Nova Uptime
Domain-Managementdomain-healthdomain-auditdns-check

Domain-Health-Check: Ein vollständiges kostenloses Audit (DNS + SSL + E-Mail + Uptime)

Mach in 5 Minuten ein komplettes kostenloses Domain-Health-Audit: DNS, SSL, E-Mail-Auth (SPF/DKIM/DMARC), Blacklists und Uptime.

SN
Sumit Nova Uptime
29. April 2026 · 12 min read
Share:

Warum Domain-Health zählt#

Wenn die meisten Teams sagen „die Domain ist gesund", meinen sie meist „die Website hat letztes Mal, als jemand geschaut hat, eine 200 zurückgegeben." Das ist ein Signal von mindestens fünf — und vier der anderen vier verursachen mehr Ausfälle, mehr Umsatzverlust und mehr Kundenvertrauensschaden als das eine, das alle beobachten.

Eine Domain ist gesund, wenn sie erreichbar, sicher, authentifiziert, reputabel und beobachtbar ist. SEO hängt davon ab (Google bestraft Mixed Content, abgelaufene Certs und langsame TTFB). Zustellbarkeit hängt davon ab (Gmail und Yahoo weisen Mail von nicht-aligned Domains für Bulk-Sender jetzt ab). Sicherheit hängt davon ab (ein dangling CNAME ist eine Subdomain-Übernahme, die nur darauf wartet zu passieren). Und Kundenvertrauen hängt davon ab (eine Browser-Warnung im Moment, in dem eine Kreditkarte eingegeben wird, ist eine vernichtete Conversion und ein ausgelöstes Refund).

Dieser Guide ist ein 5-Minuten-Audit. Am Ende weißt du genau, welche der fünf Säulen auf deiner Domain gerade still scheitert, welchen Befehl du laufen lässt, um es zu bestätigen, und welches kostenlose Tool auf Nova Uptime du nutzt, um es zu reparieren. Kein Fluff, keine Marketing-Texte — nur das Audit, das ein Senior-SRE durchgehen würde, wenn du ihm eine Domain reichst und fragst: „Ist das Ding in gutem Zustand?"

Die 5 Säulen der Domain-Health#

Bevor wir Säule für Säule gehen, hier das mentale Modell. Jede gesunde Domain besteht alle fünf Checks. Die meisten Produktions-Domains scheitern an mindestens einem — und das Team weiß es selten, bis das Scheitern zu einem Kunden-Ticket wird.

  • Säule 1: DNS-Konfiguration — A, AAAA, MX, CNAME, TXT, DNSSEC. Sind alle Records vorhanden, korrekt und zeigen sie, wohin sie sollen?
  • Säule 2: SSL/TLS-Zertifikate — Gültigkeitsfenster, Chain-Integrität, SAN-Coverage, Cipher-Stärke, HSTS. Wird jeder Browser dem Cert heute und in 60 Tagen vertrauen?
  • Säule 3: E-Mail-Authentifizierung — SPF, DKIM, DMARC, Alignment. Können Angreifer deine Domain spoofen? Landen legitime E-Mails in Inboxen oder Spam-Ordnern?
  • Säule 4: Reputation — DNSBL-Einträge auf Spamhaus, Barracuda, SORBS, SpamCop. Ist deine Sende-IP oder Domain auf einer Blacklist, die deine Zustellbarkeit still röstet?
  • Säule 5: Uptime und Performance — HTTP-Status, Response-Zeit-Perzentile, Multi-Region-Erreichbarkeit, Domain-Expiry, Registrierungsalter. Ist die Site tatsächlich up, schnell und nicht im Begriff, nächsten Dienstag abzulaufen?

Jede Säule hat einen 30-Sekunden-Check, den du aus einem Terminal laufen lassen kannst, eine tiefere Inspektion mit einem kostenlosen Nova-Uptime-Tool und einen kontinuierlichen Monitor, den du einrichten kannst, um vor dem nächsten Failure alarmiert zu werden.

Säule 1: DNS-Konfiguration#

DNS ist das Fundament. Ist DNS falsch, zählt keine der anderen vier Säulen — der Request erreicht deinen Server nie.

