Die Sicherheitsprüfung war Routine, bis sie die E-Mail-Infrastruktur überprüften. Ein SPF-Record mit einem Syntaxfehler, der monatelang unbemerkt fehlgeschlagen war. Ein DKIM-Schlüssel, der seit der Ersteinrichtung vor drei Jahren nie rotiert wurde. Eine DMARC-Policy immer noch auf p=none gesetzt – gut fürs Monitoring, aber ohne Schutz. Die Domain war die ganze Zeit über leicht zu fälschen.
E-Mail-Sicherheit ist nicht glamourös, aber essenziell. Eine fehlkonfigurierte E-Mail-Domain ist eine offene Einladung für Phishing-Angriffe, die Ihre Marke imitieren. Die technischen Checks sind eigentlich überschaubar—SPF, DKIM, DMARC, TLS-Konfiguration—aber sie sind leicht falsch zu machen und noch leichter zu vergessen.
Security-Scanning-Tools automatisieren diese Prüfungen und erkennen Fehlkonfigurationen, bevor sie zu Sicherheitsvorfällen werden.
Authentifizierungs-Scanner
MXToolbox ist das Schweizer Taschenmesser der E-Mail-Diagnostik. Ihr SuperTool führt umfassende Checks für Ihre Domain aus: SPF-Record-Validierung, DKIM-Schlüsselprüfung, DMARC-Policy-Analyse, MX-Record-Konfiguration und Blacklist-Status. Geben Sie Ihre Domain ein, und Sie erhalten einen Bericht darüber, was korrekt konfiguriert ist und was Aufmerksamkeit braucht.
Die kostenlose Stufe deckt die Basischecks ab; kostenpflichtige Stufen fügen Monitoring und Alerts hinzu. Für periodische Sicherheits-Audits reichen die kostenlosen Checks aus. Für fortlaufendes Monitoring erkennt die bezahlte Alarmierung Probleme, sobald sie entstehen.
DMARC Analyzer konzentriert sich gezielt auf E-Mail-Authentifizierung. Über die Prüfung Ihrer aktuellen Konfiguration hinaus analysieren sie DMARC-Berichte und zeigen, wer E-Mails in Ihrem Namen sendet—sowohl legitime Dienste als auch potenzielle Spoofer. Die Visualisierung macht es einfach, nicht autorisierte Absender zu identifizieren.
Ihre Tools helfen Ihnen, sicher von p=none (Monitoring) zu p=reject (Enforcement) zu wechseln, indem sie legitime Absender identifizieren, die vor dem Verschärfen der Policy autorisiert werden müssen.
Dmarcian bietet eine ähnliche, DMARC-fokussierte Analyse mit hervorragender Dokumentation. Ihr Domain-Checker liefert sofortiges Feedback zu Ihrer Authentifizierungs-Konfiguration, und ihre Plattform verarbeitet DMARC-Berichte zu umsetzbaren Erkenntnissen. Die erklärenden Inhalte helfen Ihnen zu verstehen, nicht nur was falsch ist, sondern warum es wichtig ist.
Mail Tester prüft Ihre tatsächlichen E-Mails, nicht nur die Domain-Konfiguration. Senden Sie eine E-Mail an ihre Testadresse, und sie analysieren sie auf Authentifizierung, Spam-Trigger und Zustellbarkeitsfaktoren. Der Score von 1–10 liefert einen schnellen Gesundheitscheck, mit detailliertem Feedback zu konkreten Punkten.
Es ist besonders nützlich, um zu testen, dass die E-Mails Ihrer Anwendung korrekt authentifiziert werden—die Konfiguration kann stimmen, aber wenn Ihre Anwendung E-Mails nicht korrekt signiert, schlägt die Authentifizierung dennoch fehl.
TLS- und Verschlüsselungs-Scanner
CheckTLS testet die TLS-Konfiguration Ihres Mailservers. Es versucht Verbindungen mit verschiedenen TLS-Versionen und Cipher Suites und berichtet, was Ihr Server unterstützt und was er unterstützen sollte. Schwache Ciphers, veraltete Protokolle und Zertifikatsprobleme erscheinen alle im Bericht.
TLS-Konfiguration entwickelt sich weiter, wenn neue Schwachstellen entdeckt werden. Was vor drei Jahren sicher war, kann heute verwundbar sein. Regelmäßiges Scannen erkennt Konfigurationsdrift, bevor sie ausnutzbar wird.
SSL Labs ist zwar für Webserver konzipiert, kann aber Mailserver-Zertifikate testen. Ihre detaillierte Analyse zeigt Probleme in der Zertifikatkette, Protokollunterstützung und Cipher-Stärke. Das Benotungssystem (A bis F) liefert eine schnelle Einschätzung Ihrer TLS-Sicherheitslage.
Hardenize bietet umfassendes Security-Scanning inklusive E-Mail-spezifischer Checks. Ihr kostenloser Scan deckt TLS-Konfiguration, Authentifizierungs-Records und Security-Header ab. Das Dashboard zeigt Ihre Sicherheitslage im Zeitverlauf und verfolgt Verbesserungen und Rückschritte.
Schwachstellen-Scanner
Für eine tiefere Sicherheitsbewertung können allgemeine Schwachstellen-Scanner die E-Mail-Infrastruktur gezielt prüfen.
Nmap kann mit passenden Scripts Mailserver auf bekannte Schwachstellen, Open Relays und Fehlkonfigurationen prüfen. Die Scripts smtp-commands und smtp-enum-users zielen speziell auf E-Mail-Server. Das ist technischer als die webbasierten Tools, liefert aber tiefere Einblicke.
