Dernium Mailcheck
Wer versendet in Ihrem Namen E-Mails? Sind Ihre SPF-, DKIM-, DMARC- und MTA-STS-Records korrekt? Kommen Ihre Mails überhaupt verschlüsselt durch? Mailcheck beantwortet diese Fragen täglich automatisch - und für ad-hoc-Tests sofort über einen integrierten Live-Mail-Tester.
- Live-Mail-Tester: Mail an eine eindeutige Test-Adresse schicken, sofort die volle Auswertung von SPF, DKIM (kryptografische Body-Hash- und Signature-Verifikation), DMARC, Reverse-DNS, MX, Transport-Verschlüsselung, Mailweg, ARC und Routing-Konsistenz erhalten
- Anders als externe Mail-Tester bleibt Ihre Test-Mail vollständig in der eigenen Mailcheck-Instanz - keine PII an Dritte, kein Cookie-Profil bei einem US-Webdienst
- Test-Resultat als PDF exportierbar für Kunden- oder Audit-Akte
- Domain-Onboarding-Wizard: ein Klick auf "Mail-Härtung prüfen" startet einen Live-Check über DMARC, SPF und MTA-STS gleichzeitig und liefert pro Aspekt entweder grünes Häkchen oder eine konkrete Behebungsanleitung mit fertigem DNS-Record
- Tägliche DMARC-Aggregate-Reports von Google, Microsoft, Yahoo und Apple werden automatisch eingelesen, dekomprimiert, ausgewertet und in lesbare Diagramme übersetzt
- Source-IP-Anreicherung: hinter einer nackten IP wird automatisch der Provider-Name angezeigt (Google, Microsoft Outlook, SendGrid, Mailgun, Mailchimp, Hetzner, mailbox.org und 30+ weitere) - keine eigene Detektivarbeit mehr
- Aktive DKIM-Selector-Probe: erkennt Schlüssel-Wechsel, fehlende DNS-Einträge und schwache Schlüssel (RSA <1024 bit) automatisch und schlägt Alarm
- SPF-Lookup-Counter mit Vorwarnung: das RFC-7208-Limit von 10 DNS-Lookups wird oft schleichend überschritten - Mailcheck warnt schon ab 8 Lookups
- MTA-STS-Drift-Alarm: Hash-Vergleich erkennt unautorisierte Policy-Änderungen
- Compliance-Score über 30 Tage: Anteil DMARC-konform ausgelieferter Mails als ein Wert zum Berichten
- Push-Benachrichtigungen wahlweise per E-Mail oder HMAC-signiertem Webhook (kompatibel mit Slack-/Teams-Incoming-Webhooks und PagerDuty-Events-API) - bei Anlage eines Kanals geht sofort eine Test-Nachricht raus, damit Sie sehen ob die Konfiguration durchkommt
- Pro Befund eine konkrete Behebungsanleitung im UI: kein "tls.policy_drift" als Roh-Code, sondern "Ihre MTA-STS-Policy hat sich geändert; aktueller Hash …, vorher …" plus Schritt-für-Schritt-Empfehlung
- Read-only-Public-API mit Bearer-Token (ab Paket Business): Domains, Aggregates, Reports als JSON oder CSV - direkt in Ihre eigenen Auswertungen einspeisen
- Eigene RUA-Inbox-Adresse pro Domain ohne Klartext-Domain im Local-Part - keine Markenkommunikation in der Bounce-Adresse
- Vollständig in deutschen Rechenzentren betrieben, OIDC-Single-Sign-On mit Ihrem Dernium-Konto
Mail-Tester: Sofort sehen, was bei Empfängern ankommt
Klicken Sie auf "Neue Test-Adresse erstellen", schicken Sie aus dem Mailsystem, das Sie gerade prüfen wollen, eine beliebige Mail an die angezeigte Adresse, und sehen Sie nach wenigen Sekunden eine vollständige Auswertung. Mailcheck prüft kryptografisch, ob die DKIM-Signatur stimmt (Body-Hash plus Signature-Verifikation, nicht nur "Header da"), ob SPF die Sender-IP wirklich erlaubt, ob der DMARC-Record korrekt aufgebaut ist, ob Reverse-DNS und MX zueinander passen, wieviele Hops die Mail durchlaufen hat und mit welcher TLS-Version pro Hop, ob ARC bei Forwarder-Pfaden greift, und ob Reply-To/Return-Path zur From-Domain passen. Bei jedem nicht-grünen Befund liefert Mailcheck den DNS-Record-Vorschlag für genau Ihre Domain. Ihre Test-Mail bleibt zu jedem Zeitpunkt in der Mailcheck-Instanz - kein US-Mail-Tester, kein PII-Leak.
