Tests

Wir scannen regelmäßig Test-Domains großer Webhosting-Anbieter aus Deutschland, um einen Überblick über den Stand der Umsetzung der Maßnahmen zur E-Mail-Sicherheit zu erhalten. Die Scans werden monatlich automatisch wiederholt und die Ergebnisse fortlaufend aktualisiert. Gleichzeitg beschreiben wir auf dieser Seite, wie Sie Ihre eigenen E-Mail-Server testen können.


Hinweis: Die nachfolgenden Ergebnisse liefern Informationen über die Entgegennahme von E-Mails, also über die eingehende Konfiguration von Mail-Servern. Die ausgehende Konfiguration wird nicht untersucht.


Verteilung der niedrigsten TLS-Versionen auf die getesteten Domains (untere TLS-Grenze)

Die folgende Grafik gibt an, wie viele Mail-Server der getesteten Domains ab welcher TLS-Version E-Mails annehmen. Fahren Sie für Details mit Ihrer Maus auf die Grafik.



Verteilung der höchsten TLS-Versionen auf die getesteten Domains (obere TLS-Grenze)

Die folgende Grafik gibt an, wie viele Mail-Server der getesteten Domains bis zu welcher TLS-Version E-Mails annehmen. Fahren Sie für Details mit Ihrer Maus auf die Grafik.


Verteilung von DANE auf die getesteten Domains

Die folgende Grafik gibt an, wie viele Mail-Server der getesteten Domains DANE eingehend unterstützen. Fahren Sie für Details mit Ihrer Maus auf die Grafik.


Details zu den getesteten Providern und den Test-Domains

Die folgende Grafik enthält Angaben zu den getesteten Providern und zur Verteilung der Test-Domains. Fahren Sie für Details mit Ihrer Maus auf die Grafik.


Die folgende Tabelle gibt Auskunft über die getesteten Provider, die Verteilung der Test-Domains und die niedrigste und höchste TLS-Version, die jeweils unterstützt wird. Außerdem liefert sie für jeden Provider die Information, ob DANE unterstützt wird.


Die folgende Tabelle gibt an, wie viele der Test-Domains für die Scans verwendet werden können, und welche aufgrund von fehlenden MX-Records, Verbindungsproblemen oder Fehlkonfigurationen nicht.


Selber testen

Im Netz finden Sie mehrere Test-Tools, mit denen Sie Ihre eingehenden E-Mail-Server schnell und unkompliziert auf Konformität mit den geforderten Maßnahmen der Datenschutz-Aufsichtsbehörden testen können. Uns haben insbesondere folgende Tools überzeugt:

TLS-Verschlüsselung eingehender Mail-Server (inkl. PFS)https://tls.imirhil.fr/
(prüft kein TLS 1.3)

https://www.checktls.com/TestReceiver
(prüft auch TLS 1.3)

https://github.com/drwetter/testssl.sh
(für erfahrene Anwender; prüft auch TLS 1.3)
DANEhttps://dane.sys4.de/

https://www.checktls.com/TestReceiver
DNSSEChttps://dnssec-analyzer.verisignlabs.com/

Auf die Empfehlung eines Tools zur Überprüfung des Verfahrens MTA-STS verzichten wir an dieser Stelle bewusst, da mit DANE ein höheres Schutzniveau erreicht werden kann, und MTA-STS in der Orientierungshilfe der Aufsichtsbehörden nicht explizit benannt wird.

Die Konfiguration Ihrer ausgehenden E-Mail-Server (z.B. ob für den E-Mail-Versand eine obligatorische Transportverschlüsselung eingerichtet ist) lässt sich mit Test-Tools „von außen“ leider nicht prüfen. Hierzu sind interne Tests notwendig.


Weitere Tests

Zusätzlich zu den oben genannten Verfahren gibt es weitere sinnvolle Mechanismen zur Absicherung der E-Mail-Kommunikation, auf die in der Orientierungshilfe der Aufsichtsbehörden nicht eingegangen wird. Im Netz gibt es ebenfalls Test-Tools, die eine einfache Überprüfung der jeweiligen Konfiguration ermöglichen:

SPF, DKIM1 & DMARChttps://www.uriports.com/tools

https://www.mailhardener.com/tools/
TLS-Reporting (TLS-RPT)https://www.mailhardener.com/tools/tls-rpt-validator
BIMIhttps://www.mailhardener.com/tools/bimi-validator

1 DKIM wird in der Orientierungshilfe der Aufsichtsbehörden nur zur Überprüfung eingehender E-Mails genannt. Ein DKIM-Record für die eigene E-Mail-Domain im DNS wird nicht gefordert. Daher haben wir den Test zur Überprüfung des eigenen DKIM-Records bei „weitere Tests“ eingeordnet.