Häufig gestellte Fragen
Was ist eine TXT-Eintrag-Abfrage?
Eine TXT-Eintrag-Abfrage fragt das DNS nach allen unter einem Domainnamen veröffentlichten Einträgen vom Typ TXT ab. Sie gibt die Rohdaten der Einträge zusammen mit den TTL-Daten zurück. Dieses Tool führt die Abfrage in Echtzeit unter Verwendung eines DNS-Resolvers Ihrer Wahl – Google, Cloudflare oder OpenDNS – durch und klassifiziert jeden Eintrag automatisch als SPF-, DMARC-, DKIM- oder Verifizierungs-Eintrag.
Kann eine Domain mehrere TXT-Einträge haben?
Ja – eine Domain kann so viele TXT-Einträge haben, wie nötig. In der Praxis verfügen die meisten Domains über mehrere: einen SPF-Eintrag, einen DMARC-Eintrag, einen oder mehrere DKIM-Einträge (einen pro Selektor/Versanddienst) sowie Einträge zur Domain-Verifizierung für Google, Microsoft oder andere Plattformen. Beachten Sie, dass eine Domain immer nureinen SPF-Eintrag haben sollte – mehrere SPF-Einträge führen dazu, dass SPF fehlschlägt.
Was bedeutet es, wenn SPF, DKIM oder DMARC den Status „Nicht gefunden“ anzeigen?
Das bedeutet, dass der Eintrag für diese Domain nicht im DNS veröffentlicht ist. Fehlt SPF, können empfangende Server Ihre autorisierten Absender nicht überprüfen – was die Wahrscheinlichkeit von Spam erhöht. Fehlt DKIM, sind E-Mails nicht signiert, was das Vertrauen mindert. Fehlt DMARC, haben Sie keine Richtlinie, die regelt, was passiert, wenn SPF oder DKIM fehlschlagen, und Sie erhalten keine Missbrauchsberichte. Alle drei sollten vorhanden sein, um eine gute Zustellbarkeit zu gewährleisten.
Wie oft werden TXT-Einträge aktualisiert?
Änderungen an TXT-Einträgen werden entsprechend dem TTL-Wert (Time to Live) des Eintrags weiterverbreitet. Ein TTL-Wert von 3600 bedeutet, dass Resolver den Eintrag bis zu einer Stunde lang zwischenspeichern, bevor sie eine neue Kopie abrufen. Die weltweite Weiterverbreitung von Änderungen dauert in der Regel zwischen einigen Minuten und 48 Stunden, abhängig vom TTL-Wert und den Cache-Zeiten der nachgelagerten Resolver. Während Migrationen lässt sich die Weiterverbreitung beschleunigen, indem Sie den TTL-Wert vorübergehend auf 300 Sekunden senken.
Was ist der Unterschied zwischen einem TXT-Eintrag und anderen DNS-Einträgen?
DNS-Eintragstypen dienen unterschiedlichen Zwecken: A-Einträge ordnen eine Domain einer IP-Adresse zu, MX-Einträge definieren Mailserver, CNAME-Einträge erstellen Aliase und NS-Einträge definieren Nameserver. TXT-Einträge speichern frei formatierten Text und werden zur Verifizierung und zur Veröffentlichung von Richtlinien verwendet – sie haben keinen Einfluss darauf, wie Ihre Domain aufgelöst wird oder wie der Datenverkehr weitergeleitet wird, werden jedoch von Mailservern und Drittanbieterdiensten gelesen.
Warum wird mein SPF-Eintrag bei der Abfrage nicht angezeigt?
Wenn der SPF-Eintrag in den Ergebnissen fehlt, sind die häufigsten Ursachen: Der Eintrag wurde noch nicht hinzugefügt oder er wurde der falschen Subdomain hinzugefügt (er sollte sich auf der Root-Domain befinden)
@), die DNS-Änderungen noch nicht übernommen wurden (warten Sie bis zu 48 Stunden) oder der Eintrag einen Syntaxfehler enthält, der die Erkennung verhindert. Versuchen Sie, im Dropdown-Menü zu einem anderen DNS-Resolver zu wechseln – Google und Cloudflare übertragen Änderungen manchmal mit unterschiedlicher Geschwindigkeit.Probieren Sie weitere E-Mail-Authentifizierungstools aus
Verbessern Sie die Sicherheit Ihrer Domain mit unseren kostenlosen Suchtools:
Überwachen Sie Ihre DNS-Einträge und E-Mail-Authentifizierung automatisch
PowerDMARC benachrichtigt Sie sofort, sobald sich Ihre SPF-, DMARC- oder DKIM-Einträge ändern – noch bevor dies Auswirkungen auf die Zustellbarkeit Ihrer E-Mails hat.
