Überprüfen Sie die E-Mail-Authentifizierungsdatensätze Ihrer Domain in Sekundenschnelle. Vergleichen Sie die SPF-, DKIM-, DMARC- und DNSSEC-Konfiguration mit den Best Practices. Kostenlos und ohne Anmeldung.
E-Mail-Sicherheitscheck – SPF, DKIM, DMARC und DNSSEC
Warum E-Mail-Authentifizierung wichtig ist
Die E-Mail-Authentifizierung ist entscheidend für den Schutz Ihrer Domain vor Spoofing, Phishing und Missbrauch. Ohne ordnungsgemäße SPF-, DKIM- und DMARC-Einträge können Angreifer E-Mails versenden, die scheinbar von Ihrer Domain stammen, wodurch Ihr Ruf geschädigt und Ihre Nutzer gefährdet werden.
Unser E-Mail-Sicherheitscheck analysiert die DNS-Einträge Ihrer Domain, um sicherzustellen, dass alle E-Mail-Authentifizierungsmechanismen korrekt konfiguriert sind. Wir prüfen auf häufige Konfigurationsfehler und geben Ihnen konkrete Empfehlungen zur Verbesserung Ihrer E-Mail-Sicherheit.
SPF (Sender Policy Framework)
SPF legt fest, welche Mailserver berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Dabei werden über einen DNS-TXT-Eintrag die zugelassenen IP-Adressen und Mechanismen aufgeführt. Ohne SPF kann jeder Server vorgeben, E-Mails von Ihrer Domain aus zu versenden.
DKIM (DomainKeys Identified Mail)
DKIM versieht ausgehende E-Mails mit einer digitalen Signatur, sodass empfangende Server überprüfen können, ob die Nachricht während der Übertragung nicht verändert wurde und tatsächlich von Ihrer Domain stammt. DKIM nutzt eine im DNS gespeicherte Kryptografie mit öffentlichen und privaten Schlüsseln.
DMARC (Domain-basierte Nachrichtenauthentifizierung)
DMARC verbindet SPF und DKIM miteinander und teilt den empfangenden Servern mit, wie sie vorgehen sollen, wenn die Authentifizierung fehlschlägt. Es bietet Berichtsfunktionen, mit denen Sie die Authentifizierungsergebnisse überwachen und Ihre Domain vor unbefugter Nutzung schützen können.
DNSSEC (DNS Security Extensions)
DNSSEC versieht DNS-Einträge mit kryptografischen Signaturen und verhindert so DNS-Cache-Poisoning sowie Man-in-the-Middle-Angriffe. Es stellt sicher, dass DNS-Antworten authentisch sind und während der Übertragung nicht manipuliert wurden.
So funktioniert unser E-Mail-Sicherheitscheck
1. Geben Sie Ihre Domain ein – Geben Sie einen beliebigen Domainnamen ein, um die Sicherheitsanalyse zu starten.
2. Automatische DNS-Abfragen – Unser Tool fragt verschiedene Arten von DNS-Einträgen ab, darunter TXT-Einträge für SPF, DKIM-Selektoren und DMARC-Richtlinien sowie die Validierung der DNSSEC-Kette.
3. Validierung der Richtlinien – Jeder Datensatz wird analysiert und anhand der RFC-Spezifikationen sowie bewährter Verfahren der Branche validiert.
4. Sicherheitsbewertung – Sie erhalten für jedes Protokoll eine eindeutige Bewertung („bestanden“ oder „nicht bestanden“) mit konkreten Empfehlungen zur Behebung der festgestellten Probleme.
5. Umsetzbare Empfehlungen – Detaillierte Anleitungen zur Behebung von Fehlkonfigurationen oder zur Einrichtung fehlender Authentifizierungsdatensätze.
