Netzwerk-Diagnose-Tools

DMARC-Prüfung

Untersuchen und bewerten Sie Ihre DMARC-Richtlinie

esc
Ihre IP 8.8.8.8 oder google.com

DNS & Einträge

DNS-Abfrage Alle DNS-Einträge für jede Domain A-Eintrag-Abfrage IPv4-Adressen für eine Domain AAAA-Eintrag-Abfrage IPv6-Adressen für eine Domain MX-Abfrage Mailserver für eine Domain NS-Abfrage Autoritative Nameserver TXT-Abfrage TXT-Einträge, SPF, Verifizierung CNAME-Abfrage Kanonische Namen (Alias)-Einträge SOA-Abfrage Start-of-Authority-Eintrag SRV-Abfrage Dienst-Standort-Einträge CAA-Abfrage Welche CAs Zertifikate ausstellen dürfen Reverse DNS (PTR) IP-Adresse zu Hostname DNSSEC-Prüfung Ist die Domain signiert und validiert? DNS-Gesundheitscheck Ein vollständiger Bericht zu Delegierung & DNS

E-Mail-Zustellbarkeit

SPF-Prüfung Validieren Sie Ihren Sender-Policy-Framework-Eintrag DMARC-Prüfung Untersuchen und bewerten Sie Ihre DMARC-Richtlinie DKIM-Prüfung Finden und validieren Sie Ihren öffentlichen DKIM-Schlüssel Blacklist-Prüfung Prüfen Sie eine IP gegen E-Mail-Sperrlisten (DNSBLs) SMTP-Test Mit einem Mailserver verbinden und STARTTLS prüfen MTA-STS-Prüfung Erzwungene TLS-Richtlinie für eingehende Mails BIMI-Prüfung Markenlogo-Eintrag für E-Mail TLS-RPT-Prüfung SMTP-TLS-Berichtsrichtlinie

Netzwerk & Web

SSL-Zertifikat-Prüfung TLS-Zertifikat und Ablauf einer Website untersuchen HTTP-Header-Prüfung Antwort-Header, Weiterleitungen und Sicherheit untersuchen Ping (TCP) Erreichbarkeit und Latenz über TCP Port-Prüfung Welche gängigen Ports offen sind

Domain

WHOIS-Abfrage Registrierungsdaten für Domains, IPs und ASNs

Was ist ein DMARC-Record?

DMARC baut auf SPF und DKIM auf und teilt Empfängern mit, wie mit Mail umzugehen ist, die die Authentifizierung nicht besteht, und wohin Berichte gesendet werden sollen. Eine Richtlinie 'p=none' überwacht nur; 'quarantine' und 'reject' schützen Ihre Domain tatsächlich vor Spoofing. IPeek liest den Record unter _dmarc.ihre-domain, analysiert jeden Tag und bewertet die Stärke der Richtlinie.

So funktioniert DMARC mit Alignment

DMARC ist ein TXT-Record unter _dmarc.ihre-domain, der mit v=DMARC1 beginnt. Es besteht, wenn eine Nachricht SPF oder DKIM besteht und die authentifizierte Domain mit der sichtbaren From-Domain übereinstimmt (Alignment). Das Alignment ist entscheidend: Spoofer können rohes SPF oder DKIM auf ihrer eigenen Domain bestehen, aber sie können es nicht mit Ihrer in Übereinstimmung bringen. Ein Record wie v=DMARC1; p=reject; rua=mailto:reports@ihre-domain; adkim=s; aspf=s erzwingt die Abweisung und verlangt striktes Alignment für DKIM und SPF.

p=none, quarantine und reject verstehen

Der p-Tag legt Ihre Richtlinie fest. p=none überwacht nur – Mail fließt weiter, aber Sie sammeln Berichte, um zu sehen, wer in Ihrem Namen sendet. p=quarantine leitet fehlschlagende Mail in den Spam um, und p=reject blockiert sie vollständig – der stärkste Schutz vor Spoofing. Der pct-Tag kann die Durchsetzung schrittweise hochfahren (zum Beispiel pct=25), und sp setzt eine separate Richtlinie für Subdomains. Beginnen Sie mit none, um Daten zu sammeln, und verschärfen Sie dann auf quarantine und reject, sobald Ihre legitimen Absender bestehen. IPeek bewertet, wie stark Ihre aktuelle Richtlinie ist.

