gültigkeit und SANs, bevor Sie BIMI veröffentlichen.

Web

Seitengewicht-Prüfer

Prüfe, ob deine Seite das 2-MB-Crawl-Limit von Google überschreitet.

Phishing-URL-Prüfer

Prüfe, ob eine URL als Phishing oder Malware von 4 Quellen gemeldet ist.

Redirect Checker

HTTP-Weiterleitungsketten analysieren

Domain-Weiterleitung

Leiten Sie Ihre Domains mit automatischem HTTPS und 301/302-Weiterleitungen weiter.

HTTP-Uptime-Monitor

Überwachen Sie die Verfügbarkeit Ihrer Websites mit geplanten Checks und E-Mail-Alarmen.

Statusseiten

Veröffentlichen Sie eine öffentliche Statusseite mit Ihren HTTP-Monitoren.

Entwicklertools

Textwerkzeuge und Tools für den Entwickleralltag.

Text

Inhalte transformieren und messen in Sekunden.

Groß-/Kleinschreibung-Konverter

Wandeln Sie einen Textblock sofort in Klein- oder Großbuchstaben um.

Slug-Generator

Wandeln Sie jede Überschrift in wenigen Sekunden in einen SEO-freundlichen Slug um.

Wort- & Zeichenzähler

Zählt sofort, wie viele Wörter und Zeichen ein Text enthält.

Passwort-Generator

Erstelle starke Zufallspasswörter und einprägsame Passphrasen sofort.

Entwickler

Kodierung, Hashing, Regex und Formatierung fur den Entwickleralltag.

Base64-Encoder / -Decoder

Kodieren oder dekodieren Sie Inhalte als Base64 direkt im Browser.

Hash-Generator

Berechne MD5-, SHA-1-, SHA-256- und SHA-512-Hashes eines Textes.

URL-Encoder / -Decoder

Kodieren oder dekodieren Sie Text mit Percent-Encoding (RFC 3986) direkt im Browser.

Regex-Tester

Testen Sie einen regulären Ausdruck gegen Text und visualisieren Sie die Treffer.

JSON / YAML Formatierer

JSON und YAML formatieren, validieren und konvertieren - mit einem Klick.

Kostenloses MTA-STS Hosting

Schützen Sie Ihre E-Mails vor SMTP-Downgrade-Angriffen, ohne Webserver

MTA-STS verhindert SMTP-Downgrade-Angriffe, die Ihre E-Mails im Klartext abfangen. Das Problem: RFC 8461 verlangt einen HTTPS-Webserver zum Hosten der Policy-Datei. CaptainDNS übernimmt das für Sie, kostenlos. Fügen Sie zwei DNS-Einträge hinzu und Ihre Policy ist in weniger als 5 Minuten aktiv.

Kein Webserver erforderlich

Wir hosten Ihre MTA-STS-Policy-Datei am erforderlichen HTTPS-Endpunkt (mta-sts.captaindns.com). Keine serverseitige Konfiguration nötig.

Automatisches HTTPS-Zertifikat

Ihre Policy wird über HTTPS mit einem gültigen TLS-Zertifikat bereitgestellt, wie von RFC 8461 gefordert. Automatische Erneuerung, null Aufwand.

Sofortige DNS-Verifizierung

Ein einzelner TXT-Eintrag beweist die Domain-Inhaberschaft. Fügen Sie ihn zu Ihrem DNS hinzu und wir validieren ihn innerhalb von Sekunden.

Dashboard-Verwaltung

Aktualisieren Sie Modus (Testing/Enforce), MX-Muster und max_age mit einem Klick. Jede Änderung löst automatisch eine Policy-ID-Rotation aus.

Bis zu 5 Domains pro Konto

Hosten Sie MTA-STS-Policies für mehrere Domains von einem einzigen Konto aus. Jede Domain erhält ihre eigene verifizierte Policy und individuellen Status.

Warum MTA-STS unverzichtbar ist

SMTP wurde 1982 ohne Verschlüsselung entwickelt. STARTTLS kam später hinzu, um E-Mails bei der Übertragung zu verschlüsseln. Es hat aber einen kritischen Schwachpunkt: Es ist opportunistisch. Ein sendender Server kündigt STARTTLS-Unterstützung an. Der empfangende Server kann diese akzeptieren oder ignorieren. Nichts erzwingt, dass die Verbindung verschlüsselt bleibt.