Phishing-URL-Prüfer – Ist dieser Link sicher?
Häufig gestellte Fragen
Wie kann ich überprüfen, ob ein Link sicher ist?
Fügen Sie die vollständige URL oder Domain in das obenstehende Prüftool ein und klicken Sie auf „URL prüfen“. Das Tool fragt zwei unabhängige Bedrohungsdatenbanken ab und führt strukturelle heuristische Prüfungen durch. Sie erhalten eine Vertrauensbewertung, Datenbankergebnisse und eine vollständige Aufschlüsselung der Signale – eine Registrierung ist nicht erforderlich.
Was bedeutet es, wenn eine URL in der Spamhaus DBL aufgeführt ist?
Die Spamhaus DBL ist eine der weltweit maßgeblichsten Domain-Sperrlisten, die von großen Internetdienstanbietern und Unternehmen genutzt wird. Ein Eintrag bedeutet, dass die Domain als mit Spam, Phishing oder Malware in Verbindung stehend identifiziert wurde. Behandeln Sie jede gelistete Domain als bestätigte Bedrohung und besuchen Sie sie nicht.
Ist ein einwandfreies Ergebnis eine Garantie dafür, dass die Website sicher ist?
Nein. Ein „Clean“-Ergebnis bedeutet, dass zum Zeitpunkt der Überprüfung keine bekannten Bedrohungen gefunden wurden. Es entstehen ständig neue Phishing-Seiten. Nutzen Sie dieses Tool als erste Verteidigungslinie, aber nicht als einzige.
Woran erkennt man eine Phishing-URL?
Zu den wichtigsten Warnzeichen zählen HTTP statt HTTPS, eine riskante TLD (.xyz, .tk, .gq), eine neu registrierte Domain, tief verschachtelte Subdomains, Nicht-ASCII-Zeichen und URL-Kürzer. Siehe auch:So prüfen Sie, ob ein Link sicher ist.
Was soll ich tun, wenn ich bereits auf einen verdächtigen Link geklickt habe?
Handeln Sie schnell: Trennen Sie die Internetverbindung, führen Sie einen Malware-Scan durch, ändern Sie Ihre Passwörter und achten Sie auf ungewöhnliche Aktivitäten. Wenn Sie Zahlungsdaten eingegeben haben, wenden Sie sich an Ihre Bank.Lesen Sie den vollständigen Leitfaden →
Inwiefern unterscheidet sich dieses Tool von Google Safe Browsing?
Google Safe Browsing markiert Seiten, wenn Sie versuchen, sie aufzurufen. Mit diesem Tool können Sie einen Link überprüfen, bevor Sie darauf klicken – ohne das Risiko einer Weiterleitung. Es kombiniert zwei unabhängige Bedrohungsdatenquellen mit heuristischer Analyse, um eine detailliertere Auswertung zu ermöglichen.
Probieren Sie weitere E-Mail-Authentifizierungstools aus
Verbessern Sie die Sicherheit Ihrer Domain mit unseren kostenlosen Suchtools:
Schützen Sie Ihr Unternehmen vor Phishing an der Quelle
Die E-Mail-Authentifizierungsplattform von PowerDMARC verhindert, dass Angreifer Ihre Domain fälschen, um Phishing-E-Mails an Ihre Kunden und Partner zu versenden.
IP- und Domain-Blacklist-Checker – Kostenloses Tool zur DNSBL-Abfrage
Häufig gestellte Fragen
Was ist eine DNS-Blacklist (DNSBL)?
Eine DNS-Blacklist (DNSBL) ist eine Echtzeit-Datenbank mit IP-Adressen oder Domainnamen, von denen bekannt ist, dass sie mit Spam, Malware oder anderen missbräuchlichen Aktivitäten in Verbindung stehen. Mailserver fragen bei jeder eingehenden Verbindung DNSBLs ab – wenn die IP-Adresse oder Domain des Absenders in einer Liste erscheint, der der empfangende Server vertraut, wird die E-Mail möglicherweise abgelehnt oder als Spam markiert.
Wie lange dauert es, bis man von einer schwarzen Liste gestrichen wird?
