E-Mail-DNS-Einträge prüfen (MX, SPF, DKIM, DMARC)

Warum das wichtig ist

Marketing schaltet Freitag SendGrid an; Montag kommen Massen-Bounces, weil SPF den falschen include listet. Security auditiert DMARC-Aggregatberichte mit unautorisierten Absendern auf Ihrer Domain. IT migriert MX zu Microsoft 365, vergisst sekundäre MX-Prioritäten — externe Mail schleift oder loop still. DNS-Eintragsprüfung gehört in jedes Deliverability-War-Room, bevor teure Consultants kommen.

Drei echte Szenarien

DevOps-Ingenieur

DNS-Cutover validieren, bevor Legacy-SMTP abgeschaltet wird

MX-Prioritäten und TTL nach regional gestaffeltem Absenken der Records abfragen.

Saubere Propagation

E-Mail-Marketerin

SPF/DKIM-Ausrichtung beim ESP-Onboarding belegen

TXT-Ketten mit v=spf1-Includes und selektorspezifischen DKIM-Keys erfassen.

Screenshots für Tickets

Security-Analyst

Schwache DMARC-Policies erkennen

Prüfen, ob Domains noch p=none ohne schrittweisen Enforcement-Plan veröffentlichen.

Klare Empfehlungen

Schritt für Schritt

Öffnen Sie E-Mail-DNS-Check.

Domain oder selektorspezifische Labels eingeben
Root-Domain für MX/SPF/DMARC; DKIM oft selector._domainkey.example.com — ESP-Doku bestätigen.
Record-Typen wählen
MX für Routing, TXT für SPF/DMARC/DKIM-Blobs, CNAME bei DKIM-Delegation an Vendor — nach Bedarf mehrfach auswählen.
TTL und Authority prüfen
Kurze TTL hilft Migrationen, erhöht Resolver-Last — Werte für Rollback-Fenster notieren.
Diagnoseauszug kopieren
In Vendor-Tickets mit Zeitstempeln einfügen, damit Support Propagation nachvollzieht.

SPF-Snippet-Sanity-Check

Input

Domain: example.com
Record: TXT (SPF)

Output

v=spf1 include:_spf.google.com include:sendgrid.net ~all
(Then verify includes resolve and mechanisms stay under DNS lookup limits)

Profi-Tipps

Mit URL-Parser koppeln, wenn Sie mailto:-Links in verdächtigen PDFs zerlegen.
Über mehrere Resolver gegenprüfen: Corporate Split-Horizon-DNS kann zur öffentlichen Internetwahrheit lügen — Tool-Ausgabe mit dig aus Cloud-Shells vergleichen, wenn Eskalationen bleiben.
Änderungen sequenziell dokumentieren: DMARC-Verschärfung gehört in Change-Tickets mit Vorher/Nachher-TXT-Snapshots.

Typische Stolpersteine

Stolperstein

DNS-Propagationsverzögerung

Gecachte Antworten hinken der globalen Realität hinterher — TTL-Fenster abwarten, bevor nach Vendor-Wechsel über Nacht «Fehler» verkündet wird.

Stolperstein

Mehrere SPF-TXT-Records

Standards erwarten einen SPF-TXT pro Zone — versehentliche Duplikate erzeugen permanente Fails.

Stolperstein

DKIM-Selektor-Rotation

Alte Selektor-Einträge bleiben bei Key-Rotation bestehen — bis Empfänger Cache aktualisieren, alt/neu parallel validieren.

Wann dieses Tool nicht passt

Mailbox-Level-MIME-Debugging: Roh-.eml-Header im Mailclient holen.
SMTP-Gesprächsspuren: brauchen Serverlogs (STARTTLS, AUTH) jenseits DNS.
Reputation-Scoring: Talos/SenderScore ergänzen DNS-Hygiene statt sie zu ersetzen.

FAQ

Werden Lookups zentral geloggt?

Abfragen laufen in Ihrer Browserumgebung nach MoreKits-Privacy — ultra-sensible interne Subdomain-Schemata dennoch nicht auf gemeinsamen Maschinen tippen, wenn die Policy es verbietet.