Die Records, die zählen#

  • A-Records mappen einen Hostname auf eine IPv4-Adresse. Jede Domain braucht mindestens einen für den Apex und einen für www.
  • AAAA-Records mappen einen Hostname auf eine IPv6-Adresse. Die meisten Teams überspringen sie. Sollten sie nicht. IPv6-Traffic ist inzwischen routinemäßig 30–40% des Mobile-Traffics in Hauptmärkten, und ein fehlender AAAA-Record erzwingt Fallback auf IPv4 — fügt Latenz hinzu und führt in schlecht konfigurierten Carrier-Netzen gelegentlich zu Failures.
  • MX-Records definieren das Mail-Routing. Mehrere MX-Records nutzen Priority-Werte (niedriger = bevorzugt). Der häufigste MX-Bug, den wir sehen, ist ein MX-Record mit Priority 0, der auf die Apex-Domain selbst zeigt, obwohl der Apex keinen SMTP-Listener hat — Mail bounct still.
  • CNAME-Records sind Aliase. Die Gefahr sind dangling CNAMEs: ein CNAME, der auf einen Service zeigt, den du nicht mehr nutzt (ein deaktivierter S3-Bucket, eine alte Heroku-App, eine eingestellte Zendesk-Instanz). Ein Angreifer, der diese Ressource beim Upstream-Provider beansprucht, übernimmt deine Subdomain.
  • TXT-Records tragen Verifikationen, SPF, DMARC, Domain-Eigentums-Tokens. Sie sollten regelmäßig auditiert werden — alte Verifikationen von Diensten, die du nicht mehr nutzt, müllen die Zone zu und erhöhen den SPF-Lookup-Count.
  • DNSSEC fügt eine kryptografische Vertrauenskette zu DNS-Antworten hinzu. Es verhindert Cache-Poisoning und DNS-Hijacking. Es ist nicht streng erforderlich, aber für jede Domain, die Geld, Zugangsdaten oder Healthcare-Daten verarbeitet, ist es empfohlen.

Schnelle Checks#

dig +short A deinedomain.com
dig +short AAAA deinedomain.com
dig +short MX deinedomain.com
dig +short TXT deinedomain.com
dig DNSKEY deinedomain.com +short

Für MX-spezifische Validierung lass Nova Uptimes E-Mail-Health-Checker laufen — er bestätigt MX-Records, Prioritäten und löst jeden MX-Hostname zu einer IP auf.

Säule 2: SSL/TLS-Zertifikate#

Ein funktionierendes Cert reicht nicht. Es gibt sechs unabhängige Dinge, die mit einem SSL-Zertifikat falsch sein können, und die meisten Monitoring-Tools prüfen genau eines davon — das Ablaufdatum.

Was zu verifizieren ist#

  • notBefore und notAfter definieren das Gültigkeitsfenster. Mit Lets Encrypts 90-Tage-Zyklus und dem Industriedruck Richtung 47-Tage-Certs bis 2028 passiert Expiry schnell und still. Du musst es 30 Tage vorher wissen.
  • Issuer-Chain-Integrität. Das Cert, das dein Server präsentiert, muss die Intermediate-Zertifikate enthalten, die es zu einer vertrauenswürdigen Root verlinken. Das Cert validiert in Chrome (das Intermediates cached), bricht aber in älterem Safari, auf iOS oder in Headless-Tools, die fehlende Intermediates nicht nachholen. Das ist der häufigste „aber bei mir im Browser geht's"-SSL-Bug.
  • SAN- (Subject Alternative Name-)Coverage. Das Cert muss jeden Hostname auflisten, den es bedient: Apex, www und alle Subdomains, die dasselbe Cert nutzen. Ein Cert, das für www.deinedomain.com, aber nicht den Bare-Apex gültig ist, ist eine häufige Fehlkonfiguration.
  • Cipher-Suites und Protokollversionen. TLS 1.0 und 1.1 sind veraltet. TLS 1.2 ist die Untergrenze; TLS 1.3 ist das Ziel. Schwache Cipher (RC4, 3DES, alles mit CBC-Mode in älteren Konfigurationen) sollten deaktiviert sein.
  • HSTS-Header. Strict-Transport-Security: max-age=31536000; includeSubDomains; preload weist Browser an, HTTP für immer abzulehnen. Ohne HSTS kann ein Man-in-the-Middle-Angreifer die Verbindung beim ersten Kontakt downgraden.
  • OCSP-Stapling. Der Server hängt einen signierten Beweis der Cert-Gültigkeit an den TLS-Handshake, was einen Round-Trip zum OCSP-Responder der CA eliminiert. Schneller und privater. Die meisten modernen Webserver unterstützen es; wenige haben es aktiviert.

