Mails kommen nicht an?
Wir bringen die Einträge in Ordnung.
MX-Einträge prüfen, SPF sauber setzen, DKIM beim Provider aktivieren, DMARC-Policy definieren, Blacklist-Einträge klären. Bei Standard-Providern (All-Inkl, Hetzner, Microsoft 365, Google Workspace) typisch 30 bis 90 Minuten.
MX-Einträge prüfen in drei Schritten
MXToolbox hat viele Einzelwerkzeuge — für den ersten Überblick reicht „Domain Health".
SuperTool aufrufen
Unter mxtoolbox.com/SuperTool.aspx im Eingabefeld die Domain eintragen (ohne https://, ohne www). Im Dropdown rechts „Domain Health" wählen und auf den Button klicken.
Ampel ablesen
Die Ergebnis-Seite zeigt vier Bereiche: Mail Server, Web Server, Domain Name System und Blacklists. Jeder bekommt einen Status: grüner Haken, gelbes Warndreieck oder rotes X.
Details klicken
Jede Warnung ist aufklappbar. Darunter steht meist schon die konkrete Empfehlung („Add an SPF record for your domain"). Das sind die Punkte, die Sie oder wir dann beim Domain- oder Mailprovider eintragen.
DNS-Toolbox: was MX, SPF, DKIM und DMARC einzeln prüfen
Wer gezielt einen Eintrag testen will, ruft im SuperTool den passenden Lookup auf statt „Domain Health".
MX Lookup
Zeigt alle MX-Einträge Ihrer Domain mit Priorität und Ziel-Hostname. Hier sehen Sie sofort, ob auf Microsoft 365, Google Workspace, einen Mailprovider oder einen eigenen Server zugestellt wird. Fehlt der Eintrag, kommen keine Mails an.
SPF Record Check
Liest Ihren SPF-Eintrag und prüft Syntax, Anzahl der DNS-Lookups (Limit 10) und ob er auf „-all" oder „~all" endet. Häufiger Befund: SPF zu lasch oder zu lang, zu viele include:-Verweise.
DKIM Lookup
Fragt einen DKIM-Selector ab — etwa default._domainkey.ihre-domain.de. Sie müssen den richtigen Selector kennen (Provider-Doku). Liefert das Tool „No record found", ist der Schlüssel falsch hinterlegt oder noch nicht generiert.
DMARC Lookup
Liest _dmarc.ihre-domain.de aus. Sie sehen Policy (p=none/quarantine/reject), Reporting-Adressen (rua/ruf) und ob Subdomains mitgeschützt sind. Fehlt der Eintrag, kann Ihre Domain ohne Schutz gefälscht werden.
Blacklist Check
Prüft die IP Ihres Mailservers gegen über 80 Blacklists (Spamhaus, Barracuda, SORBS, …). Auch ein einziger Eintrag kann reichen, dass Mails nicht mehr durchgehen. Hier sieht man, wo Handlungsbedarf besteht.
DNS Lookup & Reverse
A-, AAAA-, CNAME-, NS- und PTR-Einträge. Reverse-DNS (PTR) ist für Mailserver wichtig — fehlt der PTR-Eintrag, lehnen viele Empfänger die Mail direkt ab. Für Standard-Provider übernimmt das der Hoster, bei eigenen Servern müssen Sie es selbst setzen.
Die typischen Befunde
Welche Warnungen am häufigsten auftauchen — und was sie wirklich bedeuten.
„No SPF Record found"
Ihre Domain hat keinen SPF-Eintrag. Empfänger wie Gmail oder Outlook behandeln Mails von Ihnen dann skeptisch — Landung im Spam-Ordner ist wahrscheinlich. Ein sauber gesetzter SPF-Eintrag behebt das in Minuten.
„DMARC Policy Not Enabled"
Kein DMARC-Eintrag — Spammer können Ihre Domain fälschen und niemand merkt es. Für Firmen ein ernstes Thema (Phishing im eigenen Namen). Einstieg mit p=none zum Beobachten, später p=quarantine.
„Listed on Spamhaus"
Ihre IP oder Domain steht auf einer Blacklist. Mails kommen oft gar nicht mehr an. Ursache finden (meist kompromittiertes Konto oder schlechte Absenderpraxis), beheben, Delisting beantragen. Eilig.
„SPF Too Many DNS Lookups"
Ihr SPF-Eintrag überschreitet das Limit von 10 DNS-Abfragen. Empfänger werten ihn dann als „PermError" — gleicher Effekt wie kein SPF. Lösung: include:-Ketten flatten oder unnötige Mailprovider rauswerfen.
