So richtest du E-Mail-Health-Monitoring für deine Domain ein: Vollständige Anleitung

Die stille Krise der E-Mail-Deliverability#

Deine Website läuft. Deine Server arbeiten reibungslos. Deine Kunden sollten Passwort-Reset-Mails, Bestellbestätigungen und Versandbenachrichtigungen erhalten.

Nur tun sie das nicht.

Deine E-Mails werden blockiert, landen im Spam oder verschwinden komplett. Du merkst es nicht, weil du keinerlei Sichtbarkeit hast. Deine Kunden beschweren sich, dass „Passwort-Resets nicht funktionieren", bevor du überhaupt realisierst, dass deine E-Mails seit drei Tagen kaputt sind.

Genau das ist die E-Mail-Health-Krise, von der jährlich 47 % aller Unternehmen betroffen sind.

Die Lösung? E-Mail-Health-Monitoring, das automatisch prüft, ob die SPF-, DKIM- und DMARC-Einträge deiner Domain korrekt konfiguriert sind – und dich in dem Moment alarmiert, in dem etwas kaputtgeht.

Was E-Mail-Health-Monitoring prüft#

Bevor du das Monitoring einrichtest, solltest du verstehen, was eigentlich geprüft wird:

1. MX-Records (Mail Exchange)

Sie sagen E-Mail-Systemen, wohin deine E-Mails zugestellt werden sollen.

Korrekt: yourdomain.com hat MX-Records, die auf einen Mailserver zeigen
Kaputt: yourdomain.com hat keine MX-Records → E-Mails bouncen sofort

2. SPF-Records (Sender Policy Framework)

Sie autorisieren, welche Server E-Mails im Namen deiner Domain versenden dürfen.

Ohne SPF: Jeder kann E-Mails verschicken, die scheinbar von dir kommen
Folge: Deine E-Mails landen im Spam (wirken verdächtig)

Mit SPF: Gmail, SendGrid usw. authentifiziert → E-Mails passieren Spam-Filter

3. DKIM-Records (DomainKeys Identified Mail)

Sie signieren deine E-Mails kryptografisch, um zu beweisen, dass sie wirklich von dir stammen.

Ohne DKIM: E-Mail-Server können nicht verifizieren, dass du der Absender bist
Folge: Spam-Filter werden misstrauisch

Mit DKIM: Deine E-Mail ist kryptografisch signiert → Filter vertrauen ihr

4. DMARC-Policy (Domain-based Message Authentication, Reporting, Conformance)

Sie sagt E-Mail-Systemen, was zu tun ist, wenn eine E-Mail die SPF-/DKIM-Prüfung nicht besteht.

Ohne DMARC: Policy unklar. E-Mail kann je nach Filter-Laune durchgehen oder nicht
Folge: Unvorhersehbare Deliverability

Mit DMARC: „Reject"-Policy = strenge Durchsetzung. „Quarantine" = Spam-Ordner

5. Blacklist-Status

Steht deine IP-Adresse auf Spam-Blacklists? Manche Provider blockieren E-Mails von gelisteten IPs komplett.

E-Mail-Health-Monitoring prüft alle fünf Punkte automatisch, berechnet einen Score (0–100) und vergibt eine Note (A–F).

E-Mail-Health-Monitoring einrichten: Schritt für Schritt#

Schritt 1: Öffne dein E-Mail-Health-Dashboard#

In Nova Uptime:

1. Logge dich auf go.novauptime.com ein
2. Klicke auf „Dashboard"
3. Klicke auf die Domain, die du überwachen willst
4. Wechsle zum Tab „E-Mail-Health"

Du siehst den aktuellen Status aller E-Mail-Einträge.

Schritt 2: Erste E-Mail-Health-Prüfung#

Beim ersten Check führt Nova Uptime folgendes aus:

1. DNS-Abfrage der MX-Records
2. Scan nach SPF-Records
3. Auto-Erkennung von DKIM-Selektoren (scannt 50+ gängige Selektoren)
4. Suche nach DMARC-Policy
5. Prüfung der IP-Reputation gegen Blacklists

Das Ergebnis sieht in etwa so aus:

📊 E-Mail-Health-Score: 72/100 (Note C)

MX-Records: ✅ Konfiguriert (mail.yourdomain.com)
SPF-Record: ✅ Konfiguriert (include:sendgrid.net)
DKIM: ⚠️ Teilweise konfiguriert (gefunden auf Selektor s1, DKIM2 fehlt)
DMARC: ❌ Nicht konfiguriert (keine p=reject Policy)
Blacklist-Status: ✅ Sauber (alle 4 Blacklists bestanden)

Empfehlungen:
1. DKIM2-Selektor für Redundanz hinzufügen
2. DMARC p=reject Policy konfigurieren, um Spoofing zu verhindern
3. -all zu SPF hinzufügen (strengere Durchsetzung)

Schritt 3: Probleme beheben (falls vorhanden)#

Wenn dein E-Mail-Health-Score niedrig ist, folge den Empfehlungen.

