DMARC-Validator
Ruft den DMARC-TXT-Eintrag für eine beliebige Domain ab und analysiert ihn. Zeigt die Richtlinie (none/quarantine/reject), den Abgleichmodus und die Berichtsadressen an.
Gib einen Domainnamen ein, um dessen DMARC-Eintrag zu validieren.
Alle Netzwerk-Tools, die du je brauchen wirst.
Speziell entwickelte Tools für Ports, IPs, DNS und E-Mail. Komplett kostenlos, alle laufen über externe Probes.
Port-Checker
Beliebigen TCP-Port auf einem beliebigen Host prüfen
DNS-Lookup
IP-Adressen hinter einer Domain nachschlagen
rDNS-Check
Reverse-DNS: IPs Hostnamen zuordnen (PTR)
Ping-Tool
Host-Erreichbarkeit per ICMP prüfen
Speedtest
Download, Upload und Latenz messen
Proxy-Check
VPN- oder Proxy-Nutzung erkennen
Link-Checker
Prüfen, ob URLs erreichbar sind
HTTP-Header-Checker
Antwort-Header untersuchen
Was ist meine IP?
Deine aktuelle öffentliche IP-Adresse anzeigen
IP-Subnetzrechner
Masken, Bereiche und CIDR-Berechnungen durchführen
IP-Konverter
Zwischen IPv4 und IPv6 konvertieren (in beide Richtungen)
ASN-Lookup
Organisation, ISP und IP-Bereiche per ASN nachschlagen
IP-Blacklist-Checker
Prüfen, ob eine IP auf einer Spamliste steht
IPv6-Website-Test
Testen, ob eine Website IPv6 unterstützt (AAAA + Erreichbarkeit)
SPF-Record-Checker
E-Mail-Absenderrichtlinie überprüfen
DMARC-Validator
Richtlinie, Ausrichtung und Berichtskonfiguration lesen
DKIM-Checker
DKIM-Signaturen prüfen
E-Mail-Header-Analyzer
E-Mail-Ursprung und -Routing nachverfolgen
Kostenloser DMARC-Checker: E-Mail-Richtlinie deiner Domain prüfen
DMARC steht für Domain-based Message Authentication, Reporting and Conformance. Es funktioniert als DNS-TXT-Eintrag, der unter
_dmarc.yourdomain.com
veröffentlicht wird und empfangenden Mailservern mitteilt, was zu tun ist, wenn eine eingehende Nachricht die SPF- oder DKIM-Prüfung nicht besteht. Ohne einen gültigen DMARC-Eintrag ist deine Domain anfällig für Spoofing, und du hast keinen Einblick darin, wie andere Server deine E-Mails behandeln.
Dieses Tool fragt die Subdomain
_dmarc
für jede von dir eingegebene Domain ab, ruft den rohen TXT-Eintrag ab und überprüft jeden Tag anhand der DMARC-Spezifikation. Du erhältst eine aufgeschlüsselte Analyse der Richtlinie, der Alignment-Modi, der Report-URIs sowie aller Fehler oder Warnungen in der Konfiguration.
Was der DMARC-Validator prüft
Wenn du eine DMARC-Abfrage durchführst, bestätigt das Tool nicht nur, dass ein Eintrag vorhanden ist. Es analysiert jeden Tag und prüft ihn anhand der Spezifikationsregeln. Das decken die Ergebnisse ab:
-
Eintrag vorhanden:
Ob ein TXT-Eintrag unter
_dmarc.<domain>existiert. -
Versions-Tag:
Der Eintrag muss mit
v=DMARC1beginnen. Alles andere ist ungültig. -
Richtlinie (p):
Muss
none,quarantineoderrejectsein. Dies ist ein Pflicht-Tag. - Subdomain-Richtlinie (sp): Die separate Richtlinie, die auf Subdomains angewendet wird, sofern angegeben.
- Prozentsatz (pct): Eine ganze Zahl von 0 bis 100, die steuert, auf welchen Anteil fehlgeschlagener Nachrichten die Richtlinie angewendet wird.
-
RUA- und RUF-URIs:
Die Adressen für aggregierte und forensische Berichte, überprüft auf korrektes
mailto:Schema-Format. -
Alignment-Modi (aspf, adkim):
Ob das SPF- und DKIM-Alignment entspannt (
r) oder strikt (s) ist. - Fehlerberichtsoptionen (fo) und Berichtsintervall (ri): Weitere Tags, die auf korrekte Werte geprüft werden.
