Excellent - Sehr hohe Sicherheit

137/165 Punkte

Wolf E-Mail Security Score

Analysierte Domain

megavideo.dev

Mail-Provider: Self-Hosted Eigener Mailserver

Scan: 17.06.2026, 23:26 Uhr

Self-Hosted Eigener Mailserver

SMTP-TLS TLSv1.3

13/13

DMARC Policy p=reject

Was bedeuten diese Werte?

Mail Provider Self-Hosted

Ihr Mail-Provider ist Self-Hosted. Die Sicherheitsqualität hängt von der Konfiguration ab.

SMTP-Transportverschlüsselung TLSv1.3

TLS 1.3 ist die modernste Verschlüsselung. Ihre E-Mails werden mit Perfect Forward Secrecy geschützt – selbst bei späterem Schlüsseldiebstahl bleiben vergangene Nachrichten sicher.

DMARC Policy p=reject

Maximaler Schutz! Empfangende Server weisen gefälschte E-Mails ab. Angreifer können keine E-Mails in Ihrem Namen versenden.

✓ SPF 20/20

✓ DKIM 20/20

✓ DMARC 35/35

✓ BIMI 5/5

VMC 0/5

✓ MTA-STS 10/10

✓ TLS-RPT 5/5

⚠ SMTP-TLS 13/13

✓ DNSSEC 8/8

✓ DANE 10/10

ℹ SEG-Provider 0/5

✓ PTR/FCrDNS 4/4

✓ CAA 2/2

ℹ ARC 0/5

⚠ DKIM-Ed25519 2/5

ℹ DKIM-Redundanz 0/3

✓ SPF-Qualität 1/2

✗ SMTP-Zertifikat 0/3

ℹ SPF-DKIM-Abdeckung 0/3

✓ DMARC-Report-Auth 2/2

Excellent - Sehr hohe Sicherheit: Ihre E-Mail-Sicherheit ist auf einem sehr hohen Niveau und erfüllt die BSI TR-03108 Anforderungen. Mit wenigen Bonus-Features erreichen Sie Excellence.

Was bedeutet Ihre Note A?

A+ 150-165 Excellence – Höchste Sicherheit

A 135-149 Excellent – DMARC p=reject, MTA-STS

A- 120-134 Very Good – Sehr guter Schutz

B+ 105-119 Good – Alle Basis-Checks bestanden

B 85-104 Adequate – DMARC aktiv, SPF/DKIM ok

C 65-84 Fair – Grundlegender Schutz

D 45-64 Poor – Lücken bei SPF/DKIM/DMARC

F 0-44 Critical – Keine/fehlerhafte Authentifizierung

Verbesserungspotential

→ SMTP-Zertifikat einrichten +3 Punkte möglich
→ SMTP-TLS optimieren +0 Punkte möglich
→ DKIM-Ed25519 optimieren +3 Punkte möglich

Compliance-Status

✓

BSI TR-03108 Sicherer E-Mail-Transport 5/5 Anforderungen

✓

BSI APP.5.3 E-Mail-Authentifizierung 3/3 Bausteine

✓

DSGVO Art. 32 Verschlüsselung & Integrität 3/3 Maßnahmen

✓

NIS2-ready IT-Sicherheitsmaßnahmen 4/4 Kriterien

BSI-Grundschutz Referenzen anzeigen

Check	BSI-Baustein	Anforderung	Status
SPF	APP.5.3	A.1 - E-Mail-Authentifizierung	✓
DKIM	APP.5.3	A.1 - Kryptographische Signatur	✓
DMARC	APP.5.3	A.7 - Schutz vor Spoofing	✓
MTA-STS	TR-03108	3.2 - Transportverschlüsselung	✓
TLS-RPT	TR-03108	3.2 - TLS-Reporting	✓

Ausgehende E-Mail-Sicherheit

Absender-Authentifizierung

85/105 1 prüfen 6 aktiv

RSA-4096 ist sehr sicher. Ed25519 wäre optimal.

Ihr SPF-Record mit -all (Hard Fail) ist die strengste Einstellung. 0/10 DNS-Lookups verwendet. Wichtig: SPF ist nur eine EMPFEHLUNG an empfangende Server. Erst in Kombination mit DMARC wird der Schutz verbindlich.

DNS-Lookups 0/10

Void-Lookups 0/2

DNS-Record anzeigen

v=spf1 ip4:93.241.220.38 ip6:2003:a:143c:2600::150 -all

DKIM signiert jede E-Mail kryptografisch. Empfänger können prüfen: "Stammt sie wirklich von dieser Domain? Wurde sie unterwegs verändert?" Wichtig: DKIM hat keine Regeln wie SPF — es ist reine Prüfung. Was bei Fehlschlag passiert, bestimmt erst DMARC. 1 Selektor(en) aktiv: dkim: 4096-bit RSA ✓ 🔐 Exzellente Schlüsselstärke: 4096-bit RSA erkannt.