Das hängt von der jeweiligen Blacklist ab. Einträge bei Spamhaus können innerhalb weniger Stunden entfernt werden, sobald Sie einen Antrag auf Löschung stellen und die Ursache des Problems behoben haben. Barracuda bearbeitet Anträge in der Regel innerhalb von 12 bis 24 Stunden. Einige Listen verfallen automatisch nach 30 bis 90 Tagen, sofern keine weiteren Verstöße auftreten. Reputationsbasierte Listen wie Sender Score werden kontinuierlich auf der Grundlage des aktuellen Versandverhaltens aktualisiert und verfügen über kein formelles Verfahren zur Löschung.
Inwiefern hängen Blacklists mit der E-Mail-Authentifizierung (SPF, DKIM, DMARC) zusammen?
E-Mail-Authentifizierung und Blacklists funktionieren parallel. SPF, DKIM und DMARC bestätigen den empfangenden Servern, dass Ihre E-Mails legitim sind – fehlende oder fehlerhafte Authentifizierung ist einer der häufigsten Gründe, warum Domains auf Blacklists gesetzt werden. Viele Betreiber von Blacklists verlangen, dass die Authentifizierung ordnungsgemäß funktioniert, bevor sie einen Antrag auf Entfernung von der Liste bearbeiten. Eine Domain, die die DMARC-Prüfung besteht, wird von vornherein deutlich seltener auf eine Blacklist gesetzt.
Was ist der Unterschied zwischen einer DNSBL und einer RBL?
DNSBL (DNS-based Blackhole List) und RBL (Real-time Blackhole List) bezeichnen dasselbe Konzept – eine DNS-basierte Liste von IP-Adressen oder Domains, die zur Abwehr von Spam dient. RBL ist ein älterer Begriff, der auf die erste derartige Liste zurückgeht. Heute ist DNSBL der gebräuchlichere Begriff und umfasst sowohl IP-basierte als auch domänenbasierte Listen, während RBL manchmal speziell für IP-basierte Listen verwendet wird.
Wie oft sollte ich meinen Status auf der Sperrliste überprüfen?
Für Absender mit geringem Versandvolumen reicht eine wöchentliche manuelle Überprüfung aus. Für Unternehmen, die E-Mails für die Kundenkommunikation, Transaktionsnachrichten oder Marketingzwecke nutzen, wird eine kontinuierliche automatisierte Überwachung empfohlen – ein neuer Eintrag kann die Zustellbarkeit bereits innerhalb weniger Stunden nach seinem Erscheinen beeinträchtigen. Die Reputationsüberwachung von PowerDMARC überprüft Ihre IP-Adresse und Domain in Echtzeit anhand von Blacklists und sendet sofort eine Benachrichtigung, sobald ein Eintrag erkannt wird.
Was ist der Unterschied zwischen einer IP-Blacklist und einer Domain-Blacklist?
Eine IP-Blacklist enthält bestimmte IP-Adressen, die mit Spam oder Missbrauch in Verbindung stehen – in der Regel die IP-Adresse des versendenden Mail-Servers. Eine Domain-Blacklist enthält Domainnamen, die in Spam-Nachrichten vorkommen, entweder als Absenderdomain oder als Links im Nachrichtentext. Beide wirken sich auf die Zustellbarkeit aus, allerdings aus unterschiedlichen Gründen: Ein Eintrag in der IP-Blacklist betrifft alle E-Mails von diesem Server, während ein Eintrag in der Domain-Blacklist E-Mails betrifft, die diese bestimmte Domain enthalten oder von dieser gesendet werden.
Warum steht meine IP-Adresse oder Domain auf der Sperrliste?
Häufige Gründe sind: das Versenden von unerwünschten E-Mails oder Massen-E-Mails, hohe Spam-Beschwerdequoten, kompromittierte Server, die ohne Ihr Wissen Spam versenden, fehlende oder fehlerhafte SPF-/DKIM-/DMARC-Einträge, das Versenden an Spam-Fallen (aufgegebene oder Honeypot-Adressen), ein zuvor auf eine schwarze Liste gesetzter Inhaber Ihres IP-Bereichs oder Links in Ihren E-Mails, die auf auf schwarze Listen gesetzte Domains verweisen. Der erste Schritt besteht immer darin, die Ursache zu ermitteln, bevor Sie eine Entfernung beantragen.
Was ist ein Blacklist-Checker?
Ein Blacklist-Checker ist ein Tool, das mehrere DNS-Blacklists gleichzeitig abfragt und anzeigt, ob eine bestimmte IP-Adresse oder Domain in einer dieser Listen aufgeführt ist. Dieses Tool überprüft über 40 der wichtigsten DNSBLs in Echtzeit mithilfe von DNS-A-Record-Abfragen – dem gleichen Mechanismus, den auch Mailserver verwenden – und zeigt Ihnen eine nach Kategorien geordnete Aufschlüsselung aller Ergebnisse an.
