So beheben Sie den Fehler „Reverse DNS stimmt nicht mit dem SMTP-Banner überein“
von
Zuletzt aktualisiert: Lesezeit: 7 min
Wichtigste Erkenntnisse
- Reverse DNS (PTR-Einträge) müssen mit dem Hostnamen übereinstimmen, der in Ihrem SMTP-Banner (HELO/EHLO) verwendet wird.
- Eine Diskrepanz zwischen PTR-Einträgen und SMTP-Bannern löst Spam-Filter aus und verringert die Zustellbarkeit in den Posteingängen.
- Die meisten E-Mail-Anbieter verlangen zur Vertrauenswürdigkeit ein Forward-Confirmed Reverse DNS (FCrDNS).
- Der Hostname Ihres Mail-Servers muss ein vollqualifizierter Domänenname (FQDN) sein.
- Das SMTP-Banner, der PTR-Eintrag und der A-Eintrag müssen alle auf dieselbe IP-Adresse verweisen.
- Cloud-VPS-Anbieter weisen häufig Standard-PTR-Einträge zu, die manuell aktualisiert werden müssen.
- Probleme mit Reverse DNS können zu Drosselung oder Ablehnung führen, bevor DMARC ausgewertet wird.
- Eine korrekte rDNS-Ausrichtung stärkt die Wirksamkeit von SPF, DKIM und DMARC.
- Regelmäßige Audits verhindern stille Zustellungsfehler, die durch DNS-Drift verursacht werden.
Wenn Sie Ihren eigenen Mailserver verwalten, werden Sie bei einem E-Mail-Zustellbarkeitstest wahrscheinlich auf den Fehler „Reverse DNS stimmt nicht mit dem SMTP-Banner überein” stoßen. Diese Warnung ist nicht nur kosmetischer Natur. Wenn Sie sie ignorieren, schadet dies direkt der Vertrauenswürdigkeit Ihrer E-Mails, erhöht die Spam-Filterung und kann dazu führen, dass große Anbieter wie Gmail und Outlook Ihre Nachrichten vollständig ablehnen.
Reverse DNS fungiert als Ausweis Ihres Servers, während das SMTP-Banner als Handshake dient. Wenn diese beiden Identifikatoren nicht übereinstimmen, behandeln empfangende Server Ihre E-Mails als verdächtig. Diese Nichtübereinstimmung deutet auf eine schlechte Serverhygiene hin und ist ein häufiges Merkmal von Spam-Infrastrukturen.
Was bedeutet „Reverse DNS stimmt nicht mit dem SMTP-Banner überein”?
„Reverse DNS stimmt nicht mit dem SMTP-Banner überein“ bedeutet, dass der mit Ihrer sendenden IP-Adresse verknüpfte Hostname (Reverse DNS oder PTR-Eintrag) nicht mit dem Hostnamen übereinstimmt, den Ihr Mailserver in seiner SMTP-Begrüßung (HELO/EHLO) angibt. Wenn diese nicht übereinstimmen, betrachten empfangende Mailserver die Verbindung als nicht vertrauenswürdig und markieren oder blockieren Ihre E-Mails möglicherweise.
Betrachten Sie dies als einen Verifizierungsprozess zwischen zwei Servern.
Reverse DNS
Standard-DNS wandelt einen Domainnamen in eine IP-Adresse um. Reverse-DNS macht das Gegenteil: Es sieht sich eine IP-Adresse an und fragt: „Welcher Name ist damit verbunden?“ Dies wird durch einen PTR-Eintrag geregelt.
SMTP-Banner (HELO/EHLO)
Wenn Ihr Server eine Verbindung zu einem anderen Server herstellt, stellt er sich mit einer Begrüßung vor, die als SMTP-Banner bezeichnet wird. Diese Begrüßung enthält einen Hostnamen (z. B. mail.example.com).
