Lookup · Validierung · Generatoren — kostenlos, ohne Anmeldung

Alle DNS-Tools, an einer Stelle.

Prüfe MX, SPF, DMARC, DKIM, SSL und CAA in Sekunden. Validiere bestehende Records gegen RFC. Generiere optimale Konfigurationen — kostenlos, ohne Konto.

Kostenlos · keine Anmeldung · Ergebnis in unter 3 Sekunden

Kein Konto nötig RFC-konforme Validierung Server in DE

Tools

Was du hier prüfen und bauen kannst.

Free-Tools rund um DNS — vom schnellen Lookup bis zum RFC-konformen Record-Generator.

DNS-Lookup

A, AAAA, MX, TXT, NS, SOA, CAA und mehr — gegen den Resolver deiner Wahl.

DNS-Propagation

Parallele Abfrage gegen 8 öffentliche Resolver weltweit — sieh, wo deine Änderung schon angekommen ist.

Record-Generatoren

SPF (mit RFC-7208-Lookup-Counter), DMARC (Phased-Rollout), CAA, BIMI, MTA-STS, TLS-RPT.

SSL-Check

Zertifikat, Aussteller, Restlaufzeit, TLS-Versionen, HSTS — mit A+/F-Score.

So funktioniert's

In drei Schritten startklar.

1

Domain prüfen

Eine Domain eintragen — du bekommst sofort einen Score plus Empfehlungen pro Record.

2

Records generieren

SPF und DMARC im Wizard zusammenstellen, kopieren, beim DNS-Provider einsetzen.

3

Permanent überwachen

Damit Änderungen nicht unbemerkt bleiben: → DMARC-Analyse

Tools

Record-Generatoren

SPF, DMARC, CAA, BIMI, MTA-STS und TLS-RPT — klick dir den richtigen Record zusammen, mit RFC-Validierung und Best-Practice-Defaults.

Einmal prüfen reicht selten.

DNS-Records ändern sich. SSL-Zertifikate laufen ab. Server fallen aus. DMARC-Analyse überwacht das alles permanent — und meldet sich, wenn etwas passiert.

Permanent überwachen Mehr erfahren

Record-Generatoren

DNS-Lookups (RFC 7208)
/ 10

Bisher keine Lookups — füge Provider oder Mechanismen hinzu. Sicher unter dem RFC-Limit. Schätzwert je Provider. Knapp am Limit — entferne unnötige Provider oder nutze SPF-Flattening. Über dem Limit. SPF wird mit permerror antworten — alle Mails könnten abgelehnt werden.

Generierter SPF-Record

Anleitung: TXT-Record mit Host @ und dem generierten Wert anlegen. Pro Domain darf nur ein einziger SPF-Record existieren.

Rollout-Stufe

Empfohlen: jede Stufe 1–4 Wochen laufen lassen, Reports prüfen, dann zur nächsten.

Stufe 1 — Monitor: Sammle Reports und sieh, wer in deinem Namen Mails verschickt. Noch keine Auswirkungen auf die Zustellung. Stufe 2 — Quarantine 25%: 25% nicht-authentifizierter Mails landen im Spam. Restliche 75% kommen normal an. Risiko gering. Stufe 3 — Quarantine 100%: Alle nicht-authentifizierten Mails landen im Spam. Letzter Schritt vor Reject. Stufe 4 — Reject: Nicht-authentifizierte Mails werden komplett abgelehnt. Maximaler Schutz vor Spoofing.

Tägliche XML-Reports — empfohlen.

Pro fehlgeschlagener Mail — DSGVO-relevant.

Eigene Policy für Subdomains, falls abweichend.

Anteil der Mails, auf die die Policy angewendet wird.

Die meisten Receiver senden ohnehin nur einmal täglich.

Generierter DMARC-Record

Anleitung: TXT-Record mit Host _dmarc und dem generierten Wert anlegen.
CAA definiert, welche Certificate-Authorities dein Domain Zertifikate ausstellen dürfen. Sperrt unautorisierte CAs ab — wichtig nach den Lapses bei DigiNotar/Symantec etc.

Generierte CAA-Records

Anleitung: Pro Zeile einen CAA-Record beim DNS-Provider auf Host @ anlegen. Vorab die aktuell ausstellenden CAs prüfen (kein „Selbstausschluss").
BIMI zeigt dein Logo neben Mails im Posteingang (Gmail, Yahoo, Apple Mail). Voraussetzung: p=quarantine oder p=reject in DMARC plus ein quadratisches SVG-Tiny-Logo.

Üblicherweise default — der Record-Host wird daraus zu .

SVG Tiny 1.2, quadratisch, ohne Skripte/externe Refs, idealerweise < 32 KB.

Verified-Mark-Certificate (VMC) von DigiCert oder Entrust — kostet ~ 1.500 €/Jahr, aktuell Gmail-Pflicht.

DNS-Host

TXT-Record

MTA-STS erzwingt TLS-Verschlüsselung beim Empfangen von Mails — schützt vor Downgrade-Angriffen. Erfordert einen DNS-Record und eine Policy-Datei auf https://mta-sts.deine-domain.de/.well-known/mta-sts.txt.

Wildcards (*.example.com) sind erlaubt.

DNS-Record auf Host _mta-sts

Policy-Datei /.well-known/mta-sts.txt auf mta-sts.<domain>


                    
                

            


            

                Wichtig: Die Subdomain mta-sts.deine-domain.de
                muss per HTTPS erreichbar sein (eigenes SSL-Cert!) und genau diese Policy-Datei ausliefern.
            

        


        
        

            

                TLS-RPT sammelt Reports über TLS-Probleme beim Mail-Empfang
                — die Ergänzung zu MTA-STS, damit du erfährst, wenn die Policy verletzt wird.
            


            

                
                
                
JSON-Reports landen in dieser Mailbox — eigenes Postfach oder Service wie postmark/dmarcian.

            


            

                
DNS-Record auf Host _smtp._tls

                
                
            


            

                Anleitung: TXT-Record mit Host
                _smtp._tls
                und dem generierten Wert anlegen. Funktioniert auch ohne MTA-STS.
            

        

    







    

        
Schwester-Projekte

        

                        
                

                                    

                

                    
SSL-Analyse

                    
SSL/TLS-Analyse mit Score, Cipher- und HSTS-Check.

                

                
            
                        
                

                                    

                

                    
DMARC-Analyse

                    
Permanentes Monitoring für DNS-, SSL- und Uptime-Änderungen.