Probieren Sie weitere E-Mail-Authentifizierungstools aus
Verbessern Sie die Sicherheit Ihrer Domain mit unseren kostenlosen Suchtools:
Erhalten Sie Echtzeit-Benachrichtigungen zu Blacklists mit PowerDMARC
Erfahren Sie nicht erst dann von Einträgen auf Blacklists, wenn diese Ihrer Zustellbarkeit bereits geschadet haben. PowerDMARC überwacht Ihre IP-Adresse und Ihre Domain rund um die Uhr und benachrichtigt Sie sofort, sobald ein neuer Eintrag erscheint.
DNS-Eintragssuche – Kostenloses Tool zur DNS-Prüfung
Häufig gestellte Fragen
Was ist eine DNS-Abfrage?
Bei einer DNS-Abfrage wird das Domain Name System abgefragt, um Datensätze abzurufen, die einer Domain oder IP-Adresse zugeordnet sind. Zu diesen Datensätzen gehören Routing-Anweisungen (A, AAAA, MX), Aliase (CNAME), Authentifizierungsdaten (TXT), Reverse-DNS (PTR), Nameserver-Informationen (NS) und Details zur Zonenverwaltung (SOA). Dieses Tool führt Live-Abfragen in Echtzeit durch, wobei Sie den DNS-Resolver Ihrer Wahl verwenden können.
Wie überprüfe ich die DNS-Einträge einer Domain?
Geben Sie den Domainnamen in das obige Tool ein, wählen Sie einen Eintragstyp (oder „Alle“) aus und klicken Sie auf „DNS abfragen“ – die Ergebnisse werden sofort nach Typ gruppiert angezeigt. Alternativ können Sie
nslookup -type=MX example.com in einem Terminal, obwohl dieses Tool alle Datensatztypen gleichzeitig abfragt und die Ergebnisse in einem strukturierten Format anzeigt, ohne dass ein Zugriff über die Befehlszeile erforderlich ist.
Was ist der Unterschied zwischen einem A-Eintrag und einem AAAA-Eintrag?
Ein A-Eintrag ordnet einen Domainnamen einer IPv4-Adresse zu (z. B.
93.184.216.34). Ein AAAA-Eintrag ordnet eine Domain einer IPv6-Adresse zu (z. B. 2606:2800:220:1:248:1893:25c8:1946). Die meisten Domains veröffentlichen beides – A-Einträge für die IPv4-Konnektivität und AAAA-Einträge für IPv6. Wenn nur ein A-Eintrag vorhanden ist, können reine IPv6-Clients die Domain möglicherweise nicht erreichen.Welche DNS-Einträge beeinflussen die Zustellbarkeit von E-Mails?
Drei Arten von Einträgen wirken sich direkt auf E-Mails aus:MX-Einträgelegen fest, welche Server Ihre E-Mails empfangen;TXT-Einträgeveröffentlichen SPF, DKIM und DMARC zur Authentifizierung;PTR-Einträge ordnen Ihre Absender-IP einem Hostnamen zu, der von den empfangenden Mailservern als Vertrauenssignal überprüft wird. Fehlende oder falsch konfigurierte Einträge dieser Art können dazu führen, dass E-Mails abgelehnt werden oder im Spam-Ordner landen.
Was ist der Unterschied zwischen einer DNS-Abfrage und nslookup?
nslookup ist ein in Windows, macOS und Linux integriertes Befehlszeilentool, das DNS-Abfragen über das Terminal durchführt. Dieses Tool bietet dieselben Funktionen wie im Browser – ein Zugriff auf das Terminal ist nicht erforderlich. Es fragt zudem mehrere Datensatztypen gleichzeitig ab und zeigt die Ergebnisse nach Typ gruppiert mit TTL-Werten an, was manuell mehrere separate nslookup-Befehle erfordern würde.Warum unterscheiden sich die Ergebnisse zwischen verschiedenen DNS-Resolvern?
Verschiedene DNS-Resolver (Google, Cloudflare, OpenDNS) können aufgrund von Caching leicht unterschiedliche Ergebnisse liefern – jeder Resolver speichert Einträge für die Dauer der TTL im Cache und spiegelt daher möglicherweise noch nicht die jüngsten Änderungen wider. Wenn Sie kürzlich einen DNS-Eintrag aktualisiert haben und dieser noch nicht angezeigt wird, versuchen Sie es mit einem anderen Resolver oder warten Sie, bis die TTL abgelaufen ist. Google und Cloudflare aktualisieren ihre Daten in der Regel schneller als ältere Resolver.
