Zurück zum Blog
IT-Security

Neues kostenloses Tool: E-Mail-Security-Checker für SPF, DKIM und DMARC

Prüfen Sie die E-Mail-Sicherheit Ihrer Domain in Sekunden! Unser neuer kostenloser E-Mail-Security-Checker analysiert SPF, DKIM und DMARC-Records, bewertet sie und gibt konkrete Empfehlungen zur Verbesserung. Ein Must-Have-Tool für jeden IT-Administrator und Datenschutzbeauftragten.

Philip Knoll
20. März 2026
6 Min. Lesezeit
6 Aufrufe

Warum E-Mail-Sicherheit mehr ist als nur ein Passwort

E-Mail-Kommunikation ist das Rückgrat moderner Unternehmen – aber auch eine der größten Angriffsflächen für Cyberkriminelle. Phishing, Spoofing und Domain-Hijacking kosten Unternehmen jährlich Milliarden und schädigen das Vertrauen von Kunden nachhaltig.

Die gute Nachricht: Mit den richtigen DNS-Records können Sie Ihre Domain gegen solche Angriffe absichern. Die schlechte Nachricht: Die Konfiguration von SPF, DKIM und DMARC ist komplex und fehleranfällig.

Genau hier setzt unser neues kostenloses Tool an: Der E-Mail-Security-Checker analysiert Ihre E-Mail-Sicherheitskonfiguration, bewertet sie nach Branchenstandards und gibt Ihnen konkrete, umsetzbare Empfehlungen.

🔗 Jetzt kostenlos testen: https://www.knoco.de/4free/email-security-checker


Was macht der E-Mail-Security-Checker?

Unser Tool führt eine umfassende Analyse Ihrer E-Mail-Sicherheitsinfrastruktur durch:

✅ SPF (Sender Policy Framework)

  • Prüft ob ein SPF-Record existiert
  • Analysiert alle Mechanismen (include, a, mx, ip4, ip6, etc.)
  • Zählt DNS-Lookups (wichtig: max. 10 Lookups erlaubt!)
  • Warnt vor zu vielen Lookups, die zu Fehlern führen
  • Validiert Syntax und Modifiers (+, -, ~, ?)
  • Gibt Empfehlungen zur Optimierung (z.B. Flattening bei zu vielen Lookups)

✅ DKIM (DomainKeys Identified Mail)

  • Sucht DKIM-Records für verschiedene Selektoren (default, google, k1, s1)
  • Extraktiert Public Key und analysiert Schlüssellänge
  • Prüft Verschlüsselungsstandards (min. 2048-bit empfohlen)
  • Identifiziert Test-Modus-Flags
  • Bewertet Sicherheitsniveau des Setups

✅ DMARC (Domain-based Message Authentication)

  • Verifiziert DMARC-Policy (none, quarantine, reject)
  • Analysiert Alignment-Settings für SPF und DKIM
  • Prüft Reporting-Konfiguration (RUA/RUF)
  • Bewertet Percentage-Rollout
  • Gibt Hinweise zur schrittweisen Härtung

Scoring-System: Wissen, wo Sie stehen

Jeder Sicherheitsmechanismus erhält eine Bewertung von 0-100 Punkten:

🟢 90-100 Punkte: Excellent

Ihre Konfiguration entspricht Best Practices. Glückwunsch!

🟡 70-89 Punkte: Good

Solide Basis, aber noch Verbesserungspotenzial.

🟠 50-69 Punkte: Fair

Grundlegende Sicherheit vorhanden, aber Schwachstellen existieren.

🔴 0-49 Punkte: Poor

Dringender Handlungsbedarf! Ihre Domain ist anfällig für Angriffe.


Praktisches Beispiel: Google.com

Lassen Sie uns google.com analysieren:

SPF-Ergebnis

v=spf1 include:_spf.google.com ~all
  • Score: 85/100 (Good)
  • Lookups: 1 (weit unter Limit)
  • Policy: Softfail (~all) – legitime E-Mails werden zugestellt, aber fragwürdige markiert
  • Empfehlung: Auf hardfail (-all) upgraden für maximale Sicherheit

DKIM-Ergebnis

Selector: google
Key: RSA-2048-bit
  • Score: 75/100 (Good)
  • Schlüssellänge: 2048-bit (Minimum-Standard)
  • Empfehlung: Upgrade auf 4096-bit für Zukunftssicherheit

DMARC-Ergebnis

v=DMARC1; p=reject; rua=mailto:mailauth-reports@google.com
  • Score: 95/100 (Excellent)
  • Policy: reject (maximaler Schutz!)
  • Reporting: aktiv
  • Empfehlung: Bereits auf höchstem Niveau!

Häufige Probleme und wie Sie sie beheben

Problem 1: „Too many DNS lookups (12/10)"

Ursache: Ihr SPF-Record enthält zu viele include-Direktiven.

Lösung: SPF Flattening

  • Lösen Sie include-Records manuell auf
  • Ersetzen Sie sie durch direkte IP-Adressen
  • Verwenden Sie Tools wie SPF Record Flattener

Beispiel:

Vorher:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:mailgun.org ~all

Nachher (geflattened):
v=spf1 ip4:209.85.128.0/17 ip4:40.92.0.0/15 ip4:192.161.144.0/20 ~all

Problem 2: „DKIM key length too short (1024-bit)"

Ursache: Veralteter Verschlüsselungsstandard.

Lösung: Schlüssel neu generieren

# Generiere neuen 2048-bit Schlüssel
openssl genrsa -out private.pem 2048
openssl rsa -in private.pem -pubout -out public.pem

# Für extra Sicherheit: 4096-bit
openssl genrsa -out private.pem 4096

Problem 3: „DMARC policy is 'none' – no protection"

Ursache: DMARC ist im Monitor-Modus.