Schneller Check#

echo | openssl s_client -servername deinedomain.com -connect deinedomain.com:443 2>/dev/null \
  | openssl x509 -noout -dates -issuer -subject

Für kontinuierliches Monitoring mit 30-Tage-Expiry-Alerts und Chain-Validierung nutze Nova Uptimes SSL-Expiry-Checker.

Säule 3: E-Mail-Authentifizierung#

Das ist die Säule, in der 2026 die Regeln änderte. Die Bulk-Sender-Enforcement von Gmail und Yahoo bedeutet, ein fehlender oder nicht aligned DMARC-Record kostet jetzt Inbox-Placement, nicht nur Reputation.

SPF — wer für deine Domain senden darf#

SPF ist ein DNS-TXT-Record, der die IPs und Domains auflistet, die als du Mail senden dürfen. Die zwei Fallen:

  • Das 10-DNS-Lookup-Limit. Jeder include: in deinem SPF-Record zählt. SendGrid allein sind 3 Lookups; füg Google Workspace (3), Mailchimp (1) und einen transaktionalen Provider (3) hinzu, und du bist über dem Limit. Empfangende Server geben einen permerror zurück und deine Mail scheitert.
  • Der +all- (oder kein) Qualifier. Der Qualifier am Ende (-all, ~all, ?all, +all) sagt Empfängern, was sie mit Mail aus nicht gelisteten Quellen tun sollen. +all bedeutet „jeder kann als ich senden" — niemals nutzen.

Validiere mit Nova Uptimes SPF-Checker.

DKIM — kryptografische Signatur#

DKIM signiert jede ausgehende Nachricht mit einem privaten Schlüssel. Der Empfänger holt den öffentlichen Schlüssel von selector._domainkey.deinedomain.com und verifiziert die Signatur. Die zwei Fallen:

  • Selector-Verwirrung. Es gibt keinen Wildcard für DKIM. Du musst den Selector kennen, den dein Sende-Dienst nutzt (s1, google, mandrill, selector1 etc.). Der Schlüssel liegt unter {selector}._domainkey.deinedomain.com.
  • Schlüsselrotation. DKIM-Schlüssel sollten jährlich rotiert werden. Die meisten Teams richten sie einmal ein und vergessen sie für fünf Jahre.

Prüfe via Nova Uptimes DKIM-Checker, der 50 häufige Selectors automatisch scannt.

DMARC — die Policy-Schicht#

DMARC sagt empfangenden Servern, was zu tun ist, wenn SPF und DKIM scheitern. Drei Policies:

  • p=none — nur überwachen, keine Aktion. Nutze das in den ersten 2–4 Wochen, während du Reports sammelst.
  • p=quarantine — schickt fehlschlagende Mail in Spam.
  • p=reject — weist fehlschlagende Mail direkt ab. Das ist das Ziel.

Die meisten Domains bleiben für immer auf p=none stecken, weil niemand die Aggregate- (rua-)Reports liest. Sei nicht die meisten Domains. Geh durch unseren DMARC-Policy-Setup-Guide und validiere mit Nova Uptimes DMARC-Checker.

Alignment — der Teil, den jeder verpasst#

DMARC verlangt, dass die SPF- oder DKIM-Domain mit der From-Header-Domain alignt. Eine Nachricht kann SPF (für mailgun.org) und DKIM (signiert von mandrillapp.com) bestehen, aber wenn der From-Header du@deinedomain.com sagt, scheitert DMARC, weil nichts alignt. Lösung: Konfiguriere benutzerdefinierte Return-Path-Domains und DKIM-Signing-Domains für jeden Sende-Dienst.

Für alle vier Checks auf einmal nutze Nova Uptimes E-Mail-Health-Checker — er bewertet SPF, DKIM, DMARC und Alignment zusammen.

Säule 4: Reputation (Blacklists)#

Selbst mit perfekter Authentifizierung landest du bei schlechter Reputation in Spam. DNSBLs (DNS-basierte Blocklists) sind die öffentlichen Anzeigetafeln.

Was DNSBLs tracken#

Manche Blocklists tracken IPs (die Adresse deines Sende-Mail-Servers). Andere tracken Domains (die URI im Nachrichten-Body). Jede Blocklist hat ihre eigenen Listing-Kriterien, aber die häufigen Trigger sind: Senden an Spam-Traps, hohe Beschwerderaten, plötzliche Volumen-Spikes und das Teilen eines IP-Blocks mit bekannten Spammern.