Häufige Probleme bei der E-Mail-Sicherheit
Fehlender SPF-Eintrag – Ohne einen SPF-Eintrag ist Ihre Domain nicht vor E-Mail-Spoofing geschützt. Fügen Sie einen TXT-Eintrag hinzu, der mit „v=spf1“ beginnt und Ihre autorisierten Mailserver auflistet.
SPF zu freizügig (+all) – Ein SPF-Eintrag, der mit „+all“ endet, erlaubt es jedem Server, E-Mails im Namen Ihrer Domain zu versenden. Verwenden Sie stattdessen „-all“ (Hard Fail) oder „~all“ (Soft Fail).
Keine DMARC-Richtlinie – Ohne DMARC wissen empfangende Server nicht, wie sie mit E-Mails umgehen sollen, die die SPF-/DKIM-Prüfung nicht bestehen. Beginnen Sie mit „v=DMARC1; p=none“ und wechseln Sie schrittweise zu „p=quarantine“ oder „p=reject“.
DMARC auf „p=none“ eingestellt – „p=none“ ermöglicht zwar die Überwachung, bietet jedoch keinen Schutz vor Spoofing. Wechseln Sie nach der Auswertung Ihrer DMARC-Berichte zu „p=quarantine“ oder „p=reject“.
DKIM fehlt – Ohne DKIM können empfangende Server die Integrität der E-Mails nicht überprüfen. Konfigurieren Sie Ihren Mailserver so, dass ausgehende Nachrichten signiert werden, und veröffentlichen Sie den öffentlichen Schlüssel im DNS.
DNSSEC ist nicht aktiviert – Ohne DNSSEC sind Ihre DNS-Einträge anfällig für Cache-Poisoning-Angriffe. Wenden Sie sich an Ihren DNS-Anbieter, um DNSSEC für Ihre Domain zu aktivieren.
Häufig gestellte Fragen
Was ist E-Mail-Authentifizierung?
E-Mail-Authentifizierung umfasst eine Reihe von Verfahren (SPF, DKIM, DMARC), mit denen überprüft wird, ob der Absender einer E-Mail tatsächlich der ist, für den er sich ausgibt. Diese DNS-basierten Einträge tragen dazu bei, Phishing und Spoofing zu verhindern und die Zustellbarkeit von E-Mails zu verbessern.
Brauche ich alle drei Protokolle (SPF, DKIM, DMARC)?
Ja. SPF allein reicht nicht aus, da es umgangen werden kann. DKIM allein gibt den Empfängern keine Anweisungen, wie sie bei einem Fehler vorgehen sollen. DMARC verbindet diese Protokolle miteinander und legt Richtlinien für den Umgang mit nicht authentifizierten Nachrichten fest. Alle drei sorgen gemeinsam für umfassenden Schutz.
Beeinflusst die Einrichtung dieser Einträge die Zustellbarkeit meiner E-Mails?
Eine korrekt konfigurierte E-Mail-Authentifizierung verbessert die Zustellbarkeit. Große Anbieter wie Google und Microsoft verlangen SPF und DKIM und bevorzugen Domains mit DMARC-Richtlinien. Beginnen Sie mit DMARC p=none, um die Situation zunächst zu beobachten, bevor Sie die Richtlinie durchsetzen.
Wie lange dauert es, bis Änderungen wirksam werden?
DNS-Änderungen werden in der Regel innerhalb von 1 bis 48 Stunden wirksam, abhängig von den TTL-Werten (Time to Live) Ihrer Einträge. Die meisten Änderungen sind innerhalb weniger Stunden sichtbar.
Was ist DNSSEC und brauche ich es?
DNSSEC (DNS Security Extensions) versieht DNS-Einträge mit kryptografischen Signaturen. Es ist zwar für die E-Mail-Authentifizierung nicht erforderlich, verhindert jedoch DNS-Spoofing-Angriffe, die Ihren E-Mail-Verkehr umleiten könnten. Es wird zunehmend als bewährte Sicherheitsmaßnahme empfohlen.