Der Vergleich
Wenn Ihre E-Mail eintrifft, überprüft der empfangende Server Ihre IP-Adresse und den PTR-Eintrag. Wenn der PTR-Eintrag „server1.isp-provider.net“ lautet, Ihr SMTP-Banner jedoch „mail.yourdomain.com“ anzeigt, liegt eine Diskrepanz vor.
Ein kurzes Beispiel:
- IP-Adresse: 1.2.3.4
- SMTP-Banner: mail.business.com
- PTR-Eintrag (Reverse DNS): 1-2-3-4.dynamic.cloudhost.com
- Ergebnis: Fehler! Die Identitäten stimmen nicht überein.
| Komponente | Beispiel (Bestanden) | Beispiel (Fehler) |
|---|---|---|
| IP-Adresse | 1.2.3.4 | 1.2.3.4 |
| PTR-Satz | mail.beispiel.com | host-1-2-3-4.isp.net |
| SMTP-Banner | mail.beispiel.com | mail.beispiel.com |
| Eine Aufzeichnung | mail.example.com → 1.2.3.4 | mail.example.com → 1.2.3.4 |
| Ergebnis | MATCH / VERTRAUEN | FEHLPASUNG / SPAM |
Warum dieser Fehler für die Zustellbarkeit von E-Mails wichtig ist
Empfangsserver nutzen diese Überprüfung, um Spammer schnell zu erkennen.
1. Spamfilter-Auslöser
Spammer verwenden häufig nicht konfigurierte Server oder Botnets. Ein generischer oder nicht passender Hostname ist eines der ersten Dinge, die ein Spamfilter markiert.
2. Reputation und Vertrauen
Große Internetdienstanbieter priorisieren Forward-Confirmed Reverse DNS. Das bedeutet, dass Ihre IP-Adresse auf einen Namen verweist und dieser Name wiederum auf dieselbe IP-Adresse zurückverweist. Wenn Sie dies nicht haben, sinkt Ihre „Vertrauenswürdigkeit“.
3. Authentifizierungssignale
Obwohl technisch getrennt von SPF, DKIM und DMARC, ist rDNS Teil des „Gesamtbildes” der Serverintegrität. Wenn Ihre grundlegende Verbindung chaotisch ist, reicht Ihre DMARC-Richtlinie möglicherweise nicht aus, um Ihre Reputation zu retten.
Häufige Ursachen für die Diskrepanz
Hier sind einige häufige Ursachen für Inkompatibilitäten.
Standard-Cloud-Hostnamen
Sie verwenden einen VPS und haben den vom Anbieter zugewiesenen Standard-PTR-Eintrag nicht geändert.
Die MTA-Konfiguration vergessen
Sie haben Ihre DNS-Einträge aktualisiert, aber vergessen, die tatsächlichen Einstellungen in Ihrer E-Mail-Software zu aktualisieren.
Gemeinsames Hosting
Sie befinden sich auf einer gemeinsam genutzten IP-Adresse, bei der der Anbieter den PTR auf seine eigene primäre Domain und nicht auf Ihre eingestellt hat.
Fragen zum geistigen Eigentum
Sie haben keine Berechtigung, den PTR-Eintrag zu ändern, da die IP-Adresse von einem ISP verwaltet wird, der Ihnen keine Kontrollrechte übertragen hat.
So überprüfen Sie Ihre aktuellen Werte
Bevor Sie mit der Änderung der Einstellungen beginnen, müssen Sie sehen, was der Rest der Welt sieht.
1. Überprüfen Sie den PTR-Eintrag.
Führen Sie einen kurzen Terminalbefehl aus, um zu sehen, welcher Hostname mit Ihrer IP-Adresse verknüpft ist:
- Mac/Linux: dig -x [Ihre_IP-Adresse]
- Windows: nslookup [Ihre_IP-Adresse]
2. Überprüfen Sie den SMTP-Banner.
Verwenden Sie Telnet oder OpenSSL, um zu sehen, wie Ihr Server andere begrüßt. In der ersten Zeile der Antwort wird der Hostname Ihres SMTP-Banners angezeigt.
