Impressum Datenschutz Cookies Kontakt FAQ
PREVIEW

Level 2 Pro – Detailansicht (gemischte Konfiguration)

Dieses Beispiel zeigt die gleiche „gewachsene“ Konfiguration wie im Basic-Level, diesmal mit technischen Details zu SPF, DKIM, DMARC, MX und TLS. Die Seite richtet sich an Administrator:innen und Menschen mit Zugriff auf DNS- und Mailserverkonfigurationen.

C
62
Gemischte Konfiguration – SPF ist vorhanden, DKIM und DMARC sind nur teilweise umgesetzt, TLS bleibt hinter aktuellen Möglichkeiten zurück. Viele Probleme lassen sich mit überschaubarem Aufwand beheben.
SPF/DKIM/DMARC
72
Transport / TLS
58
DNS-Integrität
84
Risikofaktoren
49

Wie unterscheidet sich Level 2 Pro vom Basic-Level?
Der Gesamtscore bleibt identisch – die Bewertung basiert auf denselben Messpunkten. Im Pro-Level werden die Einzelkomponenten sichtbar gemacht: konkrete SPF-Records, DKIM-Selector, DMARC-Policy, TLS-Profile und zusätzliche Mechanismen wie MTA-STS oder DNSSEC.

Ziel ist nicht, jeden Eintrag „schönzurechnen“, sondern nachvollziehbar zu machen, welche Entscheidungen in der Konfiguration getroffen wurden – und welche Risiken sich daraus ergeben.

SPF, DKIM und DMARC im Detail

Mechanismus Ist-Zustand Bewertung Hinweise
SPF v=spf1 mx include:mail.example.net include:news.example.org ~all breit, aber nutzbar Mehrere Includes, zum Teil historisch gewachsen. Risiko: schwer nachzuvollziehen, welche Systeme tatsächlich senden dürfen.
DKIM selector1._domainkey.example.org (1024 Bit), aktiv für das Hauptsystem; Newsletter-Tool signiert nicht. teilweise aktiv Für kritische Absender sinnvoll, aber nicht durchgängig. Empfänger sehen einen uneinheitlichen Zustand.
DMARC v=DMARC1; p=none; rua=mailto:dmarc-reports@example.org; nur Monitoring Berichte werden gesammelt, aber es gibt keine Policy, die Spoofing begrenzt. Ein sinnvoller Zwischenstep wäre p=quarantine mit klarer Auswertung der Reports.

Transport, TLS und DNS-Mechanismen

Bereich Ist-Zustand Bewertung Hinweise
TLS TLS 1.2 und 1.3 verfügbar, aber noch Unterstützung für RC4-ähnliche Ciphers und schwächere Suites für Alt-Clients. veraltet Für den Normalbetrieb ausreichend, aber nicht mehr state of the art. Schrittweise Bereinigung der alten Cipher-Suites sinnvoll.
MTA-STS Kein MTA-STS-Policy-Record veröffentlicht. Fehlt Transporte sind nicht gegen Downgrade-Angriffe abgesichert. Ein einfacher STSv1-Record wäre ein klarer Fortschritt.
DNSSEC Zone signiert, Kettenaufbau gültig. aktiv Guter Schutz gegen DNS-Manipulation. Wichtig: Schlüsselrotationen dokumentieren.

Zusammenfassung für Administrator:innen

Aus technischer Sicht ist example.org in einem Zustand, der im Alltag funktioniert – aber auf mehreren Ebenen „offen“ bleibt. Die meisten Probleme sind Konfigurationsfragen, keine strukturellen Defizite.

Die nächsten sinnvollen Schritte wären:

  • SPF-Record konsolidieren und veraltete Includes entfernen.
  • DKIM für alle produktiven Sendequellen aktivieren, Schlüssellängen anheben.
  • DMARC-Policy von p=none in Richtung quarantine entwickeln.
  • Alte TLS-Ciphers deaktivieren und mittelfristig MTA-STS einführen.

MailCheck soll an dieser Stelle nicht fertige „One-Click-Templates“ liefern, sondern Entscheidungsgrundlagen: Welche Änderungen sind kurz-, mittel- und langfristig sinnvoll – und welche Seiteneffekte sind zu beachten.