Domain-Vertrauen, erklärt
Verständliche Leitfäden zu den Vertrauenssignalen, nach denen Browser, Postfächer und Prüfer Ihre Domains beurteilen — was jedes bedeutet, wie Sie Ihr Ergebnis lesen und wie Sie es beheben. Ohne Anmeldung.
SPF, DKIM & DMARC
SPF, DKIM und DMARC teilen empfangenden Mailservern mit, dass eine Nachricht wirklich von Ihnen stammt. Ohne sie kann jeder E-Mails im Namen Ihrer Domain versenden — und Postfachanbieter weisen Domains, die sie nicht setzen, zunehmend ab oder stellen sie in Quarantäne.
Warum es wichtig ist
Schwache E-Mail-Authentifizierung ist der häufigste Weg, über den Marken beim Phishing gefälscht werden, und eine DMARC-Richtlinie mit p=none verschafft Ihnen Sichtbarkeit ohne jeden Schutz. Postfachanbieter erwarten inzwischen eine Durchsetzung.
So lesen Sie Ihr SkyQon-Ergebnis
SkyQon zeigt Vorhandensein und Richtlinie jedes Eintrags, meldet SPF-Abfragen, die das Limit von 10 DNS-Anfragen überschreiten, und warnt, wenn DMARC bei p=none feststeckt oder die Ausrichtung fehlschlägt.
So beheben Sie es
Veröffentlichen Sie SPF und DKIM, und stellen Sie DMARC dann von p=none auf quarantine und schließlich reject um, sobald Ihre legitimen Absender bestehen. SkyQon liefert die exakten Einträge und prüft nach der Anwendung erneut.
Häufige Fehler
Ein zweiter SPF-Eintrag (nur einer ist erlaubt), eine p=reject-Richtlinie ohne Berichtsadresse und ungeschützte Subdomains — Angreifer fälschen bereitwillig die vergessene.
Signiertes, manipulationssicheres DNS
DNS ist das Adressbuch für alles, was Ihre Domain tut. DNSSEC signiert Ihre DNS-Antworten kryptografisch, sodass Resolver Manipulationen oder Cache-Poisoning erkennen können.
Warum es wichtig ist
Unsigniertes DNS erlaubt es Angreifern, Antworten zu fälschen und Ihre E-Mails oder Website unbemerkt umzuleiten. CAA-, MTA-STS- und TLS-RPT-Einträge bieten weitere Schutzmechanismen, die viele Domains nie setzen.
So lesen Sie Ihr SkyQon-Ergebnis
SkyQon meldet, ob DNSSEC aktiviert und gültig ist, ob ein CAA-Eintrag einschränkt, wer Zertifikate für Sie ausstellen darf, und ob MTA-STS und TLS-RPT vorhanden und konsistent sind.
So beheben Sie es
Aktivieren Sie DNSSEC bei Ihrem DNS-Anbieter und veröffentlichen Sie den DS-Eintrag bei Ihrem Registrar; fügen Sie einen CAA-Eintrag mit Ihrer Zertifizierungsstelle hinzu; veröffentlichen Sie MTA-STS- und TLS-RPT-Richtlinien. SkyQon liefert jeden Eintrag und kann unterstützte Korrekturen für Sie anwenden.
Häufige Fehler
DNS signieren, aber den DS-Eintrag beim Registrar nie hinzufügen (sodass nichts tatsächlich validiert wird), und ein CAA-Eintrag, der versehentlich Ihre eigene Zertifizierungsstelle aussperrt.
Zertifikate, die nie ablaufen
Ihre TLS-Zertifikate und die Cipher-Konfiguration sind das, was ein Browser prüft, bevor er das Schloss anzeigt. Ein abgelaufenes oder falsch ausgestelltes Zertifikat ist ein sofortiger, sichtbarer Ausfall.
Warum es wichtig ist
Der Ablauf von Zertifikaten zählt nach wie vor zu den häufigsten selbstverschuldeten Ausfällen, und schwache TLS-Versionen oder Cipher lassen Audits still scheitern und untergraben das Vertrauen, lange bevor etwas ausfällt.
So lesen Sie Ihr SkyQon-Ergebnis
SkyQon verfolgt Ablauf, Kette und Schlüsselstärke jedes Zertifikats über Ihre Domains hinweg, bewertet die TLS-Konfiguration und markiert alles, was innerhalb Ihres Warnfensters abläuft.
So beheben Sie es
Erneuern Sie vor Ablauf (oder automatisieren Sie es), entfernen Sie veraltetes TLS 1.0/1.1 und schwache Cipher, und liefern Sie die vollständige Kette aus. SkyQon warnt bis zu 30 Tage im Voraus und kann Erneuerungen für Sie überwachen.
Häufige Fehler
Das Leaf-Zertifikat erneuern, aber ein Zwischenzertifikat vergessen, nur die Hauptdomain überwachen, während eine Subdomain abläuft, und interne Zertifikate, für die sich niemand zuständig fühlt.
Nachweise statt Versprechen
NIS2, DORA und eIDAS verlangen zunehmend, dass Sie nachweisen, dass Ihre Domain-Vertrauenskontrollen tatsächlich funktionieren — nicht nur behaupten. Das erfordert datierte, überprüfbare Nachweise.
Warum es wichtig ist
Prüfer und Aufsichtsbehörden wollen Nachweise statt Versprechen. Screenshots altern schlecht und lassen sich leicht anzweifeln; ein signierter, mit Zeitstempel versehener Nachweis Ihrer Lage nicht.