Die Listen, die zählen#

  • Spamhaus SBL/XBL/PBL/DBL — der Goldstandard. Große Mailbox-Provider konsultieren Spamhaus direkt.
  • Barracuda Reputation Block List — stark genutzt von Enterprise-Filtern.
  • SORBS — aggregiert mehrere Feeds; kann aggressiv sein.
  • SpamCop — getrieben von Nutzerbeschwerden; relativ kurze Listing-Dauer, aber hohes Volumen.

Warum du gelistet sein könntest#

Die vier häufigsten Gründe: (1) ein kompromittiertes Konto auf deiner Plattform hat Spam gesendet, (2) ein Kunde in einem Shared-IP-Setup hat das, (3) du hast eine Kampagne an eine alte, unverifizierte Liste geschickt, (4) deine Formulare erlauben unauthentifizierte Anmeldung und Bots nutzen deine Plattform zum Senden.

Wie du prüfst#

Nutze Nova Uptimes Blacklist-Checker — er fragt 60+ DNSBLs parallel ab und zeigt genau, welche Listen deine IPs und Domains markiert haben, mit Delisting-Links für jede.

Wenn du gelistet bist, behebe zuerst das zugrunde liegende Problem (schließ das kompromittierte Konto, säuber die Liste, repariere das Formular) und reiche dann Delisting-Anträge ein. Eine Woche später mit derselben Ursache wieder gelistet zu werden bringt dir einen längeren Bann ein.

Säule 5: Uptime und Performance#

Das ist die Säule, die jeder beobachtet — und auch hier beobachten die meisten Teams nur eine Metrik.

Was zu messen ist#

  • HTTP-Status-Code. 200 ist gesund. 4xx ist dein Problem. 5xx ist das Problem deines Servers. 3xx-Redirects sollten innerhalb von 3 Hops zu 200 auflösen.
  • Response-Zeit-Perzentile. Median (p50) ist die Storyline; p95 und p99 sind die Wahrheit. Eine Site mit 200ms p50 und 9.000ms p99 hat ein ernstes Problem, das 1 von 100 Requests betrifft — meist eine langsame Datenbank-Query oder ein kalter Cache.
  • Multi-Region-Erreichbarkeit. Single-Region-Monitoring fängt deine Ausfälle. Es verpasst die Ausfälle deiner Kunden — den BGP-Route-Flap in Asien, den regionalen Cloudflare-Incident, den ISP-Peering-Streit, der 10% deiner Nutzer betrifft.
  • Failure-Screenshots. Wenn die Site down geht, fang den Bildschirm ein, den der Nutzer sieht. „Site nicht erreichbar" sieht von einem Monitor identisch aus, egal ob das Problem ein 500, eine Cloudflare-Challenge-Page oder ein fehlschlagender iframe eines Payment-Providers ist.
  • Domain-Expiry. Domains laufen ab. Auto-Renew scheitert (abgelaufene Kreditkarte, suspendiertes Registrar-Konto, Billing-E-Mail an die Mailbox eines Ex-Mitarbeiters). Tracke das Ablaufdatum des Registrars — und das Registrierungsalter, das Autorität für SEO signalisiert.

Für kontinuierliches Monitoring mit 59-Sekunden-Intervallen, Multi-Region-Checks, Screenshots und WhatsApp/E-Mail/Webhook-Alerts melde dich auf Nova Uptimes Pricing-Seite an. Für einmalige Checks von Registrierungsalter und Expiry nutze Domain-Expiry-Checker und Domain-Age-Checker.

Die 5-Minuten-Health-Check-Checkliste#

Lass diese in der Reihenfolge laufen. Jeder Schritt hat ein klares Pass/Fail.

  1. DNSdig +short A deinedomain.com && dig +short AAAA deinedomain.com && dig +short MX deinedomain.com. Alle drei sollten Werte zurückgeben. Ist MX leer, ist Mail kaputt.
  2. SSLecho | openssl s_client -servername deinedomain.com -connect deinedomain.com:443 2>/dev/null | openssl x509 -noout -dates. notAfter sollte mehr als 30 Tage entfernt sein.
  3. SPF — besuch /tools/spf-checker, gib deine Domain ein. Score sollte 90+ sein.
  4. DKIM — besuch /tools/dkim-checker, gib deine Domain ein. Status sollte „Configured" sein.
  5. DMARC — besuch /tools/dmarc-checker. Policy sollte quarantine oder reject sein, nicht none.
  6. E-Mail-Health (kombiniert)/tools/email-health gibt eine A–F-Note über alles oben.
  7. Blacklists/tools/blacklist-checker. Null Einträge ist das Ziel.
  8. SSL-Deep-Check/tools/ssl-expiry für Chain-Validierung und 30-Tage-Alerts.
  9. Domain-Expiry/tools/domain-expiry. Sollte mehr als 60 Tage entfernt sein; länger ist besser für SEO-Autorität.
  10. Uptimecurl -o /dev/null -s -w "%{http_code} %{time_total}s\n" https://deinedomain.com. Status 200, Zeit unter 1,5s.