„Reverse DNS does not match"
Der PTR-Eintrag der Mailserver-IP zeigt auf einen anderen Hostnamen als die Mail behauptet. Strenge Empfänger lehnen das ab. Bei Standard-Providern reicht ein Hinweis an den Support, bei eigenen Servern muss der PTR im Hoster-Panel korrigiert werden.
„DKIM Selector not found"
Der angefragte Selector existiert nicht im DNS. Meist falsch geschrieben, falsche Subdomain, oder der Provider hat den Schlüssel nie generiert. In der Admin-Oberfläche des Mailproviders DKIM aktivieren und den genannten Selector ins DNS übernehmen.
nslookup und dig: MX-Einträge auf der Kommandozeile prüfen
Wer kein Web-Tool aufrufen will, fragt direkt das DNS ab.
Unter Windows in der Eingabeaufforderung oder PowerShell:
nslookup -type=mx ihre-domain.de
nslookup -type=txt ihre-domain.de
nslookup -type=txt _dmarc.ihre-domain.de
nslookup -type=txt default._domainkey.ihre-domain.deUnter Linux oder macOS im Terminal:
dig mx ihre-domain.de +short
dig txt ihre-domain.de +short
dig txt _dmarc.ihre-domain.de +short
dig txt default._domainkey.ihre-domain.de +shortTipp: Mit +trace bei dig sehen Sie den vollständigen Auflösungspfad vom Root-Server bis zum autoritativen Nameserver. Hilfreich, wenn ein Eintrag „mal da, mal weg" ist (Caching-Problem).
Was MXToolbox nicht kann
- Konkrete Mail-Flow-Probleme debuggen („Der Kunde sagt, er bekommt meine Mails, aber nicht die Rechnungen") — dafür braucht es Logs vom Mailserver.
- DKIM-Schlüssel rotieren oder neu generieren — das passiert in der Admin-Oberfläche Ihres Mailproviders, nicht bei MXToolbox.
- Beurteilen, ob Ihr SPF-Eintrag vollständig ist. Das Tool sieht nur, was da ist — nicht, welche Mailstraßen bei Ihnen produktiv sind (Newsletter-Tool, Support-Ticketsystem, ERP-Benachrichtigungen).
- BIMI (Brand Indicators for Message Identification) sauber einrichten. Dafür braucht es ein VMC-Zertifikat und separate Konfiguration.
- Den DNS-Cache Ihres eigenen Routers oder Rechners umgehen — frisch geänderte Einträge sehen Sie online sofort, lokal aber erst nach Ablauf der TTL.
Passende Werkzeuge und Themen
Weitere Prüfungen rund um Domain, Mail und Website-Sicherheit.
MXToolbox zeigt Rot und Sie wissen nicht, wo anfangen?
Wir gehen mit Ihnen die Befunde durch, setzen SPF sauber, aktivieren DKIM beim Provider, definieren eine sinnvolle DMARC-Policy, kümmern uns um Blacklist-Einträge. Meist in einer bis zwei Stunden erledigt — abgerechnet pro halbe Stunde.
Jetzt konfigurieren lassenBeschreiben Sie Ihr Anliegen
Schreiben Sie uns kurz, worum es geht. Wir prüfen die Anfrage und melden uns per E-Mail mit dem nächsten Schritt.
Häufig gestellte Fragen
Was ist ein MX-Eintrag und wofür ist er da?
Der MX-Eintrag (Mail Exchange) im DNS sagt dem Internet, welcher Server Mails für Ihre Domain entgegennimmt. Schreibt jemand an [email protected], fragt sein Mailprogramm zuerst nach dem MX-Eintrag von ihre-firma.de und liefert die Mail an die dort genannte Adresse. Fehlt der MX-Eintrag oder zeigt er auf einen falschen Server, kommen Mails nicht an.
Wie viele MX-Einträge sollte eine Domain haben?
Mindestens einen, sinnvoll sind zwei bis drei mit unterschiedlicher Priorität. Die niedrigste Zahl gewinnt — also „10 mail.provider.de" wird vor „20 backup.provider.de" angefragt. Mehrere MX-Einträge sorgen dafür, dass Mails nicht verloren gehen, wenn der Hauptserver kurz nicht erreichbar ist. Standard-Provider wie Microsoft 365 oder Google Workspace setzen das automatisch.
Was ist der Unterschied zwischen A, MX, TXT, SPF, DKIM und DMARC?
