# E-Mail- und Domain-Schutz fuer anrufer.info

anrufer.info: E-Mail- und Domain-Schutz mit MX, SPF, DKIM-Betreibernachweis, DMARC, DNSSEC, CAA, HSTS und Domainhistorie.

> SaferPage nutzt passive oeffentliche Signale. Es wird keine E-Mail versendet, keine Empfaengeradresse gesammelt und kein privater Mail-Header veroeffentlicht. DKIM braucht Betreiberangaben zu Selectors oder eine echte ausgehende Testmail.

## Checks
- MX-Mailserver: vorhanden (100/100). Mailanbieter dokumentieren, ungenutzte Backup-MX entfernen und Mailfluss nach DNS-Aenderungen testen.
- SPF-Absenderfreigabe: vorhanden (100/100). Genau einen SPF-Record pflegen, nur echte Versanddienste aufnehmen, zu breite +all-Regeln vermeiden und DNS-Lookup-Grenzen pruefen.
- DKIM-Signatur: nicht belegt (55/100). Versanddienste und Selectors inventarisieren, DKIM-TXT-Records je Anbieter veroeffentlichen, Schluesselrotation planen und eine echte ausgehende Testmail auf aligned DKIM pruefen.
- DMARC-Richtlinie: fehlt (25/100). Mit p=none und rua-Monitoring starten, legitime Absender bereinigen und erst danach auf quarantine oder reject schaerfen.
- DNSSEC: fehlt (45/100). DNSSEC beim Registrar/Nameserver aktivieren, DS-Record pruefen und Monitoring fuer ablaufende oder falsche Schluessel einrichten.
- CAA-Zertifikatsfreigabe: fehlt (45/100). CAA auf genutzte Zertifizierungsstellen begrenzen und nach CDN-/Hosting-Wechseln aktualisieren.
- HTTPS/HSTS-Verbindung: fehlt (25/100). HSTS nach stabiler HTTPS-Konfiguration setzen, Subdomains bewusst pruefen und Weiterleitungen auf HTTPS erzwingen.
- Domainhistorie: vorhanden (85/100). WHOIS-/Registrar-Daten, Domaininhaber, Ablaufdatum, Auto-Renew und Rollen im Betreiberhandbuch pflegen.

## Betreiber-Playbook
- [ ] Alle Systeme inventarisieren, die E-Mails fuer anrufer.info senden: Website-Formulare, Newsletter, CRM, Shop, Ticketing, Rechnungen und Hosting.
- [ ] SPF auf einen Record konsolidieren und nur autorisierte Versanddienste aufnehmen.
- [ ] DKIM-Selectors je Versanddienst veroeffentlichen und mit echten ausgehenden Testmails gegen SPF-/DKIM-Alignment pruefen.
- [ ] DMARC-Reports auswerten, legitime Absender bereinigen und die Policy stufenweise von p=none auf quarantine oder reject schaerfen.
- [ ] CAA, DNSSEC, HSTS und Domainablauf nach Hosting-, CDN- oder Registrar-Aenderungen erneut pruefen.