Defaults.Exposed › Behebungen › Reverse DNS (PTR)

So beheben Sie Reverse DNS (PTR)

Reverse DNS ist der Ausweis des Servers, der Ihre Geschäfts-E-Mails versendet. Wenn ein empfangender Anbieter wie Gmail oder Microsoft 365 nachschlägt, wer hinter der Absenderadresse steckt, und einen stimmigen Namen erhält, wirkt Ihre Post legitim. Fehlt der Ausweis — oder stimmen Name und Nummer nicht überein —, werden Ihre völlig echten Rechnungen und Angebote als verdächtig behandelt und still in den Müll geworfen oder abgelehnt.

Das Wichtigste für Ihr Unternehmen: Ihre Rechnungen, Angebote und Kundenantworten landen lautlos im Spam oder kommen gar nicht an — sodass Geschäfte versanden, Zahlungen verspätet eintreffen und Kunden denken, Sie hätten sie ignoriert, ohne dass irgendetwas davon als Fehler auftaucht, den Sie bemerken würden.

Was Sie das kosten kann

Sie schicken einem heißen Interessenten ein Angebot, es fällt in seinen Spam, und er geht zum Wettbewerber, der 'tatsächlich geantwortet hat' — und Sie haben nie erfahren, dass die E-Mail nicht ankam.
Rechnungen an Kunden verschwinden im Müll, Zahlungen treffen Wochen zu spät ein, und Ihr Cashflow leidet, weil niemand die E-Mail je gesehen hat.
Ein Kunde beschwert sich, dass Sie sich nie zurückgemeldet hätten — dabei haben Sie das; sein Mailanbieter hat Ihre Antwort lautlos entsorgt, weil Ihr sendender Server nicht beweisen konnte, wer er war.
Ihre Domain besteht die Sicherheitsprüfung eines neuen Kunden in allem anderen mühelos, wird dann aber markiert, weil Ihr Mailserver keine ordentliche Identität hat — eine Kleinigkeit, die Sie nachlässig wirken lässt.
Sie sind auf einen günstigen VPS oder eine neue App umgestiegen, um Ihre Newsletter und Rechnungen zu versenden, und über Nacht sinkt Ihre Zustellrate — weil dieser neue sendende Server keinen Reverse-DNS-Ausweis hat und die großen Anbieter ihm nicht mehr vertrauen.

Warum es wichtig ist. Jeder große E-Mail-Anbieter prüft die Identität des Servers, der Ihre Post versendet, und er prüft sie bei jeder Nachricht. Wenn dieser Server nicht beweisen kann, wer er ist — oder wenn sein Name und seine Nummer sich widersprechen —, wird Ihre echte Geschäfts-E-Mail behandelt, als könnte sie Spam sein. Sie verlieren Antworten, Zahlungen und Vertrauen, und weil nichts abprallt, erfahren Sie meist nie, warum.

Die Kurzfassung

Wenn Ihr Unternehmen eine E-Mail versendet, geht sie von einem Mailserver aus, und jeder Server im Internet hat eine numerische Adresse — seine IP. Reverse DNS (ein „PTR”-Eintrag) ist der Namensausweis dieses Servers: Er erlaubt jedem, der die Nummer sieht, den korrekten dahinterstehenden Namen nachzuschlagen, etwa mail.ihrefirma.com.

Die großen empfangenden Anbieter — Gmail, Microsoft 365, Yahoo — prüfen diesen Ausweis bei jeder Nachricht, die Sie senden. Ein Server, der sich benennen kann und bei dem Name und Nummer übereinstimmen, sieht aus wie ein legitimer Mailserver. Ein Server ohne Ausweis oder mit einem Ausweis, der nicht passt, sieht genau aus wie die anonymen Wegwerfmaschinen, die Spammer nutzen. So beginnen Ihre echten Rechnungen und Angebote jedes Gespräch unter Verdacht — und viele verlieren.

Das Frustrierende daran ist, dass nichts Ihnen sagt, dass es passiert. Es gibt keinen Rückläufer, keinen Fehler. Ihre E-Mail liefert einfach still und leise schlechter ab.

