Methodik & Funktionsweise
Was wird geprueft?
Umfassende Mail-Infrastruktur-Analyse: MX-Topologie (alle Prio-Stufen mit IPv4/IPv6/PTR/Reachability), echter STARTTLS-Handshake auf Port 25 mit Zertifikat-Parsing und Hostname-Matching, Implicit-TLS-Probe auf Port 465, Submission-Port 587 mit AUTH-Mechanism-Audit, DANE/TLSA-Lookup + Verification, VRFY/EXPN-User-Enumeration-Test, Open-Relay-Check, kompletter Mail-DNS-Stack (SPF/DMARC/DKIM/MTA-STS/TLS-RPT/CAA/BIMI), MX-Blacklist-Check und priorisierte Handlungsempfehlungen.
Wie funktioniert es?
Zuerst MX-Auflösung + Reverse-DNS, dann parallel: (1) klassische SMTP-Session für Banner/EHLO/Open-Relay/Transaction-Time. (2) Ausgehende STARTTLS-Verhandlung mit TLS-Upgrade und Zertifikat-Extraktion (Subject/Issuer/SAN/Wildcard/Ablauf/SPKI-Hash). (3) Implicit-TLS auf Port 465. (4) EHLO+STARTTLS auf Port 587 mit AUTH-Mechanism-Parse. (5) DANE-TLSA-Lookup und Vergleich gegen SHA-256-Hash des Live-Certs (usage=3, matching=1). (6) VRFY/EXPN-Test für User-Enumeration. (7) DNS-Stack über 13 häufige DKIM-Selektoren, SPF-Qualifier-Parse, DMARC-Breakdown, MTA-STS DNS + .well-known-Policy-Fetch, MTA-STS-vs-actual-MX-Match. (8) Blacklist-Check gegen Spamhaus ZEN, Spamcop, SORBS, Barracuda, CBL. (9) Regelbasierte Recommendation-Engine.
Beispiel-Ergebnis
example.com → 3 MX-Hosts · STARTTLS TLS 1.3 ECDHE-RSA-AES256-GCM · Cert *.example.com 84 Tage · SAN matcht ✓ · Submission 587 mit STARTTLS+AUTH PLAIN LOGIN · DANE verified · SPF -all · DMARC p=reject rua= ✓ · MTA-STS enforce · Blacklists clean · 4 Empfehlungen
Hinweise
Die Live-Handshake-Checks (TLS, STARTTLS, DANE, 465, 587) setzen eine ausgehende Verbindung auf Port 25/465/587 vom Scanner-Host voraus. Einige große Mailbox-Provider (u.a. Google/Gmail, GMX, T-Online, freenet, web.de) filtern eingehende Verbindungen von Cloud-/VPS-IP-Ranges besonders streng — insbesondere wenn der PTR-Record generisch ist. In solchen Fällen können TLS-Probes scheitern, obwohl die gescannte Domain technisch einwandfrei ist. Der Scanner meldet seine eigene Outbound-Erreichbarkeit (full/partial/none), damit echte Domain-Probleme von Scanner-seitigen Reputations-Limits unterschieden werden können. Die DNS-basierten Checks (SPF, DMARC, DKIM, MTA-STS, TLS-RPT, CAA, DANE-Lookup, Blacklists) funktionieren unabhängig davon zuverlässig. Das Tool sendet nie echte Mail; AUTH-Credentials werden nie übermittelt.
Was ist eine SMTP-Diagnose?
Die SMTP-Diagnose prüft die Mailserver-Konfiguration einer Domain: MX-Records, SMTP-Erreichbarkeit, EHLO-Handshake und STARTTLS-Unterstützung. Ein korrekt konfigurierter Mailserver ist essenziell für die E-Mail-Zustellbarkeit. Fehlerhafte MX-Records, ein nicht erreichbarer SMTP-Server oder fehlende STARTTLS-Unterstützung führen dazu, dass E-Mails nicht zugestellt werden oder unverschlüsselt übertragen werden. Das Tool prüft auch die SPF-, DKIM- und DMARC-Konfiguration der Domain.
Mailserver richtig konfigurieren
- 1MX-Records müssen auf gültige Hostnamen zeigen, die per A-Record auflösbar sind.
- 2STARTTLS sollte aktiviert sein, um E-Mail-Transport zu verschlüsseln.
- 3Nutzen Sie mindestens zwei MX-Records mit unterschiedlicher Priorität für Redundanz.
- 4SPF, DKIM und DMARC sind Pflicht für zuverlässige E-Mail-Zustellung.