3. Verwenden Sie ein zentralisiertes Tool
Eine manuelle Überprüfung ist in Ordnung, aber Tools wie DNS Record Lookup von PowerDMARC können Ihnen zeigen, wie Ihre PTR- und A-Einträge global aussehen, um sicherzustellen, dass es keine „DNS-Verzögerung” gibt, die zu falschen Ergebnissen führt.
So beheben Sie Schritt für Schritt den Fehler „Reverse DNS stimmt nicht mit dem SMTP-Banner überein“
Hier sind einige wichtige Schritte, die Sie unternehmen sollten, um den Fehler zu beheben.
Schritt 1: Identifizieren Sie die sendende IP-Adresse.
Überprüfen Sie die genaue öffentliche IP-Adresse, die Ihr Mailserver zum Versenden von E-Mails verwendet. Wenn Sie sich hinter einer Firewall, einem NAT oder einem Proxy befinden, kann diese von der IP-Adresse Ihres lokalen Servers abweichen.
Schritt 2: Korrigieren Sie den PTR-Eintrag.
Dies ist der Punkt, an dem die meisten Leute scheitern. In der Regel können Sie dies nicht im DNS-Panel Ihrer Domain ändern. Sie müssen dies über das Unternehmen tun, dem die IP gehört.
- Cloud VPS: Gehen Sie zum Dashboard Ihres Providers (Bereich „Netzwerk/Statische IP“) und suchen Sie nach „Reverse DNS“ oder „PTR“.
- Dedicated/On-Premise: Möglicherweise müssen Sie ein Support-Ticket bei Ihrem Internetdienstanbieter eröffnen.
- Das Ziel: Stellen Sie den PTR auf einen vollqualifizierten Domänennamen ein.
Schritt 3: Aktualisieren Sie das SMTP-Banner (HELO/EHLO)
Stellen Sie nun sicher, dass Ihr Server seinen Namen kennt. Viele Mailserver verwenden eine Standard-Banner-Vorlage für die SMTP-Begrüßung. Daher müssen Sie Ihren Mail Transfer Agent so konfigurieren, dass er denselben FQDN angibt, den Sie in Schritt 2 festgelegt haben.
- Postfix: Bearbeiten Sie die Datei /etc/postfix/main.cf und aktualisieren Sie myhostname = mail.example.com.
- Exim: Aktualisieren Sie den primary_hostname in Ihrer Konfigurationsdatei.
- Starten Sie den Dienst nach den Änderungen neu!
Schritt 4: Stellen Sie sicher, dass die Forward-DNS übereinstimmt
Der Hostname, den Sie in Schritt 2 und 3 verwendet haben, muss ebenfalls über eine A-Eintrag , der auf Ihre IP-Adresse verweist. Wenn der PTR auf den Namen und der Name auf die IP verweist, erreichen Sie Forward-Confirmed Reverse DNS (FCrDNS).
Bewährte Verfahren zur Vermeidung von Reverse-DNS-Fehlern
Befolgen Sie diese Vorgehensweisen, um Reverse-DNS-Fehler zu vermeiden.
Eine IP pro Hostname
Wenn möglich, sollten Sie Ihre Benennungskonvention für E-Mails einheitlich halten (z. B. mail1.domain.com).
Vermeiden Sie generische Bezeichnungen
Lassen Sie Ihr rDNS niemals als static.123.45.clients.provider.com stehen.
Regelmäßige Audits
Verwenden Sie automatisierte Tools, um Ihre Infrastruktur zu überwachen. PowerDMARCbietet beispielsweise eine Echtzeitüberwachung, die Sie benachrichtigt, wenn Ihre Datensätze nicht mehr übereinstimmen oder Ihre IP-Adresse auf einer Blacklist landet.