A ist die IP-Adresse zu Ihrer Domain (für die Website). MX zeigt, welcher Server Mails für Ihre Domain empfängt. TXT sind beliebige Text-Einträge — unter anderem SPF, DKIM und DMARC. SPF sagt, welche Server im Namen Ihrer Domain Mails verschicken dürfen. DKIM signiert ausgehende Mails kryptografisch. DMARC legt fest, was mit Mails passieren soll, die SPF oder DKIM nicht bestehen (annehmen, aussortieren, ablehnen).
Wie prüfe ich MX-Einträge per nslookup oder dig?
Unter Windows in der Eingabeaufforderung: <code>nslookup -type=mx ihre-domain.de</code>. Unter Linux oder macOS im Terminal: <code>dig mx ihre-domain.de +short</code>. Beide zeigen Ihnen die hinterlegten Mailserver mit ihrer Priorität. Das ist die rohe Variante — MXToolbox macht im Hintergrund dasselbe, präsentiert es nur schöner und ergänzt Plausibilitätsprüfungen.
Meine Mails landen beim Empfänger im Spam. Was sagt MXToolbox dazu?
Meist zwei Dinge. Erstens: SPF unvollständig oder falsch — Ihr Mailprovider steht nicht drin, obwohl von dort Mails rausgehen. Zweitens: DMARC fehlt oder ist zu locker. Wenn zusätzlich die IP Ihres Mailservers auf einer Blacklist steht, zeigt MXToolbox das im Blacklist-Check. Alle drei Punkte haben mit „Spam-Landung" zu tun.
Was ist ein „SuperTool"-Check?
MXToolbox-Jargon für die Gesamtprüfung. Unter mxtoolbox.com/SuperTool.aspx geben Sie Ihre Domain ein, wählen zum Beispiel „MX Lookup" oder „Domain Health" und bekommen eine Übersicht aller relevanten Einträge auf einmal. Für den ersten Eindruck reicht „Domain Health".
Warum sehe ich DKIM-Fehler, obwohl mein Provider DKIM unterstützt?
Fast immer, weil der DKIM-Selector fehlt oder falsch geschrieben ist. DKIM funktioniert mit Selectors wie „default", „google", „s1" — der DNS-Eintrag muss unter dem richtigen Namen gespeichert sein. Manche Provider generieren den Schlüssel erst, wenn Sie in der Admin-Oberfläche auf „DKIM aktivieren" klicken.
DMARC steht auf p=none. Ist das gut oder schlecht?
p=none bedeutet: Empfänger prüfen zwar Ihre Mails, lehnen aber nichts. Das ist Monitoring-Modus — sinnvoll in den ersten Wochen, um zu sehen, was läuft. Danach sollten Sie auf p=quarantine (Spam-Ordner) und später p=reject (Ablehnung) wechseln. Ohne diesen Schritt haben Spammer freie Bahn, Ihre Domain zu fälschen.
Meine Domain steht auf einer Blacklist. Wie kommt man da raus?
Jede Blacklist hat eigenen Prozess. Gut aufgestellte Listen (Spamhaus, SORBS, Barracuda) haben Delist-Formulare. Man muss die Ursache beheben (kompromittiertes Konto, offener Relay, schlechte Absenderreputation) und anschließend die Entfernung beantragen. Manche Listen entfernen automatisch nach einigen Wochen Ruhe. Kurzfristig hilft oft ein temporärer Wechsel zu einem Transactional-Mailprovider.
Welche Alternativen gibt es zu MXToolbox?
Für den schnellen Blick: <strong>dnschecker.org</strong> (auch propagation-check über mehrere DNS-Server weltweit), <strong>intoDNS</strong> (klassische DNS-Diagnose mit klaren Hinweisen), <strong>mail-tester.com</strong> (testet zusätzlich, wie eine konkrete Mail bewertet wird), <strong>dmarcian.com</strong> (DMARC-Reports verstehen). Auf der Kommandozeile reichen oft <code>dig</code> oder <code>nslookup</code>. MXToolbox bleibt der Standard, weil alles auf einer Seite liegt.
Was kostet das Aufräumen in der Praxis?
Grundsetup mit SPF, DKIM, DMARC bei einem Standard-Provider (All-Inkl, Hetzner, Microsoft 365, Google Workspace) typisch 30 bis 60 Minuten. Wenn mehrere Subdomains, mehrere Mailstraßen oder eine eigene Mailserver-Appliance im Spiel sind, eher 60 bis 120 Minuten. Abrechnung pro halbe Stunde.