Probieren Sie weitere E-Mail-Authentifizierungstools aus
Verbessern Sie die Sicherheit Ihrer Domain mit unseren kostenlosen Suchtools:
Überwachen Sie Ihre DNS-Einträge und E-Mail-Sicherheit automatisch
PowerDMARC benachrichtigt Sie sofort, sobald sich Ihre DNS-Einträge ändern – noch bevor Fehlkonfigurationen die Zustellbarkeit Ihrer E-Mails oder die Sicherheit Ihrer Domain beeinträchtigen.
DANE-Datensatzprüfung
Häufig gestellte Fragen
Was ist ein TLSA-Eintrag?
Ein TLSA-Eintrag ist ein DNS-Eintragstyp (Typ 52), der von DANE verwendet wird, um ein TLS-Zertifikat oder einen öffentlichen Schlüssel einer bestimmten Domain, einem bestimmten Port und einem bestimmten Protokoll zuzuordnen. Er speichert einen durch DNSSEC gesicherten Zertifikatsfingerabdruck, sodass sich verbindende Clients das Zertifikat während des TLS-Handshakes überprüfen können, ohne auf eine Zertifizierungsstelle angewiesen zu sein.
Was bedeutet DANE im DNS?
DANE (DNS-Based Authentication of Named Entities) ist ein Sicherheitsprotokoll, das TLS-Zertifikatsinformationen mithilfe von TLSA-Einträgen direkt im DNS veröffentlicht und durch DNSSEC geschützt ist. Es macht Domaininhaber unabhängig von externen Zertifizierungsstellen, indem es ihnen ermöglicht, genau festzulegen, welchem Zertifikat für ihre Dienste vertraut werden soll.
Welchen Port und welches Protokoll sollte ich für E-Mail-DANE verwenden?
Verwenden Sie für die SMTP-E-Mail-Übertragung zwischen Mailservern den Port 25 mit TCP. Der TLSA-Eintrag ist veröffentlicht unter _25._tcp.[mx-hostname]. Beachten Sie, dass bei E-Mails die TLSA-Einträge auf dem MX-Hostnamen liegen müssen – nicht auf der Root-Domain. Verwenden Sie den Port 443 / TCP für HTTPS.
Kann ich DANE und MTA-STS zusammen verwenden?
Ja, und das wird empfohlen. DANE erzwingt TLS mithilfe von DNSSEC-gebundenen Zertifikaten, währendMTA-STSTLS über eine HTTPS-basierte Richtlinie erzwingt. Durch den Einsatz beider Verfahren wird die Abdeckung maximiert – DANE schützt vor betrügerischen Zertifizierungsstellen, während MTA-STS für sendende Server gilt, die DANE nicht unterstützen.
Brauche ich DNSSEC, damit DANE funktioniert?
Ja – DNSSEC ist eine zwingende Voraussetzung für DANE. Ohne DNSSEC könnte jeder einen gefälschten TLSA-Eintrag veröffentlichen, der auf ein bösartiges Zertifikat verweist, wodurch die gesamte Validierung sinnlos würde. DNSSEC versieht Ihre DNS-Einträge mit einer kryptografischen Signatur, sodass Resolver überprüfen können, ob diese nicht manipuliert wurden.
Was ist der Unterschied zwischen DANE-TA (Verwendungszweck 2) und DANE-EE (Verwendungszweck 3)?
DANE-TA (Trust Anchor, Verwendung 2) stimmt mit einem Zertifikat einer Zwischen- oder Stamm-Zertifizierungsstelle überein – jedes von dieser Zertifizierungsstelle signierte Zertifikat wird die Validierung bestehen. DANE-EE (End Entity, Verwendung 3) gleicht das Zertifikat oder den öffentlichen Schlüssel des Servers direkt ab. Für SMTP ist gemäß RFC 7672 die Konfiguration „Verwendung 3“ mit Selektor 1 (öffentlicher Schlüssel) und Abgleichstyp 1 (SHA-256) empfohlen.
Probieren Sie weitere E-Mail-Authentifizierungstools aus
Verbessern Sie die Sicherheit Ihrer Domain mit unseren kostenlosen Suchtools:
Überwachen Sie Ihre DANE-Einträge und E-Mail-Sicherheit rund um die Uhr
PowerDMARC überwacht automatisch Ihre TLSA-Einträge, den DNSSEC-Status und Ihre TLS-Zertifikate – und benachrichtigt Sie sofort, sobald ein Problem auftritt oder ein Zertifikat abläuft.
