siteway

// audit · dns

DNS- & E-Mail-Audit.

Deine Mails landen im Spam — oder jemand versendet in deinem Namen. Wir prüfen SPF, DKIM und DMARC und lesen die komplette DNS-Zone deiner Domain. Heraus kommt der dns-report: jeder Befund priorisiert, mit fertigem Record-Vorschlag und der Reihenfolge, in der du ihn umsetzt. siteway prüft, du entscheidest.

audit audit: einzeln buchbar dauer: 3–5 werktage output: dns-report

// definition

Was ist ein DNS- & E-Mail-Audit?

Ein DNS- & E-Mail-Audit prüft, ob deine Domain technisch sauber E-Mails versendet und empfängt. Auf dem Prüfstand stehen SPF, DKIM und DMARC — die drei DNS-Verfahren, mit denen empfangende Mailserver entscheiden, ob eine Mail wirklich von dir kommt. Dazu kommen das Alignment dieser Verfahren, die komplette DNS-Zone mit MX- und PTR-Records und die Frage, welche Systeme überhaupt in deinem Namen versenden.

Das Audit ist eine Diagnose, keine Baustelle. Wir schauen uns den Ist-Zustand an und schreiben auf, was davon hält, was fehlt und was dich Zustellbarkeit kostet. Du bekommst den dns-report — und entscheidest danach frei, wer ihn umsetzt: dein Hoster, deine IT oder wir.

// anlass

Wann sich das Audit lohnt.

e-mail ist infrastruktur

E-Mail fällt selten laut aus. Sie wird leise unzuverlässig: Die Bestellbestätigung kommt beim Kunden nicht an, das Kontaktformular schickt ins Nichts, der Newsletter landet im Werbung-Tab. Niemand meldet das — die Mails sind ja rausgegangen. Erst wenn Umsatz oder Bewerbungen fehlen, fällt es auf.

Die zweite Variante ist unangenehmer: Jemand versendet in deinem Namen. Ohne DMARC-Policy kann jeder Absender deine Domain ins Von-Feld schreiben — Spoofing kostet keine Technik, nur ein Skript. Deine Kunden sehen deinen Namen, du siehst nichts. Beides sind Konfigurationsprobleme im DNS, und beide sind mit Records lösbar. Man muss nur wissen, welche.

// prüfumfang · 6 bereiche

Was wir prüfen.

jeder bereich ein befund

Wir lesen deine DNS-Zone Record für Record und stellen sie gegen die Realität: gegen die Dienste, die tatsächlich Mails in deinem Namen verschicken. Jeder Bereich endet mit einem Befund — grün, gelb oder rot, immer mit Begründung.

// p-01inventar

Absender-Inventar.

Wer versendet eigentlich für dich? Mailserver, Google Workspace oder Microsoft 365, Newsletter-Tool, CRM, Shop, Ticketsystem, Formular- und Systemmails der Website. Diese Liste ist die Grundlage — ohne sie prüft man Records ins Blaue.

befund: versender-liste

// p-02spf

SPF.

Ein SPF-Record je Domain, nicht zwei. Alle Versender aus dem Inventar enthalten. Und höchstens 10 DNS-Lookups — darüber liefert SPF einen permerror, und die Prüfung schlägt fehl, obwohl der Record „da" ist.

befund: record · lookups · dubletten

// p-03dkim

DKIM.

Jeder Versanddienst signiert mit einem eigenen Selektor. Wir prüfen je Dienst: Ist der öffentliche Schlüssel im DNS, ist die Schlüssellänge zeitgemäß, und hält die Signatur beim Empfänger tatsächlich?

befund: selektor je dienst

// p-04dmarc

DMARC.

Policy, Alignment, Reporting. Steht p=none, quarantine oder reject — und passt die Domain in der Signatur zur Domain im Von-Feld? Ohne Alignment nützt ein gültiger SPF-Record nichts. Und laufen die rua-Reports überhaupt irgendwo auf?

befund: policy · alignment · rua

// p-05zone

DNS-Zone & MX.