DKIM-Selektoren: dkim

DNS-Record anzeigen

dkim: v=DKIM1;k=rsa;t=s;s=email;p=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

Mit p=reject haben Sie die Kontrolle: Alle DMARC-konformen Mailserver MÜSSEN E-Mails ablehnen, die SPF oder DKIM nicht bestehen. Sie gehören zu den Top 3,9% aller Domains weltweit mit vollständigem Schutz. Google blockierte 2024 dank DMARC 265 Milliarden unauthentifizierte E-Mails. Ihre Kunden und Partner sind vor gefälschten E-Mails in Ihrem Namen geschützt. 🔗 Alignment-Modus: SPF: strict, DKIM: strict Strict Alignment erhöht die Sicherheit, kann aber bei E-Mail-Weiterleitungen zu Fehlschlägen führen. 📊 Reports: dmarc@megavideo.dev 📝 Forensic Reports (ruf): dmarc-forensic@megavideo.dev DSGVO-Hinweis: BSI TR-03182 empfiehlt, ruf= nicht zu konfigurieren. Forensic Reports enthalten personenbezogene Email-Header-Daten und sind datenschutzrechtlich problematisch. Die meisten Provider (Gmail, Microsoft, Yahoo) senden sie ohnehin nicht. Empfehlung: Entfernen Sie ruf= und nutzen Sie ausschließlich rua= für DMARC-Reporting.

DNS-Record anzeigen

v=DMARC1; p=reject; sp=reject; pct=100; adkim=s; aspf=s; fo=1; rua=mailto:dmarc@megavideo.dev; ruf=mailto:dmarc-forensic@megavideo.dev

Ihr Logo erscheint neben E-Mails in unterstützten Clients: ✅ Apple Mail: Logo wird angezeigt ✅ Yahoo/AOL: Logo wird angezeigt ❌ Gmail: Benötigt zusätzlich VMC-Zertifikat

DNS-Record anzeigen

v=BIMI1; l=https://megavideo.dev/.well-known/bimi/megavideo.svg; a=;

Ihr SPF-Record ist funktional, könnte aber durch Verwendung von include:-Mechanismen verbessert werden.

DMARC-Reports werden an dmarc@megavideo.dev gesendet (eigene Domain). Keine externe Autorisierung erforderlich.

Der blaue Verifizierungs-Haken in Gmail ist das höchste Vertrauenssignal für E-Mail-Absender — wie der blaue Haken auf Social Media. Was Sie bereits haben: Ihr Markenlogo erscheint in Apple Mail und Yahoo/AOL — das ist Basis-BIMI. Was Ihnen noch fehlt: Gmail (1,8 Milliarden Nutzer weltweit) zeigt Ihr Logo erst mit einem VMC-Zertifikat. Der blaue Haken signalisiert: "Diese E-Mail kommt garantiert von diesem Unternehmen." Seit Oktober 2024 gibt es auch das günstigere "Common Mark Certificate" für KMU ohne eingetragene Marke.

→ VMC-Zertifikat erwerben: Eingetragene Marke beim DPMA oder EUIPO erforderlich. Kosten ca. 1.000–1.500 €/Jahr bei DigiCert oder Entrust. Alternative: Common Mark Certificate für KMU.

ARC (Authenticated Received Chain) ist für Domains relevant, deren E-Mails häufig weitergeleitet werden (Mailinglisten, Forwarder, Shared Mailboxes). ARC bewahrt die SPF/DKIM/DMARC-Ergebnisse über die gesamte Weiterleitungskette hinweg. Ohne ARC können legitime E-Mails nach Weiterleitung als Spam markiert werden, da SPF (Absender-IP ändert sich) und DKIM (Header können modifiziert werden) fehlschlagen.

→ Wenn Sie Mailinglisten oder E-Mail-Weiterleitung nutzen, konfigurieren Sie ARC: Erstellen Sie einen DKIM-Key unter arc._domainkey.megavideo.dev und aktivieren Sie ARC-Signierung in Ihrem Mailserver.

Nur ein aktiver Selector: dkim (RSA-4096). Bei einer Key-Rotation muss der DNS-Eintrag gewechselt werden — bis der neue Key propagiert ist (bis zu 48h), können DKIM-Prüfungen fehlschlagen. Mit zwei Selektoren lässt sich das vermeiden.

→ Fügen Sie einen zweiten Selector hinzu (z.B. selector2._domainkey), damit Key-Rotation ohne Unterbrechung der DKIM-Signierung möglich ist.

DKIM-Selektoren: dkim

Der SPF-Record enthält keine include:-Mechanismen. Die Provider-DKIM-Abdeckung kann nicht geprüft werden.

Eingehende E-Mail-Sicherheit

Empfänger-Schutz & Verschlüsselung

15/20 3 aktiv

Ihre Domain verwendet Self-Hosted (Eigener Mailserver) für den E-Mail-Empfang. 1 MX Record(s) gefunden. ✅ Reverse DNS: 93.241.220.38 → mail.megavideo.dev (FCrDNS validiert)

DNS-Record anzeigen

10 mail.megavideo.dev

MTA-STS erzwingt TLS-Verschlüsselung im "enforce"-Modus. E-Mails werden nur verschlüsselt zugestellt — keine Kompromisse. Policy gültig für 7 Tage.