Das Tool zeigt auch Warnungen für Konfigurationen an, die technisch gültig, aber in der Praxis schwach sind, zum Beispiel
p=none
(nur Überwachung, keine Durchsetzung) oder ein
pct
-Wert unter 100 (Richtlinie wird nicht auf alle fehlgeschlagenen Nachrichten angewendet).
So prüfst du einen DMARC-Eintrag
- Öffne den DMARC-Validator aus dem Tool-Menü.
-
Gib einen Domainnamen in das Eingabefeld ein oder füge ihn ein (zum Beispiel
example.com). -
Klicke auf
Prüfen
. Das Tool sendet eine DNS-Anfrage an
_dmarc.example.comund ruft den TXT-Eintrag ab. - Sieh dir den rohen Eintrag, den Gültigkeitsstatus und die vollständige Liste der analysierten Tags mit ihren Werten an.
- Lies Fehler oder Warnungen durch, um herauszufinden, was behoben werden muss, bevor du zu einer strengeren Richtlinie wechselst.
Kein Konto und keine Anmeldung erforderlich. Die Abfrage läuft serverseitig, daher benötigt dein Browser keinen speziellen DNS-Zugriff.
Die Ergebnisse verstehen
Die analysierte Ausgabe ordnet jeden Tag einer leicht verständlichen Bezeichnung zu. Das wichtigste Feld, das du zuerst prüfen solltest, ist der Richtlinien-Tag. Ein Wert von
none
bedeutet, dass empfangende Server bei fehlgeschlagenen E-Mails keine Maßnahmen ergreifen; es ist ein reiner Überwachungszustand. Ein Wert von
quarantine
leitet fehlgeschlagene Nachrichten in den Spam-Ordner, und
reject
weist den Server an, sie vollständig zu blockieren.
Der
pct
-Tag lohnt sich zu prüfen, wenn du einen schrittweisen Rollout durchführst. Wenn du
pct=10
setzt, wird die Richtlinie nur auf 10 Prozent der fehlgeschlagenen Nachrichten angewendet, sodass du die Durchsetzung testen kannst, bevor du dich vollständig festlegst. Das Tool warnt dich, wenn dieser Wert unter 100 liegt, da das bedeutet, dass ein großer Anteil gefälschter E-Mails immer noch die Posteingänge erreichen kann.
RUA- und RUF-Adressen geben an, wohin DMARC-Berichte gesendet werden. Fehlen diese, erhältst du keine aggregierten XML-Berichte, die Authentifizierungs-Erfolgs- und Fehlerquoten aller Absender anzeigen, die deine Domain verwenden.
Wann du einen DMARC-Eintrag prüfen solltest
Es gibt mehrere Situationen, in denen die Verwendung eines DMARC-Eintrag-Checkers der richtige nächste Schritt ist:
- Nach der Veröffentlichung eines neuen DMARC-Eintrags, um zu bestätigen, dass er korrekt geschrieben wurde und DNS propagiert ist.
-
Vor dem Wechsel von
p=nonezuquarantineoderreject, um zu überprüfen, ob die Eintrags-Syntax korrekt ist. - Bei der Fehlersuche bei Zustellbarkeitsproblemen, um eine falsch konfigurierte oder fehlende DMARC-Richtlinie auszuschließen.
- Bei einem Domain-Audit, um sicherzustellen, dass alle sendenden Domains und Subdomains ordnungsgemäß abgedeckt sind.
- Nach einem Domain-Transfer oder einer DNS-Migration, um zu bestätigen, dass der Eintrag den Umzug überstanden hat.
DMARC baut auf SPF und DKIM auf. Falls du diese Einträge noch nicht überprüft hast, nutze den DKIM-Checker zusammen mit diesem Tool, um ein vollständiges Bild deiner E-Mail-Authentifizierungseinrichtung zu erhalten.
Ein Hinweis zur Richtlinienstärke
Ein Eintrag mit
p=none
ist ein gültiger DMARC-Eintrag, bietet aber keinen Schutz. Er teilt empfangenden Servern mit, die Nachricht unabhängig davon zuzustellen, ob SPF oder DKIM bestanden wird. Sein Wert liegt in den Berichten, die er erzeugt und die zeigen, wer E-Mails im Namen deiner Domain sendet und ob die Authentifizierung erfolgreich ist. Sobald du diese Berichte überprüft und bestätigt hast, dass deine legitimen Absender korrekt ausgerichtet sind, ist der Wechsel zu
quarantine
oder
reject
der Schritt, der tatsächlich gefälschte Nachrichten blockiert.