Domain-Onboarding-Wizard
Beim Anlegen einer Domain begleitet Mailcheck Sie Schritt für Schritt: Schritt 1 ist die RUA-Inbox-Adresse für DMARC-Reports, mit fertigem Copy-Paste-DNS-Record. Schritt 2 ist der "Vollständige Mail-Härtung prüfen"-Button - ein Klick prüft live DMARC, SPF und MTA-STS gleichzeitig und gibt drei Status-Karten zurück: grün für korrekt, gelb für mit Befund, rot für fehlt. Jede nicht-grüne Karte enthält den Roh-Record und einen konkreten Vorschlag samt fertigem TXT-Eintrag. Sie sehen sofort, was an Ihrem aktuellen Setup fehlt, und können das DNS-Update in der gleichen Sitzung verifizieren.
Tägliche Reports automatisch verstehen
DMARC-Reports kommen täglich als gzip-XML-Anhang per E-Mail - für Menschen unlesbar, oft hunderte pro Monat pro Domain. Mailcheck nimmt sie automatisch entgegen, dekomprimiert, parst, dedupliziert und führt sie als verständliche Zeitreihe zusammen. Sie sehen pro Domain pro Sender-IP über die letzten 30 Tage, wie viele Mails authentifiziert durchgingen, wie viele in Quarantäne landeten und wie viele abgelehnt wurden. Phishing-Kampagnen, die Ihre Domain missbrauchen, fallen damit binnen 48 Stunden auf statt nach Wochen.
Mailcheck und Watch - von innen und von außen
Mailcheck empfängt die Berichte der Mailbox-Provider und sieht damit die Wirklichkeit: welche Server haben tatsächlich in Ihrem Namen Mails versendet, welche kamen durch, welche nicht. Plus Live-Tester für ad-hoc-Verifikation. Dernium Watch geht den umgekehrten Weg: prüft als externer Beobachter Ihre statische Mail-Konfiguration kontinuierlich aus mehreren Probe-Standorten. Watch garantiert, dass die Schilder stehen; Mailcheck zeigt, was die Schilder bewirken. Beide Werkzeuge sind eigenständig nutzbar; in Kombination geben sie das vollständige Bild Ihrer Mail-Sicherheit.
Selbst-gehostet, aber ohne eigenen Aufwand
Mailcheck läuft als gemanagter Service in unserem Rechenzentrum in Deutschland. Sie geben den DMARC-rua-Record bei Ihrem DNS-Provider ein und sehen die Reports in der Web-Oberfläche - keine eigene Postfix-Konfiguration, kein XML-Parser, kein gzip-Reverse-Engineering. Wenn Sie statt eines Reports eine konkrete API-Integration brauchen (Grafana, Splunk, internes Dashboard), liefert die Read-only-Public-API Domains, Aggregates und Reports als JSON oder CSV.
Compliance-Hooks
Standards-konforme Auswertung von DMARC (RFC 7489), DKIM (RFC 6376) und SPF (RFC 7208) - die Mail-DNS-Schicht, auf die mehrere Compliance-Vorgaben implizit aufbauen. Die Mail-Härtung reduziert Phishing-Vektoren, die in vielen Datenschutzverletzungen am Anfang stehen (relevant für DSGVO Art. 32). Für NIS-2-Verpflichtete: belegbare Anti-Phishing- und E-Mail-Authentisierungs-Maßnahmen nach Art. 21 der NIS-2-Richtlinie. RUA-Reports landen in einer pro Domain gemieteten Inbox in deutschen Rechenzentren - kein Drittland-Aggregator.