OpenVAS (heute Greenbone) enthält Prüfungen für Mailserver-Schwachstellen in seinem umfassenden Scan-Umfang. Wenn Sie eine selbst gehostete E-Mail-Infrastruktur betreiben, ist regelmäßiges Schwachstellen-Scanning essenziell. OpenVAS ist Open Source und gründlich, die Lernkurve ist allerdings beträchtlich.
Was sollte geprüft werden
Die Authentifizierungskonfiguration ist die Grundlage. SPF sollte alle legitimen Versandquellen auflisten und mit -all (Hard Fail) enden. DKIM-Schlüssel sollten vorhanden und für alle sendenden Domains korrekt konfiguriert sein. DMARC sollte mit einer Policy veröffentlicht werden, die Ihrer Risikotoleranz entspricht—idealerweise p=reject, sobald Sie alle legitimen Absender verifiziert haben.
Die TLS-Konfiguration sollte moderne Protokolle unterstützen (TLS 1.2 mindestens, TLS 1.3 bevorzugt) und starke Cipher Suites. Zertifikate sollten gültig, korrekt verkettet und nicht kurz vor dem Ablauf sein. DANE-Records, sofern implementiert, sollten zu Ihren Zertifikaten passen.
MX-Records sollten auf Server zeigen, die Sie kontrollieren oder denen Sie vertrauen. Verwaiste MX-Records, die auf außer Betrieb genommene Server zeigen, sind ein Übernahmerisiko—Angreifer können die alte Server-IP übernehmen und Ihre E-Mails empfangen.
Der Blacklist-Status weist auf Reputationsprobleme hin. Auf großen Blacklists (Spamhaus, Barracuda, etc.) gelistet zu sein, beeinträchtigt die Zustellbarkeit und kann auf eine Kompromittierung hindeuten. Regelmäßiges Prüfen erkennt Listungen frühzeitig.
Tests auf Open Relay verifizieren, dass Ihr Server keine E-Mails von nicht autorisierten Absendern akzeptiert und weiterleitet. Open Relays werden schnell für Spam missbraucht, ruinieren Ihre Reputation und führen möglicherweise zu Blacklisting.
Eine Scan-Routine aufbauen
Einmalige Scans erkennen aktuelle Probleme; regelmäßiges Scannen erkennt Drift und neue Probleme.
Wöchentlich: Blacklist-Status prüfen. Listungen können schnell nach einer Kompromittierung oder einer Spam-Beschwerde passieren. Frühe Erkennung begrenzt den Schaden.
Monatlich: Authentifizierungs-Checks ausführen (MXToolbox, DMARC Analyzer). Verifizieren, dass SPF, DKIM und DMARC weiterhin korrekt konfiguriert sind. Prüfen, ob keine neuen Versanddienste hinzugekommen sind, ohne die Authentifizierungs-Records zu aktualisieren.
Vierteljährlich: Vollständiger Security-Scan inklusive TLS-Konfiguration, Zertifikatsablauf und Schwachstellenbewertung. DMARC-Berichte auf nicht autorisierte Versandversuche prüfen.
Nach Änderungen: Jedes Mal, wenn Sie die E-Mail-Infrastruktur modifizieren—neuer Versanddienst, Server-Migration, DNS-Änderungen—führen Sie einen vollständigen Scan durch, um zu verifizieren, dass nichts kaputt gegangen ist.
Automatisieren Sie, was möglich ist. Viele Scanning-Services bieten APIs oder geplante Scans mit Alerting. Automatisiertes Monitoring erkennt Probleme schneller als manuelle, periodische Checks.
Frequently asked questions
Wie oft sollte ich DKIM-Schlüssel rotieren?
Bewährte Branchenpraxis empfiehlt, DKIM-Schlüssel alle 6–12 Monate zu rotieren. Längere Schlüssel (2048‑Bit) können seltener rotiert werden als kürzere. Der Rotationsprozess erfordert, den neuen Schlüssel zu veröffentlichen, Ihre Signaturkonfiguration zu aktualisieren und den alten Schlüssel veröffentlicht zu lassen, bis E-Mails, die noch unterwegs sind, zugestellt wurden.
Welche DMARC-Policy sollte ich verwenden?
Beginnen Sie mit p=none, um Berichte zu sammeln, ohne die Zustellung zu beeinflussen. Sobald Sie alle legitimen Absender identifiziert und deren Authentifizierung konfiguriert haben, wechseln Sie zu p=quarantine. Nachdem bestätigt ist, dass keine legitimen E-Mails quarantiniert werden, wechseln Sie zu p=reject für vollständigen Schutz. Dieser schrittweise Ansatz verhindert das Blockieren legitimer E-Mails.
Ist mein E-Mail-Server ein Open Relay?
Testen Sie es: Versuchen Sie, E-Mails über Ihren Server von einer nicht autorisierten Quelle an eine externe Adresse zu senden. MXToolbox und ähnliche Tools beinhalten Open-Relay-Tests. Wenn Ihr Server die E-Mail akzeptiert und weiterleitet, ist es ein Open Relay und benötigt sofortige Abhilfe.
Was mache ich, wenn ich auf einer Blacklist stehe?
Identifizieren und beheben Sie zunächst die Ursache—kompromittiertes Konto, Spam-Beschwerden oder Fehlkonfiguration. Fordern Sie anschließend die Entfernung von der Blacklist an (jede hat ihren eigenen Prozess). Überwachen Sie, um sicherzustellen, dass Sie nicht erneut gelistet werden. Einige Blacklists entfernen Einträge automatisch, nachdem das Problem behoben wurde; andere erfordern manuelle Anfragen.