Alle Security Checks
Detaillierte Beschreibung aller Analysen, die bei jeder eingehenden E-Mail durchgeführt werden.
SPF Validation DNS + IP
Prüft den SPF TXT-Record der Sender-Domain und validiert, ob die sendende IP autorisiert ist. Verwendet die pyspf-Bibliothek für RFC-konforme Validierung.
- Ergebnis: pass, fail, softfail, neutral, none
- Record-Validität: v=spf1-Prefix, ungültige/malformierte Terme, ungültige ip4:/ip6:
- Rekursives DNS-Lookup-Limit (RFC 7208: max 10) — folgt allen include/redirect, mit Breakdown
- Void-Lookup-Limit (max 2: NXDOMAIN/leere Antworten) + MX/PTR-Sublimits (max 10 Records)
- all-Qualifier: +all, ?all, ~all, -all, fehlend, mehrfach, Terme nach all
- Veraltetes ptr:, redirect= mit all, doppelte Mechanismen, Record-Länge, Makros
SPF IP Deep Analysis DNS + BL
Löst alle IPs aus dem SPF-Record rekursiv auf (ip4, ip6, a, mx, include — bis Tiefe 3). Jede IP wird individuell geprüft.
- Blacklist-Check gegen 8 DNSBLs pro IP
- Reverse DNS + Forward-confirmed rDNS (FCrDNS)
- ASN + Organisation via Team Cymru DNS
- IPv4 und IPv6 vollständig unterstützt
DKIM Validation CRYPTO
Verifiziert die DKIM-Signatur der E-Mail mit der dkimpy-Bibliothek. Analysiert alle DKIM-Signature-Header im Detail.
- Algorithmus-Bewertung (rsa-sha256, ed25519-sha256)
- Schlüsselstärke (1024/2048/4096 bit RSA, Ed25519)
- Wichtige Header signiert? (From, To, Subject, Date)
- Domain-Alignment (strict/relaxed/fail)
DMARC Validation & Audit DNS + POLICY
Prüft den DMARC-Record, evaluiert SPF/DKIM-Alignment und auditiert die Policy auf Schwächen.
- Record-Validität: v=DMARC1, gültiges/vorhandenes p=, doppelte Tags
- Policy-Bewertung: p=reject (stark) vs p=none (nur Monitoring)
- Subdomain-Policy: fehlendes sp= bzw. sp= schwächer als p=
- Enforcement: pct<100, pct=0 (deaktiviert), ungültige Werte
- Reporting: fehlendes/ungültiges rua/ruf, mailto:-Format, externe Ziele, fo= und ri=
- Alignment: adkim/aspf (relaxed vs strict), ungültige Werte
- Fallback auf Org-Domain bei Subdomains
ARC Chain Validation FORWARDING
Analysiert die Authenticated Received Chain (RFC 8617). Wichtig bei weitergeleiteten E-Mails, wo SPF oft fehlschlägt.
- Pro Hop: Domain, Chain-Validation (cv=), SPF/DKIM/DMARC
- Vollständigkeits-Check (AAR + AMS + AS pro Instance)
Envelope-From vs Header-From SPOOFING
Vergleicht die Return-Path-Adresse (Envelope) mit dem From-Header. Ein Mismatch ist ein häufiger Spoofing-Indikator.
- Exact Match, Same Domain, Same Org, Mismatch
TLS Transport Analysis ENCRYPTION
Extrahiert TLS-Version, Cipher-Suite und Schlüsselstärke aus den Received-Headern. Zeigt den Verschlüsselungsstatus pro Hop im Routing-Pfad an.
MTA-STS & TLS-RPT DNS + HTTPS
Prüft ob MTA-STS konfiguriert ist (DNS-Record + Policy-File unter /.well-known/mta-sts.txt) und ob TLS-RPT Reports aktiviert sind.
- Mode: enforce (erzwingt TLS), testing (nur Reports), none
- TLS-RPT: _smtp._tls.domain TXT Record
DANE / TLSA Records DNSSEC
Prüft TLSA-Records für _25._tcp.{mx-host}. DANE ermöglicht kryptographische Zertifikatsverifizierung via DNS, setzt DNSSEC voraus.
MX TLS Certificate Check STARTTLS
Baut eine STARTTLS-Verbindung zu den MX-Servern des Senders auf und prüft das TLS-Zertifikat.
- Issuer (Org + CN), Subject, SAN (Subject Alternative Names)
- Hostname-Match, Self-Signed-Erkennung, Chain-Verifizierung (verified/unverified)
- Schlüssel-Typ & -Stärke (RSA/EC/Ed25519), Signatur-Algorithmus, Seriennummer
- TLS-Version & ausgehandelte Cipher-Suite
- Gültigkeitsfenster (von → bis), verbleibende Tage, abgelaufen / noch nicht gültig
Sender MX STARTTLS Support SMTP
Verbindet sich mit den Top-2 MX-Servern des Senders und prüft ob STARTTLS im EHLO angeboten wird.
IP Blacklist Check 24 LISTS
Prüft die Sender-IP gegen 24 DNS-Blacklists: Spamhaus ZEN, SpamCop, Barracuda, SORBS, UCEProtect, DroneBL, Mailspike, abuse.ch und mehr.
Domain Blacklist Check 6 LISTS
Prüft die Sender-Domain gegen 6 Domain-basierte Blacklists: URIBL, Spamhaus DBL, SURBL, ScrolloutF1, NordSpam.
URL Blacklist Check 3 LISTS
Extrahiert Domains aus allen Links im E-Mail-Body und prüft sie gegen URI-Blacklists.
Homograph / IDN Detection PHISHING
Erkennt internationalisierte Domains mit gemischten Schriftsystemen. Prüft auf kyrillische, griechische und andere Zeichen die lateinischen ähneln.
Suspicious Attachment Detection MALWARE
Erkennt gefährliche Dateitypen, doppelte Erweiterungen und Macro-fähige Office-Dateien.
- Gefährlich: .exe, .scr, .bat, .js, .vbs, .ps1, .hta, .lnk, ...
- Double Extensions: invoice.pdf.exe
- Macro-fähig: .docm, .xlsm, .pptm, .dotm, ...
Body Quality Analysis SPAM
Analysiert den E-Mail-Body auf Spam-Indikatoren: fehlender Plaintext, Tracking-Pixel, versteckter Text, URL-Shortener, Bild/Text-Verhältnis.
Link Verification HTTP
Prüft alle Links im E-Mail-Body auf Erreichbarkeit. Erkennt Broken Links, Redirect-Ketten und SSL-Fehler.
Header Analysis METADATA
SpamAssassin-ähnliche Prüfung der E-Mail-Header: Message-ID, Date-Validierung, MIME-Version, Reply-To-Mismatch, verdächtige X-Mailer, Subject-Analyse.
MX Record Analysis DNS
Löst MX-Records auf und analysiert jeden MX-Host: A-Records, Reverse DNS, Forward-confirmed rDNS.
HELO / rDNS Match SMTP
Vergleicht den HELO/EHLO-Hostnamen mit dem Reverse-DNS des Senders. Mismatch deutet auf falsche Konfiguration hin.
BIMI Lookup BRANDING
Prüft ob ein BIMI-Record (Brand Indicators for Message Identification) vorhanden ist und extrahiert die Logo-URL.