Das eröffnet ein Fenster für SMTP-Downgrade-Angriffe. Ein Angreifer positioniert sich zwischen zwei Mailservern, etwa über BGP-Hijacking, DNS-Spoofing oder Netzwerk-Interception. Er entfernt den STARTTLS-Befehl aus dem SMTP-Handshake. Der sendende Server erkennt keine Verschlüsselungsoption und fällt auf Klartext zurück. Die E-Mail wird unverschlüsselt übertragen, lesbar für jeden auf dem Übertragungsweg.

MTA-STS (RFC 8461) schließt diese Lücke. Es veröffentlicht eine Policy, die sendenden Servern mitteilt: "Diese Domain erfordert TLS. Wenn die Verschlüsselung fehlschlägt, nicht auf Klartext zurückfallen." Der sendende Server muss eine gültige TLS-Verbindung herstellen. Gelingt das nicht, wird die Nachricht zur erneuten Zustellung in die Warteschlange gestellt.

Die Hürde bei der Bereitstellung: MTA-STS erfordert das Hosting einer Policy-Datei unter https://mta-sts.captaindns.com/.well-known/mta-sts.txt über HTTPS mit einem gültigen Zertifikat. Für viele Organisationen ist ein dedizierter Webserver für eine einzelne Textdatei unverhältnismäßig aufwendig. CaptainDNS beseitigt diese Hürde vollständig.

Was ohne MTA-STS passiert

Ohne MTA-STS verlässt sich Ihr E-Mail-Transport ausschließlich auf opportunistisches TLS. Das bedeutet in der Praxis:

  • Klartext-Abfangen: Jeder Angreifer auf Netzwerkebene kann Ihre E-Mails lesen, indem er STARTTLS entfernt. Das ist nicht theoretisch. Staatliche Überwachungsprogramme und Abfangmaßnahmen auf ISP-Ebene sind dokumentiert.
  • Keine Absenderverifizierung: Ohne veröffentlichte Policy haben sendende Server keine Möglichkeit zu wissen, dass Ihre Domain TLS erfordert. Sie werden stillschweigend herunterstufen, wenn etwas schiefgeht.
  • Compliance-Risiko: Vorschriften wie DSGVO, HIPAA und PCI-DSS verlangen die Verschlüsselung sensibler Daten bei der Übertragung. Opportunistisches TLS allein erfüllt diesen Standard nicht, da es umgangen werden kann.
  • Unsichtbare Fehler: Ohne TLS-RPT (das begleitende Reporting-Protokoll) erfahren Sie nie, dass E-Mails an Ihre Domain unverschlüsselt zugestellt wurden. Das Problem bleibt unsichtbar.

Im Jahr 2014 dokumentierten Forscher großflächige STARTTLS-Unterdrückung durch Netzwerk-Intermediäre in mehreren Ländern. Googles Transparency Report bestätigte später, dass ein erheblicher Anteil eingehender E-Mails weiterhin unverschlüsselt ankommt. MTA-STS ist das Protokoll, das entwickelt wurde, um dies zu beenden.

MTA-STS in Kombination mit TLS-RPT bietet Ihnen sowohl Durchsetzung als auch Transparenz.

Wie MTA-STS im Detail funktioniert

MTA-STS verwendet zwei Komponenten, die zusammenwirken:

1. Ein DNS-TXT-Eintrag unter _mta-sts.captaindns.com

Dieser Eintrag macht Ihre MTA-STS-Policy bekannt und enthält eine eindeutige Policy-ID. Wenn sich die ID ändert, wissen sendende Server, dass sie eine neue Version der Policy abrufen müssen.

Beispiel: v=STSv1; id=20260308120000

2. Eine über HTTPS gehostete Policy-Datei unter https://mta-sts.captaindns.com/.well-known/mta-sts.txt

Diese Datei definiert drei Dinge:

  • mode: testing (nur Berichte) oder enforce (Ablehnung bei TLS-Fehler)
  • mx: die Mailserver-Muster, die mit Ihren MX-Einträgen übereinstimmen müssen
  • max_age: wie lange sendende Server die Policy cachen sollen (in Sekunden)

Beispiel:

version: STSv1
mode: enforce
mx: *.mail.protection.outlook.com
max_age: 604800

Wenn ein sendender Server eine E-Mail an Ihre Domain zustellen möchte, prüft er den _mta-sts-TXT-Eintrag. Falls vorhanden, ruft er die Policy-Datei über HTTPS ab, validiert das TLS-Zertifikat Ihrer MX-Server anhand der Policy-Muster und fährt nur fort, wenn alles übereinstimmt.