Was Sie das kosten kann

Das sind die alltäglichen Wege, auf denen ein fehlender oder nicht übereinstimmender Reverse-DNS-Eintrag dazu führt, dass Geld und Vertrauen aus der Tür spazieren. Wir nennen niemals ein echtes Unternehmen — das sind Muster, die wir in den Daten beobachten.

Das Angebot, das nie ankam. Sie schicken einem Interessenten, der es am Morgen erbeten hat, ein detailliertes Angebot per E-Mail. Sein Anbieter kann Ihren sendenden Server nicht verifizieren und legt die Nachricht in den Spam. Er wühlt nicht im Müll. Am Nachmittag hat er das Angebot des Wettbewerbers angenommen — das, das „tatsächlich aufgetaucht ist.” Sie schreiben es einem trägen Interessenten zu; in Wahrheit wurde Ihre E-Mail nie gesehen.
Die Rechnung im Nichts. Sie stellen einem guten Kunden eine Rechnung. Sie landet in seinem Müllordner. Dreißig Tage später mahnen Sie eine Zahlung an, die ohne sein Verschulden überfällig ist — und nun gibt es ein peinliches Gespräch, eine angespannte Beziehung und eine Cashflow-Lücke, die völlig vermeidbar war.
„Sie haben nie geantwortet.” Ein Kunde ist verärgert, dass Sie seine Frage ignoriert haben. Haben Sie nicht — Sie haben am selben Tag geantwortet. Sein Mailanbieter hat Ihre Antwort lautlos entsorgt, weil Ihr sendender Server nicht vertrauenswürdig aussah. Sie wirken unprofessionell für etwas, das Sie tatsächlich richtig gemacht haben.
Der Eigenbau-Sendeserver, der still alles vergiftete. Um Geld zu sparen, begann Ihre Post (oder nur Ihre Newsletter und automatischen Rechnungen) über einen günstigen VPS oder eine neue Versand-App hinauszugehen. Dieser Server bekam nie einen Reverse-DNS-Ausweis. Über Nacht sackte Ihre Zustellrate auf ganzer Linie ab — und weil es keine Fehlermeldung gibt, dauerte es Monate, die Ursache überhaupt zu vermuten.
Das Markieren bei der Sicherheitsprüfung. Das IT-Team eines größeren Kunden führt beim Onboarding eine Routineprüfung Ihrer Domain durch. Alles andere ist in Ordnung, aber Ihr Mailserver hat keine ordentliche Identität. Es ist ein kleiner technischer Punkt, liest sich aber als Nachlässigkeit — und nun beheben Sie es unter Zeitdruck oder reden es weg, während die Domain eines Wettbewerbers gerade mühelos bestanden hat.

Der rote Faden in all dem: Die Kosten landen bei Ihnen, es ist unsichtbar, während es geschieht, und die Behebung ist kostenlos.

Was es eigentlich ist

Normales DNS verwandelt einen Namen in eine Nummer: Sie tippen ihrefirma.com, und DNS liefert die IP-Adresse zurück, mit der verbunden werden soll. Reverse DNS macht das Gegenteil — es verwandelt eine Nummer zurück in einen Namen. Bei der IP 203.0.113.10 antwortet ein Reverse-Lookup (ein „PTR-Eintrag”) mit mail.ihrefirma.com.

Warum es Empfänger interessiert: Wenn Ihr Mailserver eine Verbindung zu Gmail aufbaut, um eine Nachricht zuzustellen, sieht Gmail die verbindende IP. Das Erste, was ein ernsthafter Mailfilter tut, ist zu fragen „wer ist diese Maschine?” — durch einen Reverse-Lookup auf diese IP. Ein echter Geschäftsmailserver hat eine Antwort (mail.ihrefirma.com). Eine Wegwerf-Spam-Maschine hat meist keine oder einen generischen, vom Anbieter zugewiesenen Namen wie host-203-0-113-10.einisp.net. Das Vorhandensein und die Qualität des Ausweises ist also eines der allerersten Vertrauenssignale, das auf Ihre Post angewendet wird — noch bevor SPF, DKIM oder der Nachrichteninhalt überhaupt betrachtet werden.