Die ganze Zone, nicht nur die drei Mail-Records: MX, A, CNAME, PTR, TTL und Nameserver. Wir finden verwaiste Einträge alter Dienste, widersprüchliche Ziele und TTLs, die einen Umzug zur Zitterpartie machen.

befund: zonen-inventar

// p-06transport

Transport & Reputation.

MTA-STS und TLS-RP für verschlüsselten Transport, PTR-Record für die versendende IP, dazu der Blacklist-Status von IP und Domain. Reputation ist der Teil, den kein Record allein rettet — aber ein sauberes Setup hält sie stabil.

befund: mta-sts · blacklists

// mehrwert

Was freie Checker nicht sehen.

grün heißt nicht zugestellt

Kostenlose SPF-, DKIM- und DMARC-Checker gibt es reichlich, und sie sind ein guter erster Blick. Sie fragen ab, was im DNS steht, und melden „gültig" oder „fehlt". Nur beantworten sie die drei Fragen nicht, an denen Zustellbarkeit tatsächlich hängt: Wer versendet für dich? Hält das unter Last? Und was zuerst?

// c-01blindstelle

Die unbekannten Versender.

Ein Checker sieht deinen SPF-Record — aber nicht das Bewerbungstool, das die Personalabteilung vor zwei Jahren angebunden hat. Wir schalten DMARC-Reporting scharf und lesen aus den Reports, wer real in deinem Namen versendet. Erst dann ist die Liste vollständig.

rua-reports statt raten

// c-02alignment

Gültig ≠ ausgerichtet.

SPF und DKIM können beide „grün" sein und DMARC scheitert trotzdem — weil die geprüfte Domain nicht zur Domain im Von-Feld passt. Genau dieses Alignment ist die häufigste stille Ursache, wenn Mails über Dritt-Dienste rausgehen und beim Empfänger durchfallen.

aspf · adkim

// c-03reihenfolge

Die Reihenfolge.

Wer DMARC sofort auf p=reject stellt, blockt zuverlässig auch die eigenen Rechnungsmails. Der Weg führt über p=none mit Reporting, dann quarantine, dann reject — erst wenn alle Versender sauber signieren. Der Report schreibt dir diese Staffel auf.

none → quarantine → reject

// kontext · warum das seit 2024 dringlicher ist

Google verlangt seit dem 1. Februar 2024 von Absendern mit mehr als 5.000 Nachrichten pro Tag an Gmail-Konten SPF und DKIM, zusätzlich einen DMARC-Eintrag, eine Abmeldung mit einem Klick und eine in den Postmaster Tools gemeldete Spamrate unter 0,3 %. Was früher „nice to have" war, ist damit Voraussetzung für die Zustellung — und die Grenze rutscht nach unten, sobald Newsletter, Shop und CRM zusammen versenden. (Quelle: Google-Richtlinien für E-Mail-Absender)

// output · dns-report

Was du bekommst.

der report gehört dir

Der dns-report ist ein Dokument, kein Dashboard-Zugang. Jeder Befund steht mit Beleg da: was wir gemessen haben, warum es ein Problem ist, was es dich kostet. Dazu die Einordnung nach Wirkung und Aufwand — damit du siehst, welche zwei Records am Montag gesetzt gehören und welche Baustelle Zeit hat.

Konkret heißt das: fertige Record-Vorschläge zum Kopieren, jeweils mit Zielsystem und Kommentar. Dein Hoster oder deine IT setzt sie ein, ohne dass jemand nochmal recherchieren muss. Dazu die Staffel für DMARC, die Liste der Versender und ein Prüf-Kommando, mit dem du nach der Umsetzung selbst nachsehen kannst.

Wenn du willst, setzen wir es um oder begleiten den Weg zu p=reject — das läuft dann über Betrieb, Wartung & Support. Musst du aber nicht. Der Report funktioniert auch ohne uns.

// ablauf · 4 schritte

So läuft das Audit.

3–5 werktage bis zum report

  1. // schritt 01 · briefing

    Domains und Versender sammeln.