Trust on first use (TOFU): MTA-STS setzt darauf, dass der erste erfolgreiche Policy-Abruf legitim ist. Danach schützt die gecachte Policy vor zukünftigen Angriffen für die Dauer von max_age. Deshalb wird im Enforce-Modus ein längerer max_age (7+ Tage) empfohlen.

So funktioniert es

1. Policy erstellen

Melden Sie sich an und erstellen Sie eine neue Policy. Legen Sie Domain, Modus (Testing oder Enforce), MX-Muster und Cache-Dauer (max_age) fest.

2. Domain-Inhaberschaft verifizieren

Fügen Sie den TXT-Verifizierungseintrag zu Ihrem DNS hinzu. Wir erkennen ihn automatisch innerhalb von Sekunden.

3. Deployment-DNS-Einträge hinzufügen

Zwei DNS-Einträge:

  • CNAME: Verweist mta-sts.captaindns.com auf unseren Policy-Server
  • TXT: Macht Ihre MTA-STS-Policy unter _mta-sts.captaindns.com bekannt

Ihre MTA-STS-Policy ist aktiv.

Kompatibel mit großen E-Mail-Anbietern

MTA-STS funktioniert mit jedem E-Mail-Anbieter, der Standard-MX-Einträge verwendet. Die MX-Muster in Ihrer Policy müssen mit den Mailservern Ihres Anbieters übereinstimmen:

AnbieterMX-Muster
Microsoft 365*.mail.protection.outlook.com
Google Workspace*.google.com und *.googlemail.com
Proton Mail*.protonmail.ch
Zoho Mail*.zoho.com
Self-hosted (Postfix, Exchange)Ihr eigener MX-Hostname

Beim Erstellen Ihrer Policy auf CaptainDNS geben Sie die MX-Muster ein, die zu Ihrem Anbieter passen. Das Dashboard validiert sie anhand Ihrer aktiven MX-Einträge, um Abweichungen zu vermeiden.

Gehostet vs. selbst gehostet: Welche Option wählen?

KriteriumGehostet (CaptainDNS)Selbst gehostet
Server-EinrichtungKeineErforderlich (Nginx, Apache, Caddy)
HTTPS-ZertifikatAutomatisch (Let's Encrypt)Manuelle Bereitstellung und Erneuerung
Policy-UpdatesDashboard + automatische ID-RotationManuelle Dateibearbeitung + DNS-Update
Mehrere DomainsBis zu 5 pro KontoEine Serverkonfiguration pro Domain
VerfügbarkeitRedundante InfrastrukturAbhängig von Ihrem Setup
ZertifikatsüberwachungIntegriertIn Ihrer Verantwortung
KostenKostenlosServer-Hosting-Kosten

Wählen Sie gehostet, wenn Sie MTA-STS in wenigen Minuten ohne Infrastruktur bereitstellen möchten. Wählen Sie selbst gehostet, wenn Sie volle Kontrolle über den Policy-Endpunkt benötigen oder in einer abgeschotteten Umgebung arbeiten.

Von Testing zu Enforce: eine schrittweise Strategie

MTA-STS sofort im Enforce-Modus bereitzustellen, ist riskant. Wenn Ihre MX-Muster falsch sind oder ein TLS-Zertifikat abläuft, werden legitime E-Mails abgelehnt. Der empfohlene Ansatz ist schrittweise:

Phase 1: Bereitstellung im Testing-Modus (1 bis 2 Wochen)

Setzen Sie mode: testing in Ihrer Policy. Sendende Server versuchen TLS und melden Fehler über TLS-RPT, stellen E-Mails aber weiterhin zu, auch wenn TLS fehlschlägt. So erhalten Sie Transparenz ohne Risiko.