DMARC-Berichte und der rua-Tag

Die Berichtsfunktion macht DMARC erst praktisch nutzbar. Der rua-Tag benennt ein Postfach, das tägliche aggregierte XML-Berichte erhält. Diese fassen zusammen, welche Quellen Mail im Namen Ihrer Domain gesendet haben und ob sie SPF, DKIM und Alignment bestanden haben. Nutzen Sie diese Berichte, um legitime Absender zu finden, die Sie zu autorisieren vergessen haben, bevor Sie Ihre Richtlinie verschärfen. Der optionale ruf-Tag fordert forensische Berichte (pro Fehlschlag) an, die die meisten Empfänger aus Datenschutzgründen jedoch nicht mehr senden. Ohne rua setzen Sie Ihre Richtlinie blind durch.

Häufig gestellte Fragen

Was bedeutet p=none in einem DMARC-Record?

p=none ist eine reine Überwachungsrichtlinie. Sie weist Empfänger an, bei Mail, die DMARC nicht besteht, keine besondere Maßnahme zu ergreifen, sodass Nachrichten normal zugestellt werden – Sie erhalten aber dennoch aggregierte Berichte darüber, wer in Ihrem Namen E-Mails sendet. Nutzen Sie p=none, um Daten zu sammeln und legitime Absender zu identifizieren, und wechseln Sie dann für echten Spoofing-Schutz zu quarantine oder reject.

Was ist der Unterschied zwischen quarantine und reject bei DMARC?

Beide setzen Ihre Richtlinie durch, aber auf unterschiedliche Weise. p=quarantine weist Empfänger an, fehlschlagende Mail in den Spam- oder Junk-Ordner zuzustellen, während p=reject sie vollständig blockiert, sodass sie den Empfänger nie erreicht. Reject ist der stärkste Schutz vor Spoofing. Quarantine ist ein üblicher Zwischenschritt, bevor man sich zur vollständigen Abweisung verpflichtet.

Was ist DMARC-Alignment?

Alignment verlangt, dass die durch SPF oder DKIM authentifizierte Domain mit der Domain im sichtbaren From-Header übereinstimmt. DMARC besteht nur, wenn mindestens eine von beiden übereinstimmt. Relaxed Alignment (Standard) erlaubt, dass Subdomains mit der Organisationsdomain übereinstimmen; striktes Alignment (adkim=s, aspf=s) verlangt eine exakte Übereinstimmung. Das Alignment hindert Angreifer daran, die Authentifizierung auf ihrer eigenen Domain zu bestehen.

Wo wird ein DMARC-Record veröffentlicht?

Ein DMARC-Record ist ein TXT-Record, der unter der Subdomain _dmarc Ihrer Domain veröffentlicht wird – zum Beispiel _dmarc.example.com. Er muss mit v=DMARC1 beginnen und wird einmal pro Organisationsdomain veröffentlicht. Empfänger fragen genau diesen Ort ab, um Ihre Richtlinie zu finden. IPeek liest den Record unter _dmarc.ihre-domain automatisch und analysiert jeden enthaltenen Tag.

Brauche ich sowohl SPF als auch DKIM, damit DMARC besteht?

Nein. DMARC besteht, wenn entweder SPF oder DKIM besteht und mit Ihrer From-Domain übereinstimmt – Sie benötigen also nicht zwingend beides. Beide zu konfigurieren wird jedoch dringend empfohlen: Es schafft Redundanz, und DKIM übersteht das Weiterleiten von E-Mails, während SPF dabei oft bricht. Beide authentifizierten Methoden im Alignment liefern die zuverlässigsten DMARC-Ergebnisse.

Verwandte Tools

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어