Sendet das Tool Test-Mails?

Nein — es liest nur DNS; Deliverability-Tests brauchen weiter Inbox-Placement-Tooling mit Seeds über Provider hinweg.

IPv6-Überlegungen

Manche MX-Ziele publizieren AAAA-Records — Dual-Stack-Erreichbarkeit separat von DNS-Korrektheit prüfen.

Nächste Schritte

Wi-Fi-QR-Specs vor Büroumzug mit dem Wi‑Fi-QR-Generator kodieren.
Webhook-Secrets mit dem HMAC-Generator hashen.
Verdächtige URLs strukturell mit dem URL-Parser vergleichen.

Warum das wichtig ist

Drei echte Szenarien

DevOps-Ingenieur

DNS-Cutover validieren, bevor Legacy-SMTP abgeschaltet wird

MX-Prioritäten und TTL nach regional gestaffeltem Absenken der Records abfragen.

Saubere Propagation

E-Mail-Marketerin

SPF/DKIM-Ausrichtung beim ESP-Onboarding belegen

TXT-Ketten mit v=spf1-Includes und selektorspezifischen DKIM-Keys erfassen.

Screenshots für Tickets

Security-Analyst

Schwache DMARC-Policies erkennen

Prüfen, ob Domains noch p=none ohne schrittweisen Enforcement-Plan veröffentlichen.

Klare Empfehlungen

Schritt für Schritt

Domain oder selektorspezifische Labels eingeben

Root-Domain für MX/SPF/DMARC; DKIM oft selector._domainkey.example.com — ESP-Doku bestätigen.

Record-Typen wählen

MX für Routing, TXT für SPF/DMARC/DKIM-Blobs, CNAME bei DKIM-Delegation an Vendor — nach Bedarf mehrfach auswählen.

TTL und Authority prüfen

Kurze TTL hilft Migrationen, erhöht Resolver-Last — Werte für Rollback-Fenster notieren.

Diagnoseauszug kopieren

In Vendor-Tickets mit Zeitstempeln einfügen, damit Support Propagation nachvollzieht.

SPF-Snippet-Sanity-Check

Input

Domain: example.com
Record: TXT (SPF)

Output

v=spf1 include:_spf.google.com include:sendgrid.net ~all
(Then verify includes resolve and mechanisms stay under DNS lookup limits)

Profi-Tipps

Mit URL-Parser koppeln, wenn Sie mailto:-Links in verdächtigen PDFs zerlegen.

Über mehrere Resolver gegenprüfen: Corporate Split-Horizon-DNS kann zur öffentlichen Internetwahrheit lügen — Tool-Ausgabe mit dig aus Cloud-Shells vergleichen, wenn Eskalationen bleiben.

Änderungen sequenziell dokumentieren: DMARC-Verschärfung gehört in Change-Tickets mit Vorher/Nachher-TXT-Snapshots.

Typische Stolpersteine

Stolperstein

DNS-Propagationsverzögerung

Gecachte Antworten hinken der globalen Realität hinterher — TTL-Fenster abwarten, bevor nach Vendor-Wechsel über Nacht «Fehler» verkündet wird.

Stolperstein

Mehrere SPF-TXT-Records

Standards erwarten einen SPF-TXT pro Zone — versehentliche Duplikate erzeugen permanente Fails.

Stolperstein

DKIM-Selektor-Rotation

Alte Selektor-Einträge bleiben bei Key-Rotation bestehen — bis Empfänger Cache aktualisieren, alt/neu parallel validieren.

FAQ

Werden Lookups zentral geloggt?

Abfragen laufen in Ihrer Browserumgebung nach MoreKits-Privacy — ultra-sensible interne Subdomain-Schemata dennoch nicht auf gemeinsamen Maschinen tippen, wenn die Policy es verbietet.

Sendet das Tool Test-Mails?

Nein — es liest nur DNS; Deliverability-Tests brauchen weiter Inbox-Placement-Tooling mit Seeds über Provider hinweg.

IPv6-Überlegungen

Manche MX-Ziele publizieren AAAA-Records — Dual-Stack-Erreichbarkeit separat von DNS-Korrektheit prüfen.