SPF/DKIM/DMARC-Eintragsprüfung

Domain eingeben und in Echtzeit SPF-, DMARC- und DKIM-Einträge abfragen, um die Konfiguration der E-Mail-Authentifizierung gegen Spoofing zu diagnostizieren.

Tipps

  • Die übliche Reihenfolge ist SPF, dann DKIM und zuletzt DMARC. Zuerst SPF und DKIM einrichten und DMARC zuletzt nutzen, um Empfängern klare Anweisungen zu geben.
  • DMARC nicht sofort mit p=reject beginnen. Zunächst mit p=none Berichte sammeln, um alle legitimen Versandquellen zu identifizieren, bevor die Richtlinie schrittweise verschärft wird.
  • Domains mit vielen SPF-Includes können an die Grenze von "10 DNS-Abfragen / 255 Zeichen" stoßen und Abfragefehler verursachen – unnötige Includes daher regelmäßig bereinigen.
  • Dieses Tool prüft nur gängige DKIM-Selektoren, daher kann "nicht gefunden" schlicht bedeuten, dass tatsächlich ein anderer Selektor verwendet wird.
  • Große Empfänger wie Gmail und Outlook verlangen seit 2024 SPF, DKIM und DMARC für Massenversender – Domains, die Newsletter versenden, sollten diese Einstellung vorrangig prüfen.

Häufig gestellte Fragen

Zwingend erforderlich ist es nicht, aber erst wenn alle drei zusammen konfiguriert sind, entsteht ein durchgängiger Schutz: die Legitimität des Absenders nachweisen (SPF/DKIM) und dem Empfänger anweisen, wie mit Fehlschlägen umzugehen ist (DMARC). Nur eines davon einzurichten hat begrenzte Wirkung, daher wird eine schrittweise Einrichtung empfohlen.

Nicht unbedingt. Da der Name des DKIM-Selektors von jedem Versanddienst frei gewählt werden kann, bedeutet "nicht gefunden" lediglich, dass die Domain keinen der von diesem Tool getesteten gängigen Namen (default, google usw.) verwendet. Für eine genaue Prüfung im Admin-Bereich des Versanddienstes oder in der DKIM-Signature-Kopfzeile einer E-Mail nachsehen.

Das wird nicht empfohlen. Solange nicht alle legitimen Versandquellen (z. B. Newsletter-Dienste oder interne Systeme) vollständig erfasst sind, kann eine sofortige reject-Richtlinie auch legitime E-Mails blockieren. Sicherer ist es, zunächst mit p=none einige Wochen lang Berichte zu sammeln, Probleme auszuschließen und dann schrittweise zu quarantine und reject zu verschärfen.

Letztlich wird -all (Fail, explizite Ablehnung) empfohlen. Während einer Übergangsphase, in der die SPF-Konfiguration noch nicht vollständig verlässlich ist, ist ~all (SoftFail, als verdächtig behandelt) sicherer – erst nach Bestätigung, dass keine legitimen E-Mails blockiert werden, sollte auf -all umgestellt werden.

Nein. Die DNS-Abfrage für die eingegebene Domain erfolgt jeweils nur momentan, die abgerufenen Eintragsdaten werden nicht auf dem Server gespeichert.
ツールくん

Übrigens – Wie die drei Säulen des Anti-Spoofing-Schutzes entstanden

SPF, DKIM und DMARC entstanden zu unterschiedlichen Zeiten aus unterschiedlichen Gründen. SPF, das zuerst (etwa 2003) erschien, legt fest, welche IP-Adressen im Namen einer Domain E-Mails versenden dürfen, und verbreitete sich als Gegenmaßnahme gegen Spammer, die Absenderadressen fälschten. SPF ist jedoch bei Weiterleitungen anfällig: Wird eine E-Mail weitergeleitet, ändert sich die absendende IP, und die Authentifizierung schlägt fehl.

DKIM (etwa 2007 standardisiert) glich diese Schwäche aus. Statt wie SPF anhand der IP-Adresse zu urteilen, wird ein Teil des Nachrichtentexts und der Kopfzeilen digital signiert; der Empfänger prüft die Signatur mit einem im DNS veröffentlichten öffentlichen Schlüssel. Solange die Signatur selbst unversehrt bleibt, besteht die Authentifizierung auch nach einer Weiterleitung.

Allerdings konnten SPF und DKIM nur feststellen, dass die Authentifizierung fehlgeschlagen war; was mit einer solchen E-Mail geschehen sollte – zustellen, als Spam markieren oder ablehnen – blieb ganz dem Empfangsserver überlassen. DMARC, 2012 standardisiert, vereinheitlichte diese Anweisungen an den Empfänger. Zusätzlich enthält es einen Berichtsmechanismus (rua=), der Authentifizierungsergebnisse an die Administratoren der Absenderdomain zurückmeldet, sodass sich fortlaufend überwachen lässt, ob die eigene Domain missbraucht wird.

Als Google und Yahoo 2024 SPF, DKIM und DMARC de facto zur Pflicht für Massenversender (über 5.000 Nachrichten pro Tag) machten, wurden diese drei Säulen vom exklusiven Wissen großer Unternehmen zu einer grundlegenden Notwendigkeit für jede Organisation, die Newsletter oder Systembenachrichtigungen versendet.

→ Alle Wissenstexte ansehen