cloudpandas

E-Mail Sicherheits-Audit

Wissen rund um E-Mail-Sicherheit

Kurze, praxisnahe Erklärungen zu allen Standards, die wir prüfen.

SPFDKIMDMARCMTA-STSTLS-RPTDNSSECDANEBIMI

SPF

Sender Policy Framework

SPF legt fest, welche IPs/Server im Namen Ihrer Domain Mails versenden dürfen. Empfangsserver vergleichen die sendende IP mit Ihrer Liste und können fremde Versender ablehnen.

Einrichtung

Ein einzelner TXT-Record auf der Apex-Domain. Mechanismen wie include:, a, mx, ip4: erlauben Versender. Maximal 10 DNS-Lookups. Endet mit -all (strikt) oder ~all (softfail).

v=spf1 include:_spf.google.com include:spf.protection.outlook.com -all

DKIM

DomainKeys Identified Mail

DKIM signiert jede ausgehende E-Mail kryptografisch. Empfänger validieren die Signatur gegen einen öffentlichen Schlüssel im DNS und können Manipulationen erkennen.

Einrichtung

Ein TXT-Record unter <selector>._domainkey.<domain> mit dem RSA- oder Ed25519-Public-Key. Mehrere Selectoren erlauben parallele Provider.

default._domainkey  TXT  "v=DKIM1; k=rsa; p=MIIBIjAN..."

DMARC

Domain-based Message Authentication

DMARC sagt Empfängern, was sie mit Mails tun sollen, die SPF/DKIM nicht bestehen — und liefert aggregierte Reports. Seit 2024 für Massenversender Pflicht (Google/Yahoo).

Einrichtung

TXT-Record unter _dmarc.<domain>. Policy p=none (nur Monitoring), quarantine (Spam), reject (verwerfen). rua=mailto: für Reports.

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100; adkim=s; aspf=s

MTA-STS

SMTP MTA Strict Transport Security

MTA-STS erzwingt TLS-Verschlüsselung zwischen Mailservern und schützt vor Downgrade- und MITM-Angriffen auf Port 25.

Einrichtung

TXT-Record unter _mta-sts.<domain> + Policy-Datei via HTTPS unter mta-sts.<domain>/.well-known/mta-sts.txt mit mode: enforce.

_mta-sts  TXT  "v=STSv1; id=20240101000000Z"

TLS-RPT

SMTP TLS Reporting

TLS-RPT liefert tägliche Reports über TLS-Probleme bei der Zustellung — unverzichtbar zur Überwachung von MTA-STS und DANE.

Einrichtung

TXT-Record unter _smtp._tls.<domain>, der rua=mailto: oder https:// als Report-Ziel angibt.

_smtp._tls  TXT  "v=TLSRPTv1; rua=mailto:[email protected]"

DNSSEC

DNS Security Extensions

DNSSEC signiert DNS-Antworten kryptografisch und verhindert DNS-Spoofing. Voraussetzung für DANE/TLSA.

Einrichtung

Aktivierung beim DNS-Hoster + DS-Record beim Registrar. Validierung erkennbar am AD-Flag der DNS-Antwort.

example.com.  DS  12345 13 2 ABCDEF...

DANE

DNS-based Authentication of Named Entities

DANE bindet TLS-Zertifikate der MX-Server an signierte DNS-Einträge (TLSA). Schützt vor gefälschten Zertifikaten.

Einrichtung

TLSA-Records unter _25._tcp.<mx-host>. Nur sinnvoll mit aktivem DNSSEC.

_25._tcp.mx1.example.com.  TLSA  3 1 1 ABCDEF...

BIMI

Brand Indicators for Message Identification

BIMI zeigt Ihr Marken-Logo direkt im Posteingang unterstützender Clients (Gmail, Apple Mail). Erfordert DMARC mit p=quarantine oder p=reject.

Einrichtung

TXT-Record unter default._bimi.<domain> verweist auf eine SVG-Datei (SVG-P/S Tiny 1.2) und optional ein VMC-Zertifikat.

default._bimi  TXT  "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/vmc.pem"