Dieses Tool kennzeichnet einen
p=none
-Eintrag mit einer Warnung, damit du nicht fälschlicherweise glaubst, deine Domain sei geschützt, obwohl sie es nicht ist.
Beispiel für einen DMARC-Eintrag
Hier ist ein Beispiel für einen korrekt aufgebauten DMARC-Eintrag mit aktivierter Durchsetzung und konfigurierter Berichterstattung:
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; aspf=r; adkim=r;
Dieser Eintrag legt eine Quarantäne-Richtlinie für alle fehlgeschlagenen Nachrichten fest, fordert sowohl aggregierte als auch forensische Berichte an und verwendet entspanntes Alignment für SPF und DKIM. Füge einen solchen Eintrag in den Validator ein, um jeden Tag einzeln analysiert und geprüft zu sehen.
FAQ
Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, der unter der Subdomain
_dmarc.yourdomain.com
veröffentlicht wird. Wenn ein empfangender Mailserver eine Nachricht erhält, die vorgibt, von deiner Domain zu stammen, fragt er diese Subdomain ab, um herauszufinden, welche Richtlinie du festgelegt hast. Der Eintrag enthält Tags, die die Richtlinienaktion, Alignment-Anforderungen und den Empfangsort für Authentifizierungsberichte definieren. Ohne ihn haben empfangende Server keine DMARC-Anweisungen, denen sie folgen können.
Nachdem du eine Domain eingegeben und auf Prüfen geklickt hast, führt das Tool eine DNS-TXT-Abfrage unter
_dmarc.<domain>
serverseitig durch. Es ruft den rohen Eintrags-String ab und analysiert dann jeden durch Semikolon getrennten Tag. Jeder Tag wird anhand der DMARC-Spezifikation geprüft: Pflicht-Tags werden auf Vorhandensein bestätigt, Werte auf gültige Optionen geprüft und URI-Formate verifiziert. Die Ausgabe listet jeden analysierten Tag, seinen Wert sowie alle gefundenen Fehler oder Warnungen auf.
Diese drei Werte legen fest, was ein empfangender Server tut, wenn eine Nachricht sowohl die SPF- als auch die DKIM-Prüfung nicht besteht. Mit
p=none
stellt der Server die Nachricht normal zu und sendet nur einen Bericht. Mit
p=quarantine
leitet der Server die fehlgeschlagene Nachricht in den Spam- oder Junk-Ordner. Mit
p=reject
lehnt der Server die Nachricht während der SMTP-Transaktion vollständig ab, sodass sie den Empfänger nie erreicht. Nur quarantine und reject bieten aktiven Schutz gegen Spoofing.
Der
pct
-Tag teilt empfangenden Servern mit, auf welchen Prozentsatz fehlgeschlagener Nachrichten die Richtlinie angewendet werden soll. Das Setzen von
pct=10
bedeutet, dass nur 10 Prozent der Nachrichten, die die Authentifizierung nicht bestehen, in Quarantäne gestellt oder abgelehnt werden; die anderen 90 Prozent werden zugestellt, als ob die Richtlinie
none
wäre. Dies ist für einen schrittweisen Rollout nützlich, bedeutet aber auch, dass der Großteil gefälschter E-Mails weiterhin durchkommt. Das Tool warnt, wenn
pct
unter 100 liegt, da die Durchsetzung in diesem Fall unvollständig ist.
Ein DMARC-Checker fragt den
_dmarc.<domain>
DNS-Eintrag ab und überprüft die Richtlinie, Alignment-Einstellungen und Report-URIs. Er zeigt dir, wie deine Domain Empfänger anweist, mit Authentifizierungsfehlern umzugehen. Ein
DKIM-Checker
fragt einen selektor-spezifischen DNS-Eintrag ab (zum Beispiel
selector._domainkey.domain.com
) und überprüft den öffentlichen Schlüssel, der zur Verifizierung von E-Mail-Signaturen verwendet wird. DMARC liegt als Richtlinien-Schicht über DKIM und SPF; DKIM ist eine der Authentifizierungsmethoden, die DMARC auswertet.