Mit Authentifizierung ausrichten
Stellen Sie sicher, dass Ihr Reverse-DNS-Hostname in Ihrem SPF-Eintrag enthalten ist, um „Soft Fails” zu vermeiden.
Wie dieser Fehler mit DMARC und E-Mail-Authentifizierung zusammenhängt
Während DMARC sich auf die Integrität der Nachricht konzentriert, konzentrieren sich Reverse DNS und das SMTP-Banner auf die Integrität der Verbindung. Stellen Sie sich das wie zwei Sicherheitsebenen vor: eine für das Paket und eine für den Lieferwagen.
So untergräbt eine Nichtübereinstimmung Ihre allgemeine Authentifizierungsstrategie:
Priorität der Bewertung
Die meisten empfangenden Server führen eine „Handshake“-Prüfung durch, bevor sie überhaupt Ihre DMARC- oder DKIM-Einträge überprüfen. Wenn Ihr rDNS und Ihr Banner nicht übereinstimmen, wird Ihre E-Mail möglicherweise gedrosselt oder am Gateway abgelehnt, bevor Ihre DMARC-„Reject“-Richtlinie überhaupt die Möglichkeit hat, die Legitimität der Nachricht zu bestätigen.
Das Signal „Professionalität“
Sicherheitsfilter verwenden die rDNS-Ausrichtung als Indikator für den Serverzustand. Eine Nichtübereinstimmung deutet auf einen schlecht konfigurierten oder gekaperten Server hin, wie er typischerweise für Botnets verwendet wird. Dies kann zu einer niedrigeren Reputationsbewertung führen, unabhängig davon, wie perfekt Ihre SPF-Einträge sind.
FCrDNS-Konformität
Große Internetdienstanbieter verlangen oft Forward-Confirmed Reverse DNS als Grundlage für die Vertrauenswürdigkeit. Wenn Ihr SMTP-Banner nicht mit Ihren PTR- und A-Einträgen übereinstimmt, scheitern Sie an dieser Überprüfung, wodurch Ihre DMARC-konformen E-Mails verdächtig erscheinen.
Unsichtbare Fehler
Ohne eine Plattform wie PowerDMARC bleiben diese Infrastrukturdefizite oft unbemerkt. Standard-DNS-Prüfungen zeigen zwar möglicherweise an, dass Ihre Einträge „aktiv“ sind, aber sie geben nicht immer Aufschluss darüber, wie das Gateway eines Empfängers die Diskrepanz zwischen Ihrem Banner und Ihrer IP-Adresse interpretiert.
Wie PowerDMARC die rDNS- und SMTP-Ausrichtung automatisiert
Die manuelle Überprüfung von Terminalbefehlen und die Anmeldung bei verschiedenen VPS-Dashboards kann zeitaufwändig sein und zu menschlichen Fehlern führen. PowerDMARC bietet eine zentralisierte Suite von Tools, die dafür sorgen, dass der „Handshake“ Ihres Servers immer gültig ist und von globalen ISPs als vertrauenswürdig eingestuft wird.
1. Echtzeit-PTR- und FCrDNS-Validierung
Unser DNS-Eintragssuchtool geht über grundlegende Überprüfungen hinaus. Es überprüft FCrDNS, indem es gleichzeitig Ihren PTR-Eintrag überprüft und sicherstellt, dass der resultierende Hostname auf Ihre sendende IP-Adresse zurückverweist. Auf diese Weise können Sie „halbkonfigurierte“ Einstellungen identifizieren, bei denen ein PTR-Eintrag vorhanden ist, aber nicht richtig mit einem A-Eintrag abgeglichen ist.
2. Proaktive Überwachung und Warnmeldungen
DNS-Drift kommt vor, Cloud-Anbieter setzen manchmal Einträge zurück oder IP-Bereiche werden neu zugeordnet. Reputationsüberwachungsdienste überwachen Ihre Infrastruktur rund um die Uhr. Wenn Ihre rDNS-Ausrichtung unterbrochen wird oder Ihre Server-IP aufgrund eines Konfigurationsfehlers plötzlich auf einer Blacklist erscheint, erhalten Sie eine Warnung, bevor Ihre Zustellbarkeitsraten zu sinken beginnen.
