Antwort-Header, Weiterleitungen und Sicherheit untersuchen
DNS & Einträge
DNS-Abfrage Alle DNS-Einträge für jede Domain A-Eintrag-Abfrage IPv4-Adressen für eine Domain AAAA-Eintrag-Abfrage IPv6-Adressen für eine Domain MX-Abfrage Mailserver für eine Domain NS-Abfrage Autoritative Nameserver TXT-Abfrage TXT-Einträge, SPF, Verifizierung CNAME-Abfrage Kanonische Namen (Alias)-Einträge SOA-Abfrage Start-of-Authority-Eintrag SRV-Abfrage Dienst-Standort-Einträge CAA-Abfrage Welche CAs Zertifikate ausstellen dürfen Reverse DNS (PTR) IP-Adresse zu Hostname DNSSEC-Prüfung Ist die Domain signiert und validiert? DNS-Gesundheitscheck Ein vollständiger Bericht zu Delegierung & DNSE-Mail-Zustellbarkeit
SPF-Prüfung Validieren Sie Ihren Sender-Policy-Framework-Eintrag DMARC-Prüfung Untersuchen und bewerten Sie Ihre DMARC-Richtlinie DKIM-Prüfung Finden und validieren Sie Ihren öffentlichen DKIM-Schlüssel Blacklist-Prüfung Prüfen Sie eine IP gegen E-Mail-Sperrlisten (DNSBLs) SMTP-Test Mit einem Mailserver verbinden und STARTTLS prüfen MTA-STS-Prüfung Erzwungene TLS-Richtlinie für eingehende Mails BIMI-Prüfung Markenlogo-Eintrag für E-Mail TLS-RPT-Prüfung SMTP-TLS-BerichtsrichtlinieNetzwerk & Web
SSL-Zertifikat-Prüfung TLS-Zertifikat und Ablauf einer Website untersuchen HTTP-Header-Prüfung Antwort-Header, Weiterleitungen und Sicherheit untersuchen Ping (TCP) Erreichbarkeit und Latenz über TCP Port-Prüfung Welche gängigen Ports offen sindDomain
WHOIS-Abfrage Registrierungsdaten für Domains, IPs und ASNsHTTP-Response-Header verraten, wie sich ein Webserver verhält: den Statuscode, den er zurückgibt, wohin er weiterleitet, welche Software er betreibt und welche Security-Hardening-Header er sendet. Fehlende Header wie HSTS, Content-Security-Policy oder X-Frame-Options machen Websites anfällig für Downgrade-, Injection- und Clickjacking-Angriffe. IPeek folgt der vollständigen Redirect-Kette und bewertet die Antwort anhand der wichtigsten Security-Header.
Jede HTTP-Antwort beginnt mit einem Statuscode und einer Reihe von Headern vor dem Seiteninhalt. Der Statuscode teilt dem Client mit, was geschah: 200 bedeutet Erfolg, 301 und 302 bedeuten, dass die Ressource verschoben wurde, 404 bedeutet nicht gefunden und 5xx bedeutet einen Serverfehler. Header tragen Metadaten wie Content-Type, Server, Cache-Control und die Sicherheitsdirektiven, die dem Browser sagen, wie er die Seite behandeln soll. IPeek fragt die URL ab, erfasst diese Header genau so, wie der Server sie gesendet hat, und folgt jedem Redirect, sodass Sie den vollständigen Pfad bis zur finalen Antwort sehen.
Bestätigen Sie zuerst, dass der finale Statuscode der erwartete ist, typischerweise 200 für eine Live-Seite. Gehen Sie dann die Redirect-Kette durch: Eine saubere Konfiguration leitet HTTP auf HTTPS und jeden nicht-kanonischen Host auf den kanonischen um, in möglichst wenigen Sprüngen, da jeder zusätzliche Redirect Latenz hinzufügt. Achten Sie auf Redirect-Schleifen oder eine Kette, die auf dem falschen Host endet. Der Server-Header verrät die eingesetzte Software, und die Bewertung der Security-Header zeigt auf einen Blick, welche Schutz-Header vorhanden sind und welche fehlen.
