Mit einem Mailserver verbinden und STARTTLS prüfen
DNS & Einträge
DNS-Abfrage Alle DNS-Einträge für jede Domain A-Eintrag-Abfrage IPv4-Adressen für eine Domain AAAA-Eintrag-Abfrage IPv6-Adressen für eine Domain MX-Abfrage Mailserver für eine Domain NS-Abfrage Autoritative Nameserver TXT-Abfrage TXT-Einträge, SPF, Verifizierung CNAME-Abfrage Kanonische Namen (Alias)-Einträge SOA-Abfrage Start-of-Authority-Eintrag SRV-Abfrage Dienst-Standort-Einträge CAA-Abfrage Welche CAs Zertifikate ausstellen dürfen Reverse DNS (PTR) IP-Adresse zu Hostname DNSSEC-Prüfung Ist die Domain signiert und validiert? DNS-Gesundheitscheck Ein vollständiger Bericht zu Delegierung & DNSE-Mail-Zustellbarkeit
SPF-Prüfung Validieren Sie Ihren Sender-Policy-Framework-Eintrag DMARC-Prüfung Untersuchen und bewerten Sie Ihre DMARC-Richtlinie DKIM-Prüfung Finden und validieren Sie Ihren öffentlichen DKIM-Schlüssel Blacklist-Prüfung Prüfen Sie eine IP gegen E-Mail-Sperrlisten (DNSBLs) SMTP-Test Mit einem Mailserver verbinden und STARTTLS prüfen MTA-STS-Prüfung Erzwungene TLS-Richtlinie für eingehende Mails BIMI-Prüfung Markenlogo-Eintrag für E-Mail TLS-RPT-Prüfung SMTP-TLS-BerichtsrichtlinieNetzwerk & Web
SSL-Zertifikat-Prüfung TLS-Zertifikat und Ablauf einer Website untersuchen HTTP-Header-Prüfung Antwort-Header, Weiterleitungen und Sicherheit untersuchen Ping (TCP) Erreichbarkeit und Latenz über TCP Port-Prüfung Welche gängigen Ports offen sindDomain
WHOIS-Abfrage Registrierungsdaten für Domains, IPs und ASNsDieser SMTP-Test löst den primären MX einer Domain auf, öffnet eine Verbindung auf Port 25, liest das Begrüßungsbanner und die EHLO-Fähigkeitsliste und meldet, ob der Server STARTTLS für die verschlüsselte Zustellung anbietet. Es ist ein schneller Weg, um zu bestätigen, dass ein Mailserver erreichbar und TLS-fähig ist.
Wenn Sie eine Domain eingeben, schlägt IPeek deren MX-Records nach, wählt den Host mit der höchsten Priorität und öffnet eine TCP-Verbindung auf Port 25. Der Server antwortet mit einem 220-Begrüßungsbanner, das die Software nennt, meist Postfix, Exim oder Microsoft. IPeek sendet dann EHLO und analysiert die mehrzeilige 250-Antwort, die die unterstützten Erweiterungen auflistet. Achten Sie in dieser Liste auf STARTTLS: Es signalisiert, dass der Server die Klartext-Sitzung in einen verschlüsselten TLS-Kanal hochstufen kann, bevor Maildaten ausgetauscht werden. SIZE, PIPELINING und 8BITMIME erscheinen häufig daneben.
Beginnen Sie mit dem Banner. Eine 220-Antwort bedeutet, dass der Server die Verbindung angenommen hat und bereit ist. Erscheint STARTTLS in der EHLO-Fähigkeitsliste, kann der Server eingehende Zustellungen verschlüsseln; sein Fehlen bedeutet, dass Mail im Klartext weitergeleitet werden kann. Ein Timeout oder eine verweigerte Verbindung deutet meist auf eine Firewall, ein falsches MX-Ziel oder einen ausgefallenen Host hin. Beachten Sie, dass Port 25 für die Server-zu-Server-Zustellung gedacht ist, nicht für die Client-Einlieferung, die 587 oder 465 nutzt. Der Banner-Hostname sollte mit Ihrem PTR-Record übereinstimmen, um Empfänger zufriedenzustellen, die ihn prüfen.
Verbindung verweigert oder abgelaufen ist der häufigste Fehler, typischerweise eine Firewall, die Port 25 blockiert, oder ein MX-Record, der auf den falschen Host verweist. Eine fehlende STARTTLS-Zeile bedeutet, dass der empfangende Server kein TLS aushandeln kann – fügen Sie ein Zertifikat hinzu und aktivieren Sie es in Ihrem MTA. Ein selbstsigniertes oder abgelaufenes Zertifikat wirbt zwar weiterhin mit STARTTLS, bricht aber strikte TLS-Richtlinien wie MTA-STS und DANE. Meldet das Banner einen generischen Hostnamen, der von Ihrem Reverse DNS abweicht, korrigieren Sie den PTR-Record, da viele Empfänger Mail abweisen, wenn Banner und PTR nicht übereinstimmen.
Die Server-zu-Server-Mailzustellung verwendet Port 25, mit dem sich dieser Test verbindet. Die Ports 587 und 465 sind für die Mail-Einlieferung von Clients und Anwendungen reserviert, wobei 587 STARTTLS und 465 implizites TLS nutzt. IPeek prüft Port 25, weil dort die empfangenden MX-Server eingehende Mail aus dem Internet annehmen.
STARTTLS stuft eine Klartext-SMTP-Sitzung in eine verschlüsselte TLS-Verbindung hoch. Der Server wirbt mit STARTTLS in seiner EHLO-Antwort, und der sendende Server gibt den Befehl aus, um TLS auszuhandeln, bevor Nachrichtendaten übertragen werden. Ohne es überquert Mail das Netzwerk im Klartext und kann unterwegs gelesen oder verändert werden. STARTTLS ist opportunistisch, sofern es nicht durch MTA-STS oder DANE erzwungen wird.
Ein Timeout bedeutet fast immer, dass eine Firewall Port 25 blockiert oder der MX-Record auf einen Host verweist, der ausgefallen oder nicht erreichbar ist. Viele Privat- und Cloud-Netzwerke blockieren ausgehenden Port 25 standardmäßig. Bestätigen Sie, dass das MX-Ziel korrekt auflöst, prüfen Sie, ob der Mailserver lauscht, und verifizieren Sie, dass keine Security-Group- oder Firewall-Regel die Verbindung verwirft.
Es bedeutet, dass eingehende Mail an diesen Server ohne Verschlüsselung zugestellt werden kann und damit dem Abfangen auf der Leitung ausgesetzt ist. Die meisten modernen Empfänger nehmen die Mail dennoch an, können die Sitzung aber nicht verschlüsseln. Zur Behebung installieren Sie ein gültiges TLS-Zertifikat und aktivieren STARTTLS in Ihrer MTA-Konfiguration, dann führen Sie den Test erneut aus, um zu bestätigen, dass die Fähigkeit nun erscheint.
Das Begrüßungsbanner ist die erste Zeile, die ein Mailserver nach dem Verbinden sendet, beginnend mit dem Antwortcode 220. Es identifiziert die Serversoftware und den Hostnamen und bestätigt, dass der Server bereit ist, Befehle anzunehmen. Empfänger vergleichen den Banner-Hostnamen oft mit dem PTR-Record der verbindenden IP, sodass eine Abweichung Spam-Filterung oder direkte Abweisung auslösen kann.