Was dieses Tool prüft
Der MTA-STS-Record-Checker führt eine umfassende Validierung der MTA-STS-Implementierung Ihrer Domain durch:
1. DNS TXT-Eintragsprüfung
Fragt _mta-sts.ihredomain.de ab und validiert:
- Eintrag existiert
- Version ist
STSv1 - ID-Feld ist vorhanden und gültig
- Keine Syntaxfehler
2. Policy-Dateiabruf
Ruft https://mta-sts.ihredomain.de/.well-known/mta-sts.txt ab und prüft:
- HTTPS ist erforderlich (kein HTTP)
- Keine Weiterleitungen (nur direkter Zugriff)
- Gültiger Content-Type-Header
- Datei ist zugänglich
3. Policy-Inhaltsvalidierung
Analysiert die Policy-Datei und validiert:
- Version ist
STSv1 - Modus ist
testing,enforceodernone - Mindestens ein MX-Muster definiert
- max_age ist innerhalb des gültigen Bereichs
4. TLS-Zertifikatsverifizierung
Prüft das HTTPS-Zertifikat für mta-sts.ihredomain.de:
- Zertifikat ist gültig und nicht abgelaufen
- Hostname stimmt überein
- Zertifikatskette ist vollständig
5. MX-Muster-Kreuzvalidierung
Vergleicht die MX-Einträge Ihrer Domain mit Policy-Mustern:
- Alle MX-Hosts sollten mit mindestens einem Muster übereinstimmen
- Warnt vor nicht abgedeckten MX-Servern
Ergebnisse verstehen
Statusindikatoren
| Status | Bedeutung |
|---|---|
| Pass | Konfiguration ist korrekt |
| Warning | Funktioniert, kann aber verbessert werden |
| Error | Konfigurationsproblem, das behoben werden muss |
| Not Found | Eintrag oder Policy existiert nicht |
FAQ - Häufig gestellte Fragen
F: Was validiert der MTA-STS-Record-Checker?
A: Vollständige Validierung: DNS TXT-Eintrag, HTTPS-Policy-Datei, TLS-Zertifikatsgültigkeit und Kreuzvalidierung von MX-Einträgen mit Policy-Mustern.
F: Warum wird meine MTA-STS-Policy nicht abgerufen?
A: Häufige Ursachen: mta-sts-Subdomain existiert nicht, HTTPS nicht konfiguriert, Zertifikat ungültig oder Server gibt Weiterleitungen zurück.
F: Was bedeutet 'MX nicht von Policy abgedeckt'?
A: MX-Einträge stimmen mit keinem Muster in der Policy überein. Fügen Sie die fehlenden MX-Muster zur Policy-Datei hinzu.
F: Warum zeigt der Checker TLS-Fehler?
A: MTA-STS erfordert HTTPS mit gültigem Zertifikat. Fehler können bedeuten: abgelaufenes Zertifikat, selbstsigniert oder Hostname-Nichtübereinstimmung.
F: Was ist der Unterschied zwischen testing und enforce?
A: Im "testing"-Modus werden Fehler gemeldet, E-Mails aber zugestellt. Im "enforce"-Modus wird die Zustellung abgelehnt wenn TLS fehlschlägt.
F: Wie oft sollte ich prüfen?
A: Nach Änderungen an DNS, MX-Einträgen oder Mailserver-Konfiguration. Monatliche Prüfungen werden empfohlen.
F: Wie prüfe ich MTA-STS für Microsoft 365 / Office 365?
A: Geben Sie Ihre Domain in unseren MTA-STS Checker ein. Microsoft 365-Domains mit benutzerdefinierten Domains benötigen eine separate MTA-STS-Konfiguration—Microsoft richtet dies nicht automatisch ein. Sie müssen den DNS TXT-Eintrag erstellen und die Policy-Datei selbst hosten. Unser Checker zeigt an, ob MTA-STS fehlt oder falsch konfiguriert ist.
F: Wie verifiziere ich MTA-STS für Google Workspace?
A: Verwenden Sie unser MTA-STS-Lookup-Tool mit Ihrer Google Workspace-Domain. Google Workspace unterstützt MTA-STS, aber Sie müssen es selbst für benutzerdefinierte Domains konfigurieren. Der Checker validiert Ihren DNS-Eintrag, ruft die Policy ab und prüft, ob MX-Muster mit Googles Mailservern übereinstimmen (z.B. *.google.com, aspmx.l.google.com).
Ergänzende Tools
| Tool | Beschreibung |
|---|---|
| MTA-STS Generator | Generieren Sie MTA-STS-Einträge und Policy-Dateien |
| MTA-STS Syntax Checker | Validieren Sie MTA-STS-Syntax offline |
| MX-Eintrag-Lookup | Prüfen Sie Domain-MX-Einträge |