Level 2 Pro – Detailansicht (starke Konfiguration)
Dieses Beispiel zeigt eine Domain mit durchgängig gut umgesetzten Mechanismen: SPF, DKIM, DMARC und TLS sind konsistent konfiguriert, DNSSEC ist aktiv. Im Pro-Level werden die technischen Details sichtbar, die hinter dem hohen Score stehen.
Warum ist der Score nicht 100?
Der Basic- und Pro-Score ist bewusst konservativ. Auch bei gut konfigurierten
Systemen bleiben Restrisiken – etwa durch externe Absender, Weiterleitungen
oder historische Einträge. Ziel ist keine „100 um jeden Preis“, sondern eine
transparente Darstellung: Wo steht die Domain heute, und welche Reserven gibt es?
Im Pro-Level werden die einzelnen Bausteine sichtbar, die zu diesem Score führen: ein präziser SPF-Record, konsistente DKIM-Signaturen, eine DMARC-Policy mit klarer Ansage und ein moderner TLS-Stack.
SPF, DKIM und DMARC im Detail
| Mechanismus | Ist-Zustand | Bewertung | Hinweise |
|---|---|---|---|
| SPF |
v=spf1 mx include:mail.example.net -all
|
präzise | Klarer Scope, nur das zentrale Mailsystem darf senden. Historische Einträge wurden bereinigt, Lookup-Tiefe ist gering. |
| DKIM |
mx1._domainkey.example.org und news1._domainkey.example.org,
jeweils 2048 Bit, für alle produktiven Sendequellen aktiv.
|
durchgängig aktiv | Alle zentralen Mailpfade sind signiert, Schlüsselrotation dokumentiert. Empfänger sehen ein konsistentes Bild. |
| DMARC |
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.org; ruf=mailto:dmarc-forensics@example.org;
|
schlüssige Policy |
DMARC-Reports werden ausgewertet, Policy schützt vor offensichtlichem Spoofing.
Ein möglicher nächster Schritt wäre mittelfristig p=reject, sobald alle
legitimen Sendequellen sauber erfasst sind.
|
Transport, TLS und DNS-Mechanismen
| Bereich | Ist-Zustand | Bewertung | Hinweise |
|---|---|---|---|
| TLS | TLS 1.2 und 1.3, moderne Cipher-Suites, alte Protokollversionen deaktiviert. | modern | Gute Ausgangslage, regelmäßige Überprüfung der Cipher-Suites und Zertifikatsketten bleibt dennoch wichtig. |
| MTA-STS |
STSv1; id=2025-01-15; mx=mail.example.org; mode=enforce;
|
aktiv | Schutz gegen Downgrade-Angriffe, klare Erwartung an TLS-Verbindungen. Dokumentation der Policy im Betrieb sinnvoll. |
| DNSSEC | Zone signiert, Kette bis zur TLD gültig. | aktiv | Stabiles Setup. Wichtig bleibt die Überwachung von Schlüsselabläufen und gelegentliche Stichproben per unabhängigen Prüftools. |
Zusammenfassung für Administrator:innen
Aus Sicht der technischen Grundlagen macht example.org vieles richtig:
SPF ist klar definiert, DKIM durchgängig aktiv, DMARC mit wirksamer Policy gesetzt,
TLS modern konfiguriert und DNSSEC im Einsatz.
Sinnvolle nächste Schritte sind eher Feintuning als Grundsanierung:
- DMARC-Berichte weiterhin regelmäßig auswerten und Sonderfälle dokumentieren.
- Mögliche Spezialfälle (Weiterleitungen, Mailinglisten) gezielt prüfen.
- MTA-STS- und TLS-Profile in regelmäßigen Abständen gegen Best Practices prüfen.
- Konfigurationsentscheidungen in einem technischen Betriebshandbuch festhalten.
MailCheck soll in solchen Fällen Bestätigung geben („ihr seid auf einem guten Weg“) und gezielt auf Detailbereiche hinweisen, in denen sich zusätzlicher Aufwand wirklich lohnt.