DNS-Record anzeigen

DNS-Record:
v=STSv1;id=2026041502;

Policy-Datei:
version: STSv1
mode: enforce
max_age: 604800
mx: mail.megavideo.dev

Sie erhalten automatische Berichte bei TLS-Problemen: Abgelaufene Zertifikate, ungültige Zertifikate, fehlgeschlagene TLS-Verbindungen, MTA-STS Policy-Verletzungen. So erfahren Sie von Problemen, bevor Ihre E-Mail-Zustellung leidet.

DNS-Record anzeigen

v=TLSRPTv1; rua=mailto:tlsrpt@megavideo.dev

Sie nutzen keinen dedizierten E-Mail-Security-Gateway. Für Unternehmen mit erhöhtem Schutzbedarf empfehlen wir Proofpoint, Mimecast oder Hornetsecurity.

→ Für KRITIS-Betreiber und Unternehmen mit sensiblen Daten: Erwägen Sie einen Secure Email Gateway (SEG) für ATP-Schutz gemäß BSI-Grundschutz OPS.1.1.4.

DNS-Sicherheit & Bonus

Erweiterte Schutzmaßnahmen

37/40 4 aktiv

Läuft in nur 5 Tagen ab!

Ihr Mailserver mail.megavideo.dev unterstützt STARTTLS und TLS 1.3 - die modernste Verschlüsselung für E-Mail-Transport. Die Verbindung wurde in 61ms hergestellt. Hinweis: Das Zertifikat läuft in 5 Tagen ab.

Ihre DNS-Einträge sind mit DNSSEC geschützt. Angreifer können DNS-Antworten nicht fälschen oder manipulieren. Dies verhindert DNS-Spoofing-Angriffe, bei denen E-Mails an falsche Server umgeleitet werden könnten.

Ihr Mailserver verwendet DANE mit DANE-EE (Domain-Issued Certificate). Das TLS-Zertifikat ist kryptographisch an DNS gebunden. Selbst bei einer kompromittierten CA kann kein Angreifer ein falsches Zertifikat für Ihren Mailserver ausstellen.

DNS-Record anzeigen

_25._tcp.mail.megavideo.dev TLSA 3 1 1 7961d95576388de13e83641c0be291048663ea54ac78b9cefa71e76e17775d98

Die Reverse-DNS-Konfiguration ist perfekt: 93.241.220.38 → mail.megavideo.dev → 93.241.220.38. Dies maximiert Ihre E-Mail-Reputation bei allen großen Providern.

Erlaubte CAs: letsencrypt.org, letsencrypt.org. Verstöße werden gemeldet an: mailto:jenshumke05@gmail.com. Optimale Konfiguration für Zertifikatssicherheit.

DNS-Record anzeigen

0 issuewild "letsencrypt.org"
0 iodef "mailto:jenshumke05@gmail.com"
0 issue "letsencrypt.org"

Score-Berechnung

137/165

Ausgehend SPF, DKIM, DMARC, BIMI 85/105

Eingehend MTA-STS, TLS-RPT, SMTP 15/20

DNS & Bonus DNSSEC, DANE, CAA +37/40

Vollständigen Report per E-Mail erhalten

Geben Sie Ihre E-Mail-Adresse ein, um den detaillierten Security-Report mit allen Handlungsempfehlungen zu erhalten.

Wir verwenden Ihre E-Mail nur für den Report. Datenschutz

Excellent - Sehr hohe Sicherheit

Verbesserungspotential

Compliance-Status

Ausgehende E-Mail-Sicherheit

RSA-4096 vorhanden (kein Ed25519)

Absender-Autorisierung aktiv mit Hard Fail ★ 0/10 Lookups

E-Mails werden digital signiert

Maximaler VERBINDLICHER Schutz aktiviert ★ Strict Alignment

Markenlogo in E-Mail-Clients aktiv

SPF-Struktur akzeptabel

Reports gehen an eigene Domain

Kein blauer Gmail-Haken — fehlendes Premium-Vertrauenssignal

Kein ARC erkannt

Einzelner DKIM-Selector

Keine SPF-Provider erkannt

Eingehende E-Mail-Sicherheit

Mailserver konfiguriert und erreichbar

Maximaler TLS-Schutz aktiv

Frühwarnsystem für Verschlüsselungsprobleme aktiv

Kein dedizierter Security Gateway

DNS-Sicherheit & Bonus

Zertifikat kritisch

Exzellente SMTP-Verschlüsselung

DNS-Einträge kryptographisch signiert

Zertifikatsbindung via DANE aktiv

FCrDNS vollständig korrekt

CAA vollständig konfiguriert

Score-Berechnung

Vollständigen Report per E-Mail erhalten