Phase 2: TLS-RPT-Berichte analysieren

Überprüfen Sie die Berichte, um Probleme zu identifizieren: Zertifikatsabweichungen, MX-Muster, die nicht alle Mailserver abdecken, oder Drittanbieter-Sender mit fehlerhaftem TLS. Beheben Sie jedes Problem, bevor Sie fortfahren.

Phase 3: Auf Enforce-Modus umschalten

Sobald die Berichte mindestens eine Woche lang null Fehler zeigen, ändern Sie den Modus auf enforce und erhöhen Sie max_age auf 604800 (7 Tage) oder mehr. Bei CaptainDNS ist das ein einziger Klick im Dashboard. Die Policy-ID rotiert automatisch.

Notfall-Rollback: Falls der Enforce-Modus legitime E-Mails blockiert, wechseln Sie sofort zurück auf testing. Sendende Server rufen die aktualisierte Policy ab und stellen die Ablehnung innerhalb von Minuten ein (oder spätestens innerhalb des alten max_age-Fensters).

MTA-STS und DANE: zwei ergänzende Ansätze

Zwei Protokolle existieren, um die Verschlüsselung des E-Mail-Transports durchzusetzen: MTA-STS und DANE (DNS-based Authentication of Named Entities). Sie lösen dasselbe Problem auf unterschiedliche Weise.

MTA-STSDANE
VertrauensmechanismusHTTPS (Certificate Authority)DNSSEC (kryptografische Kette)
Benötigte InfrastrukturHTTPS-Webserver (oder gehosteter Dienst)DNSSEC-signierte Zone
VertrauensmodellTrust on first use (TOFU)Kein TOFU, kryptografisch von Anfang an
AnbieterunterstützungMicrosoft 365, Google Workspace, die meisten AnbieterErfordert DNSSEC auf Ihrer Domain
BereitstellungskomplexitätNiedrig (2 DNS-Einträge + gehostete Policy)Hoch (DNSSEC + TLSA-Einträge)

Wenn Ihre Domain kein DNSSEC nutzt, ist MTA-STS Ihre einzige Option für erzwungene Transportverschlüsselung.

Wenn Ihre Domain DNSSEC nutzt, bietet die Bereitstellung beider Protokolle den stärksten Schutz: DANE eliminiert TOFU für DNSSEC-fähige Sender, während MTA-STS Sender abdeckt, die DANE nicht unterstützen.

Best Practices für die MTA-STS-Bereitstellung

  1. Beginnen Sie im Testing-Modus: Identifizieren Sie TLS-Verbindungsprobleme, bevor Sie auf Enforce umschalten.
  2. Richten Sie TLS-RPT ein: Erhalten Sie Berichte über TLS-Zustellfehler. Nutzen Sie unseren TLS-RPT Generator.
  3. Validieren Sie Ihre MX-Einträge: Stellen Sie sicher, dass die MX-Muster in Ihrer Policy mit Ihren tatsächlichen Mailservern übereinstimmen. Abweichungen verursachen Zustellfehler im Enforce-Modus.
  4. Überwachen Sie vor der Durchsetzung: Analysieren Sie TLS-RPT-Berichte mindestens eine Woche lang mit null Fehlern, bevor Sie auf Enforce umschalten.
  5. Verwenden Sie einen langen max_age im Enforce-Modus: 604800 Sekunden (7 Tage) oder mehr. So stellen Sie sicher, dass sendende Server Ihre Policy lange genug cachen, um Downgrade-Angriffe abzuwehren.
  6. Wechseln Sie zu Enforce: Sobald die TLS-RPT-Berichte bestätigen, dass alles funktioniert, aktivieren Sie den Enforce-Modus für vollständigen Schutz.

Ergänzende Tools

ToolBeschreibung
MTA-STS CheckerValidieren Sie Ihre bestehende MTA-STS-Konfiguration
MTA-STS GeneratorGenerieren Sie MTA-STS-Einträge und Policy-Dateien
MTA-STS Syntax CheckerValidieren Sie die MTA-STS-Syntax offline
TLS-RPT GeneratorRichten Sie TLS-Reporting zusammen mit MTA-STS ein
BIMI HostingHosten Sie Ihre BIMI-Logos und -Zertifikate kostenlos
TLS-RPT-MonitoringTLS-RPT-Berichte automatisch überwachen und analysieren

Anleitungen und Ressourcen