Angreifer fälschen Absenderadressen („Spoofing“), um vertrauliche Daten oder Zahlungen zu erschleichen.
Mit unserem kostenlosen Spoofing-Test erfahren Sie in Sekunden, ob SPF, DKIM und
DMARC korrekt eingerichtet sind – und wie Sie Lücken sofort schließen.
SPF • DKIM • DMARC
Konkrete Handlungstipps
Für IT & Marketing
Was ist Email-Spoofing – und warum betrifft es jede Domain?
Email-Spoofing ist eine häufige Betrugsmethode, bei der Angreifer E-Mails mit gefälschten Absenderadressen versenden. Dabei geben sie sich als legitimer Absender Ihrer Domain aus (z. B. [email protected]) – ohne Zugriff auf Ihr Postfach zu haben.
Das Ziel dieser Angriffe ist Social Engineering: Empfänger werden manipuliert, auf Links zu klicken, Anhänge zu öffnen oder Zahlungen zu autorisieren.
Warum ist ein Spoofing Check wichtig?
Jede Domain kann betroffen sein. Ein Email Spoofing Test hilft, Missbrauch frühzeitig zu erkennen und Ihre Absender-Domain zu schützen. Unternehmen riskieren sonst nicht nur Datenverlust, sondern auch Vertrauensschäden bei Kunden und Partnern.
So schützen Sie Ihre Domain vor Spoofing
Die wirksamste Abwehr gegen Email-Spoofing basiert auf drei DNS-Technologien:
-
SPF – Legt fest, wer E-Mails für Ihre Domain versenden darf.
-
DKIM – Stellt sicher, dass eine E-Mail unverändert übermittelt wurde.
-
DMARC – Definiert die Policy, analysiert Reports und regelt, wie Empfänger mit gefälschten E-Mails umgehen sollen.
Ein korrekter SPF-, DKIM- und DMARC-Eintrag ist die Grundlage, um Ihre E-Mail-Adresse zu schützen und Spoofing effektiv zu verhindern.
So funktioniert der kostenlose Email Spoof Test
-
Geben Sie Ihre Domain oder E-Mail-Adresse ein (ohne „www“, z. B. ihre-domain.de).
-
Der Mail Spoof Test liest automatisch die DNS-Einträge für SPF, DKIM und DMARC aus.
-
Sie erhalten ein klares Ergebnis mit Ampelbewertung und konkreten Empfehlungen.
💡 Tipp: Prüfen Sie alle aktiv genutzten Absender-Domains –
z. B. Hauptdomain, Subdomains wie mail. oder news., sowie Third-Party-Absender wie CRM- oder Newsletter-Systeme.
Jetzt Ihre E-Mail-Adresse prüfen
Nutzen Sie unseren Spoofing Check, um Ihre Domain abzusichern.
✅ Email Adresse prüfen – und sofort sehen, ob Ihre SPF-, DKIM- und DMARC-Einträge korrekt konfiguriert sind.
✅ Email Spoof Test durchführen – in nur wenigen Sekunden.
✅ Email Spoofing Test – für mehr Sicherheit und Vertrauen.
👉 Starten Sie jetzt Ihren Mail Spoof Test und schützen Sie Ihre Domain vor Missbrauch.
SPF – Sender Policy Framework
SPF definiert in einem DNS-TXT-Record, welche Server im Namen Ihrer Domain E-Mails
versenden dürfen. Fehlt SPF oder ist er unvollständig, können Gateways Fälschungen schwerer erkennen.
DKIM – DomainKeys Identified Mail
DKIM signiert ausgehende Nachrichten kryptografisch. Empfänger prüfen die Signatur via öffentlichem
Schlüssel im DNS. Manipulationen am Inhalt werden dadurch erkennbar.
DMARC – Domain-based Message Authentication, Reporting & Conformance
DMARC legt fest, wie Empfänger mit Mails umgehen sollen, die SPF/DKIM-Prüfungen nicht bestehen.