    Welche Domains, welche Mailsysteme, welche Tools versenden? Du nennst uns, was du weißt — die Lücken finden wir. Danach steht der Festpreis.

    output: scope + festpreis

  2. // schritt 02 · messung

    Zone lesen, Mails testen.

    Wir ziehen die komplette DNS-Zone, prüfen SPF, DKIM und DMARC gegen jeden Versender und schicken Testmails durch die echten Wege — Formular, Shop, Newsletter.

    output: rohbefunde

  3. // schritt 03 · bewertung

    Priorisieren.

    Jeder Befund bekommt Wirkung und Aufwand. Daraus wird eine Reihenfolge — inklusive der Staffel von p=none über quarantine zu reject, damit unterwegs keine Mail verloren geht.

    output: priorisierte liste

  4. // schritt 04 · übergabe ● ergebnis

    Report übergeben.

    Der dns-report mit allen Befunden, Record-Vorschlägen zum Kopieren und nächsten Schritten — plus ein Gespräch, in dem wir ihn mit dir und deiner IT durchgehen.

    output: dns-report

// faq

Häufige Fragen.

Was ist ein DNS- & E-Mail-Audit?

Ein DNS- & E-Mail-Audit prüft, ob deine Domain technisch sauber E-Mails versendet und empfängt. Geprüft werden SPF, DKIM und DMARC, das Alignment dieser Verfahren, die komplette DNS-Zone mit MX- und PTR-Records sowie alle Systeme, die in deinem Namen versenden. Ergebnis ist ein Report mit priorisierten Befunden und den passenden Record-Vorschlägen.

Warum landen unsere E-Mails im Spam?

Meist, weil die Empfänger deine Mails nicht sicher deiner Domain zuordnen können. Typische Ursachen: ein SPF-Record ohne den Dienst, der gerade versendet, fehlendes oder falsch hinterlegtes DKIM, ein DMARC-Eintrag, dessen Alignment nicht passt, oder eine versendende IP auf einer Blacklist. Das Audit findet heraus, welche dieser Ursachen bei dir zutrifft — und welche zuerst behoben gehört.

Reicht nicht ein kostenloser SPF-, DKIM- und DMARC-Check?

Für einen ersten Blick ja. Ein Checker prüft die Records, die er über DNS sieht, und sagt dir gültig oder ungültig. Er weiß aber nicht, welche Systeme in deinem Namen versenden, ob dein SPF-Record das Limit von 10 DNS-Lookups reißt, ob DMARC-Reports irgendwo auflaufen und in welcher Reihenfolge du die Baustellen anfassen solltest, ohne dass Mails ausfallen. Genau das liefert das Audit von siteway.

Was kostet das Audit?

Festpreis nach Briefing. Sobald klar ist, wie viele Domains und Versandsysteme im Spiel sind, nennen wir einen Preis und halten ihn fest. Keine Stundenzettel, keine Überraschung am Ende.

Wie lange dauert das Audit?

In der Regel drei bis fünf Werktage ab Briefing. Wenn wir DMARC-Reports über einen echten Zeitraum auswerten sollen, um alle Versender zu finden, planen wir zusätzlich zwei bis vier Wochen Sammelphase ein — dafür richten wir das Reporting im ersten Schritt ein.

Ist das Audit ein Security-Audit oder ein Penetrationstest?

Nein. Das DNS- & E-Mail-Audit prüft Konfiguration: Records, Policies, Alignment und Zustellbarkeit. Es ist kein Penetrationstest, keine Prüfung deines Mailservers von innen und keine Rechtsberatung. Angriffsfläche, Header und Zertifikate deiner Website sind Thema im Security-Audit, Server und Hosting im Hosting- & Infrastruktur-Audit.

Müssen wir die Umsetzung bei euch beauftragen?

Nein. Der Report gehört dir. Die Record-Vorschläge sind so notiert, dass dein Hoster, deine IT oder dein Systemhaus sie direkt übernehmen kann. Wenn du willst, setzen wir es um oder begleiten den Weg von p=none zu p=reject — musst du aber nicht.

// Kommen deine Mails wirklich an?

Audit anfragen