Lösung: Stufenweise Härtung

  1. Woche 1-2: p=none (Monitoring)

    • Sammeln Sie Reports
    • Identifizieren Sie legitime Sender
  2. Woche 3-4: p=quarantine; pct=10

    • 10% der E-Mails werden in Quarantäne verschoben
    • Überwachen Sie Beschwerden
  3. Woche 5+: p=quarantine; pct=100

    • Alle nicht authentifizierten E-Mails werden blockiert
  4. Endziel: p=reject

    • Maximale Sicherheit erreicht!

Best Practices für E-Mail-Sicherheit

1. Implementieren Sie alle drei Mechanismen

SPF, DKIM UND DMARC sollten gemeinsam verwendet werden. Einzeln bieten sie nur Teilschutz.

2. Starten Sie mit Monitoring

v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de

Sammeln Sie erst Reports, bevor Sie auf quarantine oder reject umstellen.

3. Nutzen Sie DMARC-Reporting

Konfigurieren Sie rua= (Aggregate Reports) und ruf= (Forensic Reports), um Einblicke in fehlgeschlagene Authentifizierungen zu erhalten.

4. Testen Sie nach jeder Änderung

Verwenden Sie Tools wie:

5. Dokumentieren Sie Ihre Konfiguration

Halten Sie fest:

  • Welche Mailserver legitimerweise E-Mails senden dürfen
  • DKIM-Selektoren und zugehörige Keys
  • Änderungshistorie der DNS-Records

Warum ist E-Mail-Sicherheit DSGVO-relevant?

Die DSGVO verlangt in Art. 32 „geeignete technische und organisatorische Maßnahmen" zur Gewährleistung der Datensicherheit.

E-Mail-Sicherheit ist davon direkt betroffen:

Schutz vor Datenlecks

Ohne SPF/DKIM/DMARC können Angreifer E-Mails in Ihrem Namen versenden und so:

  • Phishing-Mails an Ihre Kunden schicken
  • Interne Dokumente exfiltrieren (via Spoofing)
  • Reputationsschäden verursachen

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Sie müssen nachweisen, dass Sie angemessene Sicherheitsmaßnahmen ergriffen haben. Fehlende E-Mail-Authentifizierung kann bei Audits als Versäumnis gewertet werden.

Meldepflicht bei Datenpannen (Art. 33 DSGVO)

Falls durch fehlende E-Mail-Sicherheit eine Datenpanne entsteht, müssen Sie diese binnen 72 Stunden der Aufsichtsbehörde melden – inklusive Beschreibung der Sicherheitsmaßnahmen (oder deren Fehlen).


Weitere kostenlose Security-Tools auf KnoCo.de

Neben dem E-Mail-Security-Checker bieten wir weitere kostenlose Tools an:

🛡️ Blacklist-Checker

Prüft, ob Ihre IP-Adresse auf E-Mail-Blacklists steht. 👉 www.knoco.de/4free/blacklist-checker

🔍 DNS-Lookup

Führt DNS-Abfragen für A, AAAA, MX, TXT, CNAME etc. durch. 👉 www.knoco.de/4free/dns-lookup

🔒 SSL-Checker

Validiert SSL/TLS-Zertifikate und prüft auf Sicherheitslücken. 👉 www.knoco.de/4free/ssl-checker

📡 Traceroute

Zeigt den Netzwerkpfad zu einem Host. 👉 www.knoco.de/4free/traceroute

🌐 MX-Checker

Überprüft Mailserver-Konfiguration (MX-Records). 👉 www.knoco.de/4free/mx-checker

Alle Tools sind:

  • ✅ Kostenlos
  • ✅ Ohne Registrierung nutzbar
  • ✅ DSGVO-konform (keine Speicherung von Abfragen)
  • ✅ Schnell und einfach

Technische Details: So funktioniert der Checker

Für die technikbegeisterten unter Ihnen: Der E-Mail-Security-Checker ist ein Full-Stack TypeScript/NestJS-Tool:

Backend

  • DNS-Lookups via Node.js dns Module
  • SPF-Parsing mit vollständigem Lookup-Tracking
  • DKIM-Analyse mit Public-Key-Extraktion
  • DMARC-Validierung nach RFC 7489
  • Scoring-Algorithmus basierend auf Industrie-Best-Practices

Frontend

  • React 18 + Next.js 14
  • TailwindCSS für responsive UI
  • Lucide Icons für moderne Visualisierung
  • Client-Side Rendering für schnelle Interaktion

Sicherheitsfeatures

  • Rate-Limiting: Schutz vor Missbrauch
  • Input-Validierung: Nur gültige Domain-Namen akzeptiert
  • Keine Logs: Ihre Abfragen werden nicht gespeichert
  • TLS 1.3: Verschlüsselte Verbindung

Fazit: E-Mail-Sicherheit beginnt mit Transparenz

Der erste Schritt zu besserer E-Mail-Sicherheit ist zu wissen, wo man steht. Unser E-Mail-Security-Checker gibt Ihnen:

Klarheit über Ihre aktuelle Konfiguration ✅ Bewertung nach Industriestandards ✅ Konkrete Empfehlungen zur Verbesserung ✅ Kostenlos und ohne Anmeldung

Probieren Sie es jetzt aus!

🔗 www.knoco.de/4free/email-security-checker

Geben Sie einfach Ihre Domain ein (z.B. ihre-firma.de) und erhalten Sie innerhalb von Sekunden eine umfassende Analyse.

Haben Sie Fragen?

Kontaktieren Sie uns für eine kostenlose Beratung.