Strict-Transport-Security (HSTS) zwingt Browser zur Nutzung von HTTPS und verhindert Downgrade-Angriffe. Content-Security-Policy begrenzt, von wo Skripte und Ressourcen geladen werden dürfen – die stärkste Abwehr gegen Cross-Site-Scripting. X-Frame-Options oder eine CSP-frame-ancestors-Direktive blockiert Clickjacking, indem sie steuert, wer Ihre Seite einbetten darf. X-Content-Type-Options: nosniff stoppt MIME-Sniffing. Die häufigste Lücke ist eine Website, die keinen dieser Header ausliefert und dem Browser so keinen zusätzlichen Schutz bietet. Fügen Sie sie am Webserver oder CDN hinzu und prüfen Sie dann erneut, ob sie in der Live-Antwort erscheinen.
Prüfen Sie Header nach einem Deployment, nach dem Wechsel Ihres CDN oder Reverse Proxy und immer dann, wenn Sie die Sicherheitslage einer Website verschärfen – das sind die Momente, in denen Header hinzugefügt, entfernt oder überschrieben werden. Es ist der schnellste Weg, um zu bestätigen, dass ein HTTP-auf-HTTPS-Redirect tatsächlich funktioniert, eine unerwartete Redirect-Kette zu debuggen oder zu verifizieren, dass ein konfigurierter Security-Header echte Browser erreicht und nicht irgendwo im Auslieferungspfad entfernt wird.
Sie zeigt den Statuscode, die Redirect-Kette, die Serversoftware und die Security-Header, die eine Website zurückgibt. Sie sehen, ob die URL korrekt weiterleitet, wie viele Sprünge es braucht, welcher Server antwortet und welche Schutz-Header wie HSTS und Content-Security-Policy vorhanden sind oder fehlen. Das macht sie zu einem schnellen Diagnosewerkzeug sowohl für Routing-Probleme als auch für Sicherheitslücken.
HTTP Strict-Transport-Security ist ein Header, der Browser anweist, für einen festgelegten Zeitraum nur über HTTPS zu verbinden. Es ist wichtig, weil es Downgrade- und Man-in-the-Middle-Angriffe verhindert, bei denen ein Angreifer eine unsichere HTTP-Verbindung erzwingt. Sobald ein Browser HSTS sieht, verweigert er für diesen Host einfaches HTTP, bis die Richtlinie abläuft, und schließt damit ein reales Angriffsfenster.
Redirect-Ketten häufen sich meist an, wenn separate Regeln jeweils eine Sache beheben: HTTP auf HTTPS, non-www auf www und die Normalisierung des abschließenden Schrägstrichs. Jeder Sprung fügt Latenz und eine Fehlerchance hinzu. Fassen Sie sie nach Möglichkeit zu einem einzigen Redirect auf die finale kanonische URL zusammen und achten Sie auf Schleifen, bei denen zwei Regeln die Anfrage hin und her schicken.
Mindestens sollten Sie Strict-Transport-Security, Content-Security-Policy, X-Content-Type-Options: nosniff und Frame-Schutz via X-Frame-Options oder CSP frame-ancestors senden. HSTS erzwingt HTTPS, CSP begrenzt Skript-Injection, nosniff stoppt MIME-Verwechslungen, und der Frame-Schutz blockiert Clickjacking. Zusammen decken sie die häufigsten browserseitigen Angriffsklassen mit Direktiven ab, die Sie einmal am Server oder CDN setzen.
Ein 301 ist ein permanenter Redirect und ein 302 ein temporärer. Ein 301 teilt Browsern und Suchmaschinen mit, dass die Ressource dauerhaft verschoben wurde, sodass sie Lesezeichen aktualisieren und Ranking-Signale an die neue URL weitergeben. Ein 302 sagt, dass die Verschiebung temporär ist, sodass Clients weiterhin die ursprüngliche URL nutzen. Verwenden Sie 301 für kanonische und HTTPS-Redirects.