Defaults.Exposed › Behebungen
Beheben Sie Ihre Domain-Sicherheit – kostenlose Schritt-für-Schritt-Anleitungen
Verständliche Anleitungen zur Behebung jedes von uns bewerteten Problems – SPF, DKIM, DMARC, DNSSEC, TLS, Zertifikate und HTTP-Sicherheitsheader. Jede erklärt, worum es geht, was es Ihr Unternehmen kosten kann und wie Sie es bei Ihrem Anbieter genau einrichten.
- CAA-Einträge
Ein CAA-Eintrag ist eine kurze Anweisung in Ihren Domain-Einstellungen, die benennt, welche Zertifikatsfirmen das 'Schloss'-Sicherheitszertifikat für Ihre Website ausstellen dürfen. Ist er eingeschaltet, kann keine andere Firma still ein gültiges Zertifikat in Ihrem Namen erstellen. - CDN / WAF & Hosting
Zwei Lesarten der Technik hinter Ihrer Website: ob Sie hinter einem schützenden Schild sitzen (einem CDN mit einer Web Application Firewall, wie Cloudflare), der Angriffe filtert und Verkehrsspitzen abfängt, und eine Karte, wer Ihr DNS, Ihre Website und Ihre E-Mail tatsächlich betreibt. Beide sind in unserer Bewertung informativ — sie bewegen Ihre Note nicht —, aber sie beschreiben, wie ausgesetzt Ihr Ursprungsserver Angriffen und Ausfällen ist und wie verflochten Ihre Anbieter sind. Ein Schild davor und ein sinnvoll aufgeteilter Satz an Anbietern ist, wie belastbare Unternehmen aussehen. - Clickjacking-Schutz (X-Frame-Options)
Eine einzeilige Anweisung, die Browsern verbietet, Ihre Website heimlich innerhalb fremder Websites zu laden. Ohne sie kann ein Betrüger Ihre echten, eingeloggten Seiten hinter einer gefälschten Seite verstecken und Ihre Kunden dazu verleiten, Dinge anzuklicken, die sie nie wollten — eine Zahlung freizugeben, ein Passwort zu ändern, einen Zugriff zu gewähren. - Content-Security-Policy (CSP)
Eine Content Security Policy ist eine Sicherheitsregel, die Ihre Website dem Browser jedes Besuchers übergibt und ihm genau sagt, welcher Code ausgeführt werden darf. Ohne sie wird der Browser, falls je etwas Bösartiges auf eine Seite gelangt — über ein Kommentarfeld, ein gehacktes Plugin oder ein Drittanbieter-Skript —, es frei ausführen, einschließlich Code, der still und leise die Kartennummern und Passwörter Ihrer Kunden abgreift, während sie sie tippen, mit weiterhin angezeigtem Schloss-Symbol. - Cross-Origin-Isolations-Header (COOP / CORP / COEP)
Drei optionale Browser-Anweisungen, die steuern, wie andere Websites mit Ihrer interagieren dürfen — sie in Popups öffnen, ihre Bilder und Skripte einbetten oder ihre Ressourcen in eigene Seiten ziehen. Sie sind moderne Härtung, kein Grund-Muss, und in unserer Bewertung sind sie informativ: ihr Fehlen senkt Ihre Note nicht. Doch die zwei sicheren schließen eine stille Phishing- und Bandbreitendiebstahl-Lücke, und das IT-Team eines sorgfältigen Käufers bemerkt, wenn sie vorhanden sind. - DKIM
DKIM ist das unsichtbare, fälschungssichere Siegel auf jeder E-Mail, die Ihr Unternehmen versendet. Es erlaubt dem empfangenden Mailanbieter zu bestätigen, dass die E-Mail wirklich von Ihnen stammt und unverändert angekommen ist. Ohne es ist Ihre Post leichter zu fälschen, leichter zu verändern und landet weitaus eher im Spam. - DMARC (Schutz vor E-Mail-Spoofing)
DMARC ist die eine Einstellung, die den Mailanbietern der Welt tatsächlich sagt, E-Mails zu BLOCKIEREN, die den Namen Ihres Unternehmens fälschen. SPF und DKIM prüfen die Schlösser; DMARC entscheidet, was passiert, wenn eine Fälschung die Prüfung nicht besteht — wegwerfen, markieren oder durchwinken. Falsch eingestellt ist Ihre Domain voll fälschbar; richtig eingestellt endet Identitätsmissbrauch am Posteingang. - DNSSEC
DNSSEC ist ein digitales Siegel auf dem Adressbuch Ihrer Domain. Es erlaubt dem Internet zu beweisen, dass die Antwort auf 'wo wohnt diese Domain?' wirklich von Ihnen kam und unterwegs nicht manipuliert wurde. Ohne es kann die Antwort gefälscht werden — und Ihre Besucher werden still woandershin geschickt. - HSTS (Strict-Transport-Security)
HSTS ist eine einzeilige Anweisung, die Ihre Website jedem Browser gibt: 'komm immer über die sichere, verschlüsselte Verbindung zu mir zurück — nie über die unsichere.' Ohne sie kann Ihr Schloss-Symbol im geteilten WLAN still und leise abgestreift werden, und der allererste Besuch Ihrer Seite ist gefährdet. - HTTPS & erzwungene sichere Weiterleitung