Häufige Fixes:

SPF fehlt: Kontaktiere deinen E-Mail-Dienst (SendGrid, Mailgun, Gmail usw.) und frage nach dem SPF-String. Füge ihn dann zum DNS deiner Domain hinzu:

v=spf1 include:sendgrid.net include:_spf.google.com -all

DKIM fehlt: In SendGrid → Settings → Domains → Authenticate Domain Füge dann den bereitgestellten DKIM-DNS-Eintrag zu deiner Domain hinzu:

s1._domainkey.yourdomain.com TXT "v=DKIM1; k=rsa; p=..."

DMARC fehlt: Lege einen neuen DNS-Eintrag an:

_dmarc.yourdomain.com TXT "v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com"

Schritt 4: Automatisches Monitoring konfigurieren#

Nachdem du die Probleme behoben hast, richte automatisches Monitoring ein, damit zukünftige Probleme dich sofort alarmieren.

In Nova Uptime:

1. Domain-Einstellungen → E-Mail-Health
2. Prüf-Intervall: Wöchentlich (Standard) oder Täglich
3. Alert-Schwelle: Score unter 70 (automatischer Alert, falls der Score fällt)
4. Benachrichtigungskanal: E-Mail oder Slack
5. Speichern

Ergebnis: Nova Uptime prüft die E-Mail-Health automatisch jede Woche. Fällt der Score unter 70, bekommst du einen Alert:

⚠️ Alert: E-Mail-Health verschlechtert
Domain: yourdomain.com
Score: 68/100 (vergangene Woche: 72)
Veränderung: -4 Punkte

Was hat sich geändert:
- DKIM-Record scheint zu fehlen (Selektor s1)
- Mögliche Ursache: DKIM-Key-Rotation läuft gerade?

Aktion: DKIM-Konfiguration im E-Mail-Dienst prüfen

Schritt 5: E-Mail-Health-Reports einrichten#

Über Alerts hinaus willst du regelmäßige Reports, die Trends in der E-Mail-Health zeigen.

In Nova Uptime:

1. Settings → Reports
2. „Wöchentliche E-Mail-Health-Zusammenfassung" aktivieren
3. Empfänger: deine.email@yourdomain.com
4. Tag/Uhrzeit: Freitag 9 Uhr

Jeden Freitag bekommst du:

📧 E-Mail-Health-Report — 21. Feb. 2026

Domain: yourdomain.com
Score: 82/100 (Note B) ✅ 4 Punkte mehr als letzte Woche

Status der Records:
- MX: ✅ Konfiguriert
- SPF: ✅ Konfiguriert
- DKIM: ✅ Konfiguriert (4 Selektoren)
- DMARC: ✅ Konfiguriert (p=reject)
- Blacklist: ✅ Alles sauber

Empfehlungen:
- Alles ist korrekt konfiguriert
- Behalte die DKIM-Key-Rotationspläne im Blick

Trend:
14. Feb.: 78/100
21. Feb.: 82/100 ← Du bist hier

Sieht alles gut aus!

Fortgeschritten: E-Mail-Health in deine Incident Response einbinden#

E-Mail-Health-Monitoring ist nicht nur eine Compliance-Übung. Es ist ein zentraler Bestandteil deines Infrastruktur-Monitorings.

Pattern 1: E-Mail-Health mit der E-Mail-Zustellung verknüpfen#

Wenn Kunden-E-Mails blockiert werden, prüfe die E-Mail-Health:

Slack-Alert-Pattern:

⚠️ Alert: E-Mail-Zustellung
E-Mail-Dienst meldet erhöhte Bounce-Rate: 5 % (normal: 0,2 %)

Wahrscheinliche Ursachen (sortiert):
1. E-Mail-Health verschlechtert (Domain-Records prüfen)
2. Quota des E-Mail-Dienstes erreicht
3. Empfänger-Blacklist-Filter

Prüfen: /email-health zeigt aktuellen Domain-Score

Pattern 2: Automatisierte DKIM-Rotation#

Manche E-Mail-Dienste rotieren DKIM-Keys automatisch. Du willst Alerts, wenn das passiert.