Wenn eines davon scheitert, hast du gerade deine Top-Priorität identifiziert.

Geschichten aus der Praxis#

Ein paar Beispiele aus den letzten sechs Monaten, in denen wir Teams beim Auditieren ihrer Domains geholfen haben:

Das nicht-aligned DKIM, das sich sechs Monate versteckt hat. Eine B2B-SaaS-Firma sendete transaktionale E-Mails über eine eigene Subdomain (mail.ihresite.com), aber das DKIM-d=-Tag war die Domain des Providers, nicht ihre. Gmails Grace Period bedeutete, dass die Mail bei niedrigem Volumen trotzdem in der Inbox landete. Als sie ihre erste große Kampagne fuhren — 50.000 E-Mails — war die Open-Rate 4%. Bounce-Reports zeigten, dass Gmail die Nachrichten monatelang still downgegraded hatte. Die Lösung war eine 10-minütige DNS-Änderung. Die Lektion war, dass „Zustellbarkeit sieht okay aus" keine Messung ist.

Das Intermediate-Cert, das nur Safari bemerkte. Eine E-Commerce-Site hat ihr SSL-Cert über ihren Hoster auto-erneuert. Das neue Cert wurde korrekt deployed, aber das Intermediate-Zertifikat fehlte im Bundle. Chrome und Firefox cachten das Intermediate aus früheren Besuchen und validierten weiter. Safari (das Intermediates nicht aggressiv cached) zeigte eine Vollbild-Sicherheitswarnung. Etwa 18% ihres Checkout-Traffics war iOS-Safari. Sie verloren zwei Tage Umsatz, bevor ein Customer-Support-Ticket die Punkte verband.

Das dangling CNAME, das zu einer Übernahme wurde. Eine alte Marketing-Landing-Page unter promo.ihredomain.com war ein CNAME auf eine Heroku-App, die vor drei Jahren gelöscht worden war. Ein Angreifer registrierte denselben Heroku-App-Namen, und für 12 Stunden lieferte diese Subdomain beliebiges HTML aus — inklusive eines Phishing-Formulars, das die Login-Seite des Unternehmens nachahmte. Die Lösung waren 30 Sekunden DNS-Cleanup. Die Entdeckung war null — das Team fand es nur heraus, als ein Kunde den Phishing-Versuch meldete. Ein monatliches Subdomain-Audit hätte es abgefangen.

Fazit#

Domain-Health sind fünf Säulen, nicht eine. Lass die 5-Minuten-Checkliste oben laufen. Repariere die Failures. Setz dann einen kontinuierlichen Monitor auf die Dinge, die mit der Zeit driften — Certs laufen ab, Blacklists verschieben sich, Registrierungen laufen aus, und SPF-Records wachsen, bis sie das Lookup-Limit brechen. Alle fünf Säulen, kostenlos, in einem Dashboard auf Nova Uptime.

Verwandte Lektüre#

Monitor Your Website Before It Goes Down

Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.

Start Monitoring Free

Verwandte Artikel

Guides25. Feb. 2026

So richtest du E-Mail-Health-Monitoring für deine Domain ein: Vollständige Anleitung

Überwache die E-Mail-Deliverability deiner Domain automatisch. Komplette Anleitung zum Monitoring von SPF, DKIM und DMARC mit automatischen Alerts, sobald.

9 min readLesen
E-Mail-Deliverability29. Apr. 2026

Die besten kostenlosen E-Mail-Health-Tools 2026: Ein Vergleich

8 Free E-Mail-Health-Checker verglichen: Nova Uptime, MXToolbox, DMARCian, EasyDMARC, Postmark, Mailtrap, Sender Score, ZeroBounce. SPF/DKIM/DMARC + Blacklists.

11 min readLesen
Domain-Management18. März 2026

Domain-Ablauf vs. SSL-Ablauf: Wo liegt der Unterschied?

Domain-Ablauf vs. SSL-Ablauf: Was passiert, wenn beide ablaufen, die entscheidenden Unterschiede und wie du beides effektiv überwachst.

6 min readLesen