Scoring-Modell von MailCheck

MailCheck bewertet Domains mit einem Score von 0 bis 100 Punkten und ordnet sie zusätzlich einer Buchstabenkategorie von A+ bis F zu. Die Letter-Grade ist die grobe Einordnung, der numerische Score zeigt die Feinstruktur innerhalb dieser Kategorie.

Score-Bereiche und Kategorien (A+ bis F)

Die Kategorien orientieren sich an bekannten Sicherheitsbewertungen (z. B. SSL-Testtools). Sie sollen auf einen Blick zeigen, in welchem Bereich sich eine Konfiguration bewegt.

Score-Bereich	Kategorie	Einordnung
95–100	A+	Exzellente, moderne Konfiguration auf aktuellem Stand der Technik.
85–94	A	Sehr gute Umsetzung mit wenigen, klar begrenzten Verbesserungspunkten.
75–84	B	Gute Basis, einzelne Lücken oder Altlasten sind vorhanden.
65–74	C	Gemischte Konfiguration, relevante Schwachstellen oder Unklarheiten.
55–64	D	Schwache Gesamtsituation, wichtige Mechanismen fehlen oder greifen nicht sauber.
35–54	E	Deutlich erhöhte Risiken, grundlegende Probleme in mehreren Bereichen.
0–34	F	Massive Defizite, kaum wirksame Schutzmechanismen, hohes Missbrauchsrisiko.

Die Schwellenwerte sind bewusst konservativ gewählt. MailCheck soll kein „Marketing-Score“ sein, sondern eine technische Einschätzung, die auch Reserven nach oben lässt.

Teilbereiche des Scores

Der Gesamtscore setzt sich aus mehreren Teilbereichen zusammen. Für die ersten Versionen von MailCheck sind insbesondere diese vier Gruppen relevant:

Bereich	Beispiele	Gewichtung (Richtwert)
Absenderprüfung	SPF, DKIM, DMARC	ca. 40 %
Transport & Integrität	TLS, MTA-STS, DNSSEC, TLSA	ca. 30 %
Basis-Risikofaktoren	breite SPF-Records, historische Einträge, unscharfe Policies	ca. 20 %
Trends & Missbrauchssignale (Expert-Level)	DMARC-Zeitreihen, Spoofing-Muster, Abuse-Hinweise	ca. 10 % (Zu-/Abschläge)

Die exakten Gewichtungen können sich im Verlauf der Entwicklung ändern. Ziel ist eine nachvollziehbare Verteilung: Absenderprüfung und Transport sind die tragenden Säulen, Risiken und Trends modifizieren das Bild.

Vereinfachte Formel (Konzept)

Stark vereinfacht lässt sich der Score so beschreiben:

Gesamtscore = Basis-Konfiguration – Abzüge + Trend-Anpassungen

• Basis-Konfiguration: Punkte für sauber umgesetztes SPF/DKIM/DMARC, aktuelle TLS-Profile, gültige DNS-Ketten.
• Abzüge: für fehlende oder inkonsistente Einträge, sehr breite SPF-Records, veraltete Protokolle, unscharfe Policies.
• Trend-Anpassungen: Zu- oder Abschläge im Expert-Level, wenn sich Missbrauchssignale über längere Zeit häufen oder abnehmen.

Beispiele für Kategorien

Kategorie A+ / A – sehr gute Konfiguration

• SPF präzise definiert, nur zentrale Systeme dürfen senden.
• DKIM durchgängig aktiv, Schlüsselstärken zeitgemäß.
• DMARC mit wirksamer Policy (quarantine oder reject), Reports werden ausgewertet.
• TLS 1.2/1.3, alte Protokolle deaktiviert, MTA-STS aktiv.
• DNSSEC im Einsatz, keine offensichtlichen Altlasten.

→ Typischer Score: oberer A-Bereich, ggf. A+ bei sehr konsequenter Umsetzung.

Kategorie B / C – gewachsene Umgebung

• SPF vorhanden, aber mit vielen Includes und historischen Einträgen.
• DKIM nur für einzelne Systeme aktiv.
• DMARC mit p=none oder uneinheitlicher Auswertung.
• TLS verfügbar, aber mit Alt-Ciphers oder unscharfer Policy.
• DNSSEC teilweise oder ohne klare Dokumentation.

→ Typischer Score: B- bis C-Bereich, je nach Dichte der Probleme.

Kategorie D–F – deutlich erhöhte Risiken

• Kein oder sehr offener SPF-Record.
• Kein DKIM, fehlende oder wirkungslose DMARC-Policy.
• Veraltete Protokolle, keine ergänzenden Schutzmechanismen.
• Deutliche Missbrauchssignale (z. B. Spoofing-Wellen, hohe Fehlerraten).

→ Typischer Score: D, E oder F; hier sollten Maßnahmen Priorität haben.

Grenzen des Modells