Die Policy kann auf none (nur Bericht), quarantine (in Spam) oder
reject (ablehnen) stehen. Zusätzlich liefert DMARC wertvolle Aggregate-Reports (RUA) und
Forensik-Reports (RUF).
| Mechanismus | Zweck | Minimaler Soll-Zustand | Best Practice |
|---|---|---|---|
| SPF | Versender autorisieren | Ein korrekter v=spf1 Eintrag mit allen genutzten Sendequellen |
Keine übermäßig weiten Mechanismen (+a/+mx nur wenn nötig), -all am Ende |
| DKIM | Inhaltsintegrität prüfen | Aktiver DKIM-Key pro sendendem System | 2048-Bit Schlüssel, Key-Rotation, mehrere Selector für getrennte Systeme |
| DMARC | Policy & Reporting | p=none mit rua= Reports |
Schrittweise auf quarantine → reject, Alignment adkim/aspf=s, Subdomain-Policy sp= |
Typische Befunde & was Sie konkret tun sollten
| Fehlerbild | Risiko | Empfohlene Maßnahme |
|---|---|---|
| Kein SPF vorhanden | Hohe Spoofing-Gefahr; Zustellprobleme | SPF erstellen, alle legitimen Sendequellen aufnehmen, mit -all abschließen |
| SPF zu lang / zu viele Lookups | SPF-Permerror; E-Mails werden abgewiesen | Mechanismen konsolidieren, Subnetze statt Einzel-IPs, DNS-Flattening nutzen |
| Kein DKIM / veralteter Key (1024 Bit) | Integritätsprüfung schwach; höhere Spam-Quote | DKIM aktivieren, 2048 Bit Schlüssel, jährliche Rotation, korrekte Selector-Pflege |
DMARC auf p=none ohne Auswertung |
Fälschungen werden zwar erkannt, aber nicht konsequent behandelt | RUA/RUF aktiv auswerten, dann Policy stufenweise auf quarantine → reject anheben |
| Kein Alignment (SPF/DKIM „relaxed“ trifft nicht) | Legitime Mails fallen durch, Fälschungen passieren | aspf/adkim prüfen, Absender-Domain (From) und Sende-Domains harmonisieren |
Schritt-für-Schritt: Von „none“ zu „reject“ – sicher & ohne Ausfälle
Phase 1 – Sichtbarkeit
- DMARC mit
p=none,rua=mailto:...aktivieren - Reports 2–4 Wochen sammeln und analysieren
- Alle legitimen Sendequellen in SPF/DKIM ergänzen
Phase 2 – Eindämmen
- Policy auf
quarantine(z. B.pct=25) setzen - Fehlalarme beobachten, legitime Systeme nachpflegen
- Alignment auf „strict“ testen (
aspf=s,adkim=s)
Phase 3 – Durchsetzen
p=reject(ggf. stufenweise viapct)- Subdomain-Policy
sp=setzen - Monitoring & Key-Rotation etablieren
Optional – BIMI & Vertrauen
- VMC/Logo hinterlegen (BIMI), wenn Policy auf
quarantine/reject - Markenvertrauen & Öffnungsraten steigern
FAQ – Häufige Fragen zum Spoof-Test
Reicht es, nur SPF zu haben?
Nein. SPF allein schützt nicht zuverlässig (Stichwort: Weiterleitungen). Sie benötigen mindestens SPF und DKIM, idealerweise gesteuert über DMARC.
Warum zeigt der Test „DMARC none“ an – ist das unsicher?
p=none bedeutet, dass Empfänger nur berichten, aber nicht eingreifen. Das ist für die Startphase gut – dauerhaft sollten Sie auf quarantine oder reject erhöhen.
Kann der Test Zustellprobleme verursachen?
Nein. Der Test liest ausschließlich öffentliche DNS-Einträge. Änderungen an SPF/DKIM/DMARC wirken sich erst aus, wenn Sie Ihre DNS-Records anpassen.
Ich nutze mehrere Tools (z. B. Microsoft 365, Newsletter, CRM). Ist das ein Problem?
Nicht, wenn alle Systeme korrekt in SPF/DKIM/DMARC abgebildet sind. Unser Test hilft, fehlende Einträge zu identifizieren.
Bonus: Kurzanleitung zur Selbstprüfung (ohne Tool)
Diese Befehle lesen nur öffentliche DNS-Informationen. Erfordern Terminal-Zugriff.
| Ziel | Befehl | Erwartung |
|---|---|---|
| SPF prüfen | nslookup -type=TXT ihre-domain.tld |
Eintrag mit v=spf1 und legitimen Sendern, Abschluss -all |
| DKIM prüfen | nslookup -type=TXT selector._domainkey.ihre-domain.tld |
Eintrag mit v=DKIM1 und öffentlichem Schlüssel |
| DMARC prüfen | nslookup -type=TXT _dmarc.ihre-domain.tld |
v=DMARC1; p=none/quarantine/reject; rua=mailto:… |