RUA ist die URI für aggregierte Berichte. Empfangende Server senden tägliche XML-Zusammenfassungen an diese Adresse, die Authentifizierungs-Erfolgs- und Fehlerzählungen aus allen Quellen zeigen. RUF ist die URI für forensische Berichte, die Kopien einzelner fehlgeschlagener Nachrichten oder geschwärzte Header erhält, abhängig von der Richtlinie des Empfängers. RUA ist die praktisch nützlichere der beiden und wird breiter unterstützt. Die RUF-Unterstützung variiert je nach empfangendem Server, und einige Anbieter senden überhaupt keine forensischen Berichte. RUA wird dringend empfohlen; RUF ist optional.
Alignment bezeichnet, ob die Domain im From-Header mit der Domain übereinstimmt, die für SPF- oder DKIM-Authentifizierung verwendet wird. Entspanntes Alignment (
r
) erlaubt eine Übereinstimmung zwischen der From-Domain und einer übergeordneten Organisationsdomain, sodass
mail.example.com
mit
example.com
übereinstimmt. Striktes Alignment (
s
) erfordert eine exakte Domain-Übereinstimmung. Schlägt das Alignment sowohl für SPF als auch für DKIM fehl, wird die Nachricht als DMARC-fehlgeschlagen behandelt, unabhängig davon, ob SPF oder DKIM einzeln bestanden haben.
Ja. DMARC-Einträge sind öffentlich zugängliche DNS-Einträge, daher kann das Tool jede Domain abfragen. Das ist nützlich, wenn du prüfen möchtest, ob ein Anbieter, Partner oder Versanddienst DMARC konfiguriert hat, bevor du E-Mails von ihm empfängst, oder wenn du Domains im Rahmen einer Sicherheitsüberprüfung auditierst. Keine besonderen Berechtigungen oder der Besitz der Domain sind erforderlich.
Das bedeutet entweder, dass unter
_dmarc.<yourdomain>
kein TXT-Eintrag existiert, oder dass die DNS-Propagation nach einer kürzlichen Veröffentlichung noch nicht abgeschlossen ist. DMARC-Einträge können bis zu 48 Stunden benötigen, um sich global zu verbreiten, obwohl die meisten Resolver Änderungen innerhalb weniger Stunden übernehmen. Wenn du den Eintrag kürzlich hinzugefügt hast, warte und führe die Prüfung erneut durch. Wenn du noch keinen veröffentlicht hast, musst du über deinen DNS-Anbieter einen TXT-Eintrag hinzufügen, bevor eine Richtlinie wirksam wird.
Nein. DMARC ist eine Richtlinien-Schicht, die auf SPF und DKIM angewiesen ist. Es liest die Ergebnisse dieser beiden Prüfungen und wendet dann die in deiner Richtlinie angegebene Aktion an. Ein DMARC-Eintrag allein, ohne mindestens eines von SPF oder DKIM konfiguriert und bestanden, schützt deine Domain nicht, da keine Authentifizierungsergebnisse vorhanden sind, auf die DMARC reagieren könnte. Du benötigst alle drei, die zusammenarbeiten, für eine vollständige E-Mail-Authentifizierungsabdeckung. Sieh dir den DKIM-Checker an, um diesen Teil deiner Einrichtung zu überprüfen.
Das Tool fragt DNS für die von dir eingegebene Domain ab und gibt das Ergebnis zurück. Es ist kein Konto erforderlich und keine Domainnamen werden für Marketingzwecke gespeichert. Standard-Server-Anfrage-Logs können die Abfrage als Teil des normalen Infrastrukturbetriebs aufzeichnen, entsprechend der Datenschutzrichtlinie der Website. Da DMARC-Einträge öffentliche DNS-Daten sind, sind bei der Abfrage selbst keine sensiblen Informationen beteiligt.
Ja. Das Tool stellt einen GET-Endpoint unter
/api/check-dmarc?domain=<domain>
bereit. Die Antwort enthält strukturierte JSON-Felder, darunter
dmarc_found
,
dmarc_record
,
is_valid
,
policy
,
pct
,
rua
,
ruf
,
aspf
,
adkim
sowie Arrays für
errors
und
warnings
. Das macht es einfach, die DMARC-Validierung in Monitoring-Skripte, CI-Pipelines oder Domain-Audit-Workflows zu integrieren, ohne jedes Mal manuelle browserbasierte Prüfungen durchführen zu müssen.