SPF / DKIM / DMARC-Checker
MX, SPF-Baum, DKIM-Schlüsselbits, DMARC, BIMI und Blacklists – ein Audit, ein Score.
| Priority | Host | IPs |
|---|
⚙️ Record Generators
DKIM keys are generated by your email provider — publish theirs at selector._domainkey, then verify with the audit above.
Mit der Audit-MXToolbox können Sie mit einem Klick sechs separate Tools ausführen: Ihr SPF-Eintrag wird in seinen vollständigen Include-Baum mit der genauen Suchanzahl erweitert, DKIM-Schlüssel werden gefunden und dimensioniert, DMARC wird Tag für Tag geparst (einschließlich der externen Berichtsautorisierungsprüfung, die die meisten Tools überspringen), BIMI wird erkannt und Ihre Mailserver werden mit vier Blacklists abgeglichen. Beheben Sie mit den integrierten Generatoren, was fehlt, überprüfen Sie Ihre Sendungen mit dem SMTP-Tester und bereinigen Sie Ihre Listen mit dem Bulk Email Verifier.
Häufig gestellte Fragen
Was prüft das vollständige E-Mail-DNS-Audit?
In einem Durchlauf: MX-Einträge mit ihren IPs, Ihr SPF-Eintrag wird rekursiv in seinen vollständigen Include-Baum mit der genauen DNS-Lookup-Anzahl erweitert (das RFC-Limit beträgt 10), DKIM-Schlüssel über 16 gängige Selektoren mit RSA-Schlüssellänge, DMARC-Richtlinie mit Tag-für-Tag-Analyse und externer Berichtsadressenautorisierung, der optionale BIMI-Logo-Eintrag und die IPs Ihrer Mailserver gegen 4 Spam-Blacklists – zusammengefasst in einem 0–100-Zustand punkten.
Warum ist das SPF 10-Lookup-Limit so wichtig?
Empfänger beenden die Auswertung von SPF nach 10 DNS-Suchvorgängen und geben PermError zurück – was viele als Fehler betrachten. Jedes include:, a, mx, exist und redirect zählt, einschließlich derjenigen, die in anderen Includes verschachtelt sind. Die Baumansicht zeigt genau, wohin Ihre Suchvorgänge gehen, sodass Sie wissen, welche Einbindungen reduziert oder gelöscht werden müssen.
Was ist eine gute DKIM-Schlüssellänge?
2048-Bit-RSA ist der aktuelle Standard; 1024-Bit-Schlüssel werden weiterhin akzeptiert, gelten aber als schwach und einige Anbieter warnen mittlerweile davor. Die Prüfung schätzt Ihre Schlüsselgröße anhand des veröffentlichten Datensatzes und markiert alles unter 2048.
Meine DMARC-Berichte gehen an einen Drittanbieter – warum die Autorisierungsprüfung?
Wenn rua= auf eine andere Domäne verweist (z. B. einen DMARC-Analysedienst), muss diese Domäne einen speziellen Autorisierungsdatensatz veröffentlichen, andernfalls löschen Empfänger Ihre Berichte stillschweigend. Bei dieser Prüfung wird überprüft, ob die Autorisierung tatsächlich vorliegt – eine Prüfung, die von den meisten kostenlosen Tools übersprungen wird.
Was bedeuten die Ergebnisse der Blacklist (RBL)?
Die IPs Ihrer Posteingangsserver werden mit Spamhaus ZEN, SpamCop, SORBS und PSBL verglichen. Ein Eintrag auf Ihrem MX weist normalerweise auf einen kompromittierten oder gemeinsam genutzten Server mit schlechten Nachbarn hin und verdient eine Untersuchung – eingehende Einträge sind jedoch weniger wichtig als Ihre ausgehende Sende-IP, die Ihr E-Mail-Anbieter verwaltet.
Warum wurde bei der Prüfung mein DKIM-Schlüssel nicht gefunden?
DKIM-Schlüssel laufen unter einem Selektornamen, den nur Ihr Anbieter kennt (z. B. s2025._domainkey). Bei der Prüfung werden automatisch 16 gängige Selektoren ausprobiert. Wenn Ihre benutzerdefiniert ist, suchen Sie sie in den DNS-Anweisungen Ihres Anbieters oder in einem E-Mail-Header (dem s=-Tag in der DKIM-Signatur) und geben Sie sie in das Auswahlfeld ein.