3. Ganzheitliches Dashboard zur Zustellbarkeit
Während rDNS die Verbindungsebene verwaltet, verknüpft PowerDMARC diese Daten mit Ihrer SPF-, DKIM- und DMARC-Leistung. Anhand Ihrer aggregierten RUA-Berichte können Sie erkennen, ob bestimmte IP-Adressen hohe Ablehnungsraten von Gmail oder Outlook aufweisen, und so Probleme bei der Zustellbarkeit auf nicht übereinstimmende SMTP-Banner zurückführen.
Abschließende Checkliste
- Der PTR-Eintrag stimmt mit dem SMTP-Banner überein.
- Das SMTP-Banner stimmt mit dem Forward-DNS (A-Eintrag) überein.
- Die IP-Reputation ist gut (nicht auf Blacklists).
- SPF, DKIM und DMARC sind vollständig konfiguriert und aufeinander abgestimmt.
Resümee
Letztendlich dreht sich bei E-Mails alles um Vertrauen. Wenn Ihre IP-Adresse und Ihre Server-Begrüßung nicht übereinstimmen, wird es Ihnen schwerfallen, in den Posteingang zu gelangen. Die Angleichung Ihrer Datensätze ist nicht nur eine „bewährte Vorgehensweise“, sondern eine Notwendigkeit, wenn Sie möchten, dass Ihre E-Mails tatsächlich gelesen werden.
Infrastrukturfehler wie dieser können schwer aufzuspüren sein. PowerDMARC erleichtert Ihnen die Arbeit, indem es Ihre Konfiguration überwacht und Ihnen klare Berichte darüber liefert, was funktioniert und was nicht. Es erkennt diese Konfigurationslücken, bevor sie zu einem Albtraum für die Zustellbarkeit werden.
Testen Sie die kostenlose Testversion von PowerDMARC und sehen Sie genau, wie Ihre Server für den Rest der Welt aussehen.
Häufig gestellte Fragen
Kann ich einen PTR-Eintrag bei meinem Domain-Registrar korrigieren?
Nein. PTR-Einträge sind an die IP-Adresse gebunden. Sie müssen sich an Ihren Host oder Ihren Internetdienstanbieter wenden.
Wird DMARC deswegen fehlschlagen?
Nicht unbedingt, aber Sie könnten trotzdem blockiert werden. Viele Filter überprüfen den Banner „Handshake“, bevor sie sich überhaupt Ihre DMARC-Einträge ansehen.
Warum ist der Fehler immer noch vorhanden, nachdem ich ihn behoben habe?
DNS-Propagierung. Es kann bis zu 24 Stunden dauern, bis sich neue Einträge im Internet verbreiten.
Was ist, wenn ich mehrere Domains auf einer IP habe?
Keine Sorge, das ist völlig normal. Sie benötigen nicht für jede Domain ein anderes Banner. Wählen Sie einfach einen „Hauptnamen” für Ihren Server und stellen Sie sicher, dass Ihr PTR, SMTP-Banner und A-Eintrag alle auf diesen einen Namen verweisen. Solange sie miteinander übereinstimmen, sind die anderen Domains, die von dieser IP senden, kein Problem.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.
Neueste Beiträge von Yunes Tarada (alle anzeigen)
- Verifiziertes Markenzeichen vs. gewöhnliches Markenzeichen: Die richtige Wahl treffen – 10. März 2026
- Spam Confidence Level (SCL) -1 Umgehung: Was das bedeutet und wie man damit umgeht – 4. März 2026
- „DMARC-Überprüfung nicht bestanden und DMARC-Richtlinie auf Ablehnung gesetzt“: Was das bedeutet und wie man das Problem behebt – 26. Februar 2026