So lesen Sie Ihr SkyQon-Ergebnis
SkyQon verwandelt die kontinuierliche Überwachung in einen signierten Nachweisbericht, der auf die relevanten Kontrollerwartungen abgebildet ist, mit einem Inhalts-Hash, den jeder unabhängig überprüfen kann.
So beheben Sie es
Erstellen Sie den Nachweisbericht für den geprüften Zeitraum und übergeben Sie ihn Ihrem Prüfer; der öffentliche Prüfer bestätigt, dass er nicht verändert wurde. SkyQon liefert den Nachweis — ehrlich als „ausgerichtet auf“ dargestellt, nie als „zertifiziert“.
Häufige Fehler
Einen Scan-Screenshot als Nachweis zu behandeln und „ausgerichtet auf NIS2“ mit „NIS2-zertifiziert“ zu verwechseln — SkyQon macht hier bewusst einen Unterschied.
Nachahmungen früh erkennen
Angreifer registrieren ähnlich aussehende Domains — vertauschte Buchstaben, zusätzliche Bindestriche, andere Endungen — um Ihre Kunden und Mitarbeitenden zu phishen. Meist erfahren Sie es erst nach dem Schaden.
Warum es wichtig ist
Eine überzeugende Nachahmung mit gültigem Zertifikat ist alles, was eine Phishing-Kampagne braucht. Certificate-Transparency-Protokolle machen solche Registrierungen früh sichtbar — wenn Sie hinsehen.
So lesen Sie Ihr SkyQon-Ergebnis
SkyQon überwacht Certificate Transparency auf Zertifikate, die für Namen ähnlich Ihren ausgestellt werden, und bringt neu gesichtete Nachahmungen zutage, damit Sie handeln können, bevor eine Kampagne startet.
So beheben Sie es
Priorisieren Sie jede Nachahmung, fordern Sie Takedowns für die bösartigen an und registrieren Sie die risikoreichsten Varianten vorab. Das Brand-Protection-Add-on von SkyQon verfolgt Fälle und Missbrauchskontakte durchgängig.
Häufige Fehler
Nur Ihre exakte Domain zu überwachen, andere Endungen (.io / .co / .app) zu ignorieren und anzunehmen, eine Nachahmung sei harmlos, bis sie zur Waffe wird.
Starten Sie den Migrations-Countdown
Ein künftiger Quantencomputer könnte die RSA- und ECC-Verschlüsselung brechen, die den heutigen Datenverkehr schützt. „Harvest-now, decrypt-later“ bedeutet, dass heute abgefangene Daten später entschlüsselt werden können — der Countdown läuft also bereits.
Warum es wichtig ist
Aufsichtsbehörden und Normungsgremien veröffentlichen bereits Post-Quantum-Zeitpläne. Zu wissen, wo klassische Kryptografie in Ihrer Umgebung steckt, ist der erste Schritt — und das braucht Zeit.
So lesen Sie Ihr SkyQon-Ergebnis
SkyQon bewertet die Post-Quantum-Bereitschaft Ihres TLS- und Zertifikatsbestands und inventarisiert, wo quantenanfällige Algorithmen noch im Einsatz sind.
So beheben Sie es
Erstellen Sie ein Krypto-Inventar, priorisieren Sie langlebige Geheimnisse und nach außen gerichtete Dienste und planen Sie die Einführung von Hybrid/PQC, sobald Ihre Anbieter sie bereitstellen. Das PQC-Roadmap-Tooling von SkyQon strukturiert den Übergang.
Häufige Fehler
Post-Quantum als Problem für später zu behandeln und langlebige Daten zu übersehen, die ein „Harvest-now“-Angreifer zuerst ins Visier nimmt.
Die EU-Checkliste für Domain-Vertrauen
Eine einseitige Checkliste der Zertifikats-, DNS-, E-Mail- und Nachweiskontrollen, die wir prüfen — mit der Lösung für jede. Nutzen Sie sie zur Selbsteinschätzung, bevor Sie einen Scan starten.
Glossar
Die Akronyme hinter den Befunden, je in einer Zeile.
- SPF
- Sender Policy Framework — listet, welche Server E-Mails für Ihre Domain senden dürfen.
- DKIM
- DomainKeys Identified Mail — eine kryptografische Signatur, die belegt, dass eine Nachricht unterwegs nicht verändert wurde.
- DMARC
- Sagt Postfächern, was mit E-Mails geschehen soll, die SPF oder DKIM nicht bestehen, und wohin Berichte gehen.
- DNSSEC
- Signiert Ihre DNS-Einträge, sodass Resolver gefälschte oder manipulierte Antworten erkennen können.
- CAA
- Ein DNS-Eintrag, der die Zertifizierungsstellen benennt, die Zertifikate für Ihre Domain ausstellen dürfen.
- MTA-STS
- Erzwingt eingehende Mail an Ihre Domain über authentifiziertes, verschlüsseltes TLS.
- TLS-RPT
- Liefert Berichte, wenn die TLS-Zustellung an Ihre Mailserver fehlschlägt.
- CT
- Certificate Transparency — öffentliche Protokolle jedes ausgestellten Zertifikats, um Nachahmungen und Fehlausstellungen zu erkennen.
- OV / EV
- Organisations- und Extended-Validation-Zertifikate, die eine geprüfte Rechtsidentität mit einer Domain verbinden.
- QWAC
- Qualified Website Authentication Certificate — ein eIDAS-qualifiziertes Zertifikat, das die Website-Identität in der EU nachweist.
- PQC
- Post-Quantum-Kryptografie — Algorithmen, die Angriffen durch Quantencomputer standhalten sollen.
- OCSP
- Online Certificate Status Protocol — eine Live-Prüfung, ob ein Zertifikat widerrufen wurde.