Setup:

1. DKIM-Rotation einmal pro Monat geplant
2. E-Mail-Health-Check sieht „DKIM-Selektor geändert"
3. Alert feuert: „DKIM-Selektor von s1 auf s2 geändert"
4. Slack-Post: „Routine-DKIM-Rotation abgeschlossen"
5. Post-Mortem: Prüfen, ob E-Mails weiterhin normal zugestellt werden

Pattern 3: SPF- und DMARC-Policies#

Behalte im Blick, ob du strenge Policies durchsetzt oder zu lax fährst.

Aktuelle Monats-Policy:

SPF: -all (streng, reject)
DMARC: p=reject (streng, reject)
→ Sehr strenge E-Mail-Authentifizierung

Folge: E-Mail-Sicherheit HOCH, aber Risiko, dass legitime E-Mails abgelehnt werden, falls SPF/DKIM ausfallen

Häufige Fehler beim E-Mail-Health-Monitoring#

Fehler 1: Nur prüfen, wenn E-Mails kaputt sind#

Problem: Du prüfst die E-Mail-Health nie. Dann hören Kunden-E-Mails auf zu funktionieren. Du gerätst in Panik und prüfst. Das Problem war ein Konfigurationsfehler vor drei Wochen.

Lösung: Automatisch monitoren. Wöchentlich prüfen. Alerts bekommen, wenn sich etwas ändert.

Fehler 2: Den Score nicht verstehen#

Problem: Score fällt von 90 auf 85. Du flippst aus. Der Score ist immer noch im grünen Bereich.

Lösung: Verstehe, was die Score-Bereiche bedeuten:

• 90–100: Exzellent. Alle Records streng konfiguriert.
• 80–89: Gut. Kern-Records konfiguriert, kleine Lücken.
• 70–79: Akzeptabel. Manche Records fehlen. E-Mails kommen meistens an.
• 50–69: Schwach. Wichtige Records fehlen. E-Mails landen wahrscheinlich im Spam.
• <50: Kaputt. Die meisten E-Mails kommen nicht an.

Fehler 3: Auf Alerts nicht reagieren#

Problem: Nova Uptime sendet einen Alert „DKIM fehlt". Du liest ihn, behebst das Problem aber nicht. Die E-Mail-Health verschlechtert sich weiter.

Lösung: Behandle E-Mail-Health-Alerts wie Uptime-Alerts. Behebe Probleme innerhalb von 24 Stunden.

Fehler 4: SPF-Record zu vage#

Problem: SPF-Record: v=spf1 ~all (soft fail)

• Bedeutet: „Vielleicht SPF-autorisiert"
• E-Mail-Filter sind unsicher
• Spam-Filter: „Vielleicht ist das Spam?"

Lösung: Nutze v=spf1 ... -all (hard fail)

• Bedeutet: „Nur diese Server sind autorisiert"
• E-Mail-Filter sind sicher
• Spam-Filter: „Das ist definitiv von ihnen"

Fehler 5: DMARC-Policy zu lax#

Problem: DMARC: p=none (keine Durchsetzung)

• Bedeutet: „Keine Policy. Was passiert, passiert"
• Angreifer können deine Domain spoofen
• E-Mails kommen an, sind aber nicht abgesichert

Lösung: Nutze p=reject (strenge Durchsetzung)

• Bedeutet: „E-Mails ablehnen, die die Authentifizierung nicht bestehen"
• Angreifer können dich nicht spoofen
• E-Mails kommen nur an, wenn sie korrekt signiert sind

Praxisbeispiel: Ein echtes E-Mail-Health-Problem beheben#

Lass uns ein konkretes Problem durchgehen:

Ausgangszustand: E-Mail-Health-Score = 52/100 (Note F)#

MX-Records: ✅ Konfiguriert
SPF-Record: ❌ Nicht konfiguriert
DKIM: ⚠️ Nur ein Selektor (s1) konfiguriert, s2 fehlt
DMARC: ❌ Nicht konfiguriert
Blacklist-Status: ✅ Sauber

Problem 1: SPF nicht konfiguriert#

Alert: „SPF-Record fehlt. Risiko von E-Mail-Spoofing."

Fix:

1. In SendGrid einloggen
2. Settings → Domain Authentication
3. SPF-String kopieren: v=spf1 include:sendgrid.net -all
4. Zum Domain-DNS hinzufügen (über den Registrar)
5. 24 Stunden auf DNS-Propagation warten
6. Erneut in Nova Uptime prüfen

Nach dem Fix: SPF: ✅ Konfiguriert → Score steigt

Problem 2: DKIM unvollständig#

Alert: „DKIM-Selektor s2 fehlt. Redundanz empfohlen."