HTTPS ist das Schloss-Symbol in der Browserleiste — es verschlüsselt alles, was zwischen Ihrer Website und Ihren Kunden übertragen wird, sodass es unterwegs nicht gelesen oder manipuliert werden kann. Die erzwungene sichere Weiterleitung stellt sicher, dass Besucher automatisch auf der verschlüsselten Version landen, selbst wenn sie Ihre Adresse ohne 'https://' eintippen. Zusammen sind sie das Grundlegendste, was eine Website braucht, um überhaupt als sicher zu gelten. - IPv6-Unterstützung
IPv6 ist die neuere, weit größere Version des Adressierungssystems des Internets, eingeführt, weil dem alten (IPv4) der Platz ausgegangen ist. IPv6-Unterstützung hinzuzufügen bedeutet, dass Ihre Website und E-Mail auch über das moderne Netz erreichbar sind, nicht nur über das alte. In unserer Bewertung ist dies informativ — es nicht zu haben senkt Ihre Note nicht —, aber es ist eine reale Reichweitenfrage: ein wachsender Teil mobiler und überseeischer Kunden verbindet sich über reine IPv6-Netze und erreicht Sie nur dann reibungslos, wenn Sie es unterstützen. Die Behebung ist kostenlos und lebt in Ihrem DNS- und Hosting-Aufbau. - MIME-Sniffing-Schutz (X-Content-Type-Options)
Ein einzeiliger Header, der Browser daran hindert, zu raten, was eine Datei wirklich ist. Ohne ihn kann eine Datei, die jemand auf Ihre Seite hochlädt — oder eine Datei auf Ihren eigenen Seiten — vom Browser falsch gedeutet und als Code ausgeführt werden. Genau so verwandeln manche Angriffe einen harmlos wirkenden Upload in einen Weg, die Sitzungen Ihrer Kunden zu stehlen. - Moderne Verschlüsselung (TLS-Version & Ciphers)
TLS ist das Schloss, das die Daten verschlüsselt, die zwischen Ihren Besuchern und Ihrer Website fließen. Zwei Dinge machen dieses Schloss vertrauenswürdig: eine moderne TLS-Version zu verwenden (nicht die alten, kaputten) und starke Ciphers zu verwenden (das eigentliche Verschlüsselungsrezept). Diese Seite behandelt beides — plus einige verwandte Einstellungen, die Ihre Bewertung nicht beeinflussen, aber wissenswert sind. - MX-Einträge (E-Mail-Einrichtung)
Ein MX-Eintrag ist der Wegweiser, der dem Rest der Welt mitteilt, wohin E-Mails an Ihre Domain zugestellt werden sollen. Fehlt er oder ist er defekt, prallt jede an Ihr Unternehmen gesendete Nachricht — Kundenanfragen, Passwort-Zurücksetzungen, Rechnungen, Verträge — direkt zum Absender zurück. Kein MX, kein Posteingang. - Nameserver-Aufbau (Vielfalt & SOA)
Ihre Nameserver sind das Verzeichnis, das dem ganzen Internet sagt, wo Ihre Website und E-Mail zu finden sind. Sitzen sie alle in einem Netz und dieses fällt aus, verschwindet Ihr Unternehmen im selben Moment aus dem Internet — keine Seite, keine E-Mail, nichts — und eine schlampige Zeiteinstellung auf diesen Servern kann Änderungen, die Sie machen, tagelang feststecken lassen. - Referrer-Policy
Eine Referrer-Policy ist eine einzeilige Anweisung, die Ihre Website dem Browser jedes Besuchers übergibt und die steuert, wie viel Ihrer Webadresse mitgeht, wenn er einen Link zu einer anderen Seite anklickt. Ohne sie wird die vollständige Adresse der Seite, auf der er war — Suchbegriffe, Kontonummern, Zurücksetzungs-Links, interne Seitenpfade und alles — still an die nächste Seite weitergereicht, auf der er landet, einschließlich Werbetreibender, Analysefirmen und überall, wohin ein Link führt. - Reverse DNS (PTR)
Reverse DNS ist der Ausweis des Servers, der Ihre Geschäfts-E-Mails versendet. Wenn ein empfangender Anbieter wie Gmail oder Microsoft 365 nachschlägt, wer hinter der Absenderadresse steckt, und einen stimmigen Namen erhält, wirkt Ihre Post legitim. Fehlt der Ausweis — oder stimmen Name und Nummer nicht überein —, werden Ihre völlig echten Rechnungen und Angebote als verdächtig behandelt und still in den Müll geworfen oder abgelehnt. - SPF (Sender Policy Framework)
SPF ist die Zeile in den Einstellungen Ihrer Domain, die auflistet, welche Maildienste E-Mails im Namen Ihres Unternehmens versenden dürfen. Ohne sie kann jeder auf der Welt E-Mails versenden, die so aussehen, als kämen sie von Ihnen — und Ihre eigenen echten E-Mails landen eher im Spam Ihrer Kunden. - Zustand des TLS-Zertifikats
Ihr SSL/TLS-Zertifikat ist der digitale Ausweis, der beweist, dass ein Besucher wirklich mit Ihrer Website spricht — nicht mit einem Hochstapler — und das Schloss-Symbol im Browser betreibt. Diese Prüfung betrachtet, ob dieses Zertifikat gültig und vertrauenswürdig ist, nicht kurz vor dem Ablauf steht und mit starker, moderner Kryptografie gebaut ist.