Fix:

1. In SendGrid s2-DKIM-Selektor erzeugen
2. DKIM-DNS-Records für s1 und s2 hinzufügen
3. Erneut in Nova Uptime prüfen

Nach dem Fix: DKIM: ✅ Vollständig konfiguriert (s1, s2) → Score steigt

Problem 3: DMARC nicht konfiguriert#

Alert: „DMARC-Policy fehlt. Spoofing-Schutz deaktiviert."

Fix:

1. DNS-Eintrag anlegen: _dmarc.yourdomain.com
2. Wert setzen: v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com
3. Erneut in Nova Uptime prüfen

Nach dem Fix: DMARC: ✅ Konfiguriert (p=reject) → Score steigt

Endzustand: E-Mail-Health-Score = 92/100 (Note A)#

MX-Records: ✅ Konfiguriert
SPF-Record: ✅ Konfiguriert (-all Durchsetzung)
DKIM: ✅ Vollständig konfiguriert (Selektoren s1, s2)
DMARC: ✅ Konfiguriert (p=reject Policy)
Blacklist-Status: ✅ Sauber

Alle Systeme grün!

Best Practices fürs Monitoring#

Tages-/Wochenrhythmus#

Täglich: Automatische Checks laufen im Hintergrund. Du musst nichts tun.

Wöchentlich: Du bekommst eine E-Mail-Health-Zusammenfassung per Mail. Zwei Minuten zum Durchlesen.

Monatlich: Umfassendes Audit deiner E-Mail-Infrastruktur:

• DKIM-Key-Rotationsplan überprüfen
• Prüfen, ob SPF-Includes noch aktuell sind
• DMARC-Reject-Rate-Reports prüfen
• Blacklist-Status checken
• Anstehende Infrastruktur-Änderungen planen

Incident Response#

Wenn ein E-Mail-Health-Alert feuert:

1. Alert innerhalb von 30 Minuten bestätigen
2. Root Cause identifizieren (meist DNS-Fehlkonfiguration oder Key-Rotation)
3. Innerhalb von 1–2 Stunden beheben
4. Fix mit einem neuen E-Mail-Health-Check verifizieren
5. Im Post-Mortem dokumentieren

Fortgeschritten: E-Mail-Health-API-Integration#

Wenn du 100+ Domains verwaltest oder automatisiertes DNS-Management hast, nutze die Email-Health-API von Nova Uptime:

# E-Mail-Health für eine Domain prüfen
curl -H "X-API-Key: your-key" \
  https://api.novauptime.com/api/v1/domains/yourdomain.com/email-health

# Antwort:
{
  "domain": "yourdomain.com",
  "score": 92,
  "grade": "A",
  "records": {
    "mx": "✅",
    "spf": "✅",
    "dkim": "✅",
    "dmarc": "✅",
    "blacklist": "✅"
  },
  "lastChecked": "2026-02-21T09:00:00Z"
}

Zusammenfassung: Checkliste fürs E-Mail-Health-Monitoring#

• ✅ Aktuellen E-Mail-Health-Score deiner Domain prüfen
• ✅ Fehlerhafte Records (SPF, DKIM, DMARC) beheben
• ✅ Automatische wöchentliche E-Mail-Health-Checks konfigurieren
• ✅ Alerts einrichten, falls der Score unter 70 fällt
• ✅ Wöchentliche E-Mail-Health-Zusammenfassung aktivieren
• ✅ Deine DNS-Records dokumentieren (Backup in einer Tabelle)
• ✅ DKIM-Rotationsplan vorbereiten
• ✅ DMARC-Policy auf p=reject setzen (strenge Durchsetzung)
• ✅ Auf Veränderungen im Blacklist-Status achten
• ✅ Monatliches Audit der E-Mail-Authentifizierung

Jetzt starten#

Warte nicht, bis deine E-Mails nicht mehr ankommen, um zu merken, dass du ein E-Mail-Health-Problem hast.

Mach jetzt einen kostenlosen E-Mail-Health-Check für deine Domain. Dauert 30 Sekunden.

Wenn du dauerhaftes automatisiertes Monitoring willst, füge deine Domain zu Nova Uptimes kostenlosem Tier hinzu. Du bekommst automatische wöchentliche E-Mail-Health-Checks, Alerts bei Verschlechterung und monatliche Reports. Keine Kreditkarte nötig.

Deine E-Mails sind missionskritische Infrastruktur. Überwache sie auch so.