Es prüft den Mailserver, nicht Ihre Website. Das bringt Leute durcheinander. Die Adresse Ihrer Website steckt oft hinter einem CDN oder Proxy (wie Cloudflare) und wird nie einen passenden Ausweis haben — und das ist in Ordnung, denn Reverse DNS für E-Mail dreht sich um die IP des MX-Mailservers, einer völlig getrennten Maschine. Diese Prüfung schlägt korrekt den primären Mailserver Ihrer Domain nach (den MX-Eintrag mit der niedrigsten Priorität), löst ihn zu seiner IP auf und prüft den Ausweis auf dieser IP.

Die Hälfte, die die meisten Einrichtungen falsch machen: er muss in beide Richtungen passen. Einen Namen zu haben genügt für sich allein nicht. Gmail und die anderen großen Filter machen etwas Strengeres, genannt Forward-Confirmed Reverse DNS (FCrDNS):

Schlage die IP nach → erhalte einen Namen (z. B. mail.ihrefirma.com).
Schlage nun diesen Namen zurück → er muss auf die gleiche IP auflösen, mit der du begonnen hast.

Stimmen die beiden Richtungen überein, ist der Server bestätigt und voll vertrauenswürdig. Gibt es einen Namen, der aber woandershin (oder nirgendwohin) zeigt, ist der Server nur halb vertrauenswürdig — ein Ausweis, der einen zweiten Blick nicht übersteht, wird als schwächer behandelt, als man hoffen würde. Ein PTR, der auf einen von einem Angreifer kontrollierten Hostnamen zeigt und nicht zurück auflöst, ist in mancher Hinsicht schlimmer als gar kein PTR.

Genau so bewertet diese Prüfung es:

Forward-confirmed (FCrDNS): Die IP benennt einen Host, und dieser Host zeigt auf dieselbe IP zurück. Volle Punktzahl — das ist die korrekte Konfiguration, und das ist es, dem Empfänger vertrauen.
Ausweis existiert, bestätigt aber nicht: Es gibt einen PTR-Eintrag, aber der Name löst nicht auf die IP des Mailservers zurück. Nur Teilpunktzahl — es sieht konfiguriert aus, aber die großen Filter vertrauen ihm nicht voll.
Gar kein Ausweis: Kein PTR-Eintrag auf der IP des Mailservers. Keine Punkte, und die Zustellkosten sind real.

Eine Anmerkung zum Gewicht: In der Methodik ist dies eine bewertete E-Mail-Sicherheitsprüfung (im Wert von 25 Punkten, ein P2-Prioritätspunkt). Es ist nicht die schwerste einzelne E-Mail-Prüfung — das sind SPF und DMARC, die direkten Identitätsmissbrauch stoppen —, aber es ist ein echter, bewerteter Teil Ihrer E-Mail-Stellung und einer der wenigen, der davon abhängt, dass Ihr Anbieter etwas richtig macht, statt Sie. Wenn Sie nur über Google Workspace oder Microsoft 365 versenden, bestehen Sie ihn mit ziemlicher Sicherheit bereits; die Unternehmen, die durchfallen, sind die, die über ihren eigenen oder einen Drittanbieter-Server versenden.

Wie „gut” aussieht: Die IP Ihres primären Mailservers hat einen PTR-Eintrag, der auf einen echten Hostnamen zeigt, den Sie besitzen, und dieser Hostname löst direkt auf dieselbe IP zurück — die beiden Richtungen stimmen überein (FCrDNS bestätigt).

So beheben Sie es (kostenlos, ~10 Minuten Aufwand für jemanden)

Geben Sie diesen Abschnitt an die Person weiter, die die IP-Adresse Ihres Mailservers besitzt — meist Ihr E-Mail- oder Hosting-Anbieter, oder Ihr Rechenzentrum bei einer selbst gehosteten Maschine — und beachten Sie, dass die Behebung kostenlos ist. Dies ist die eine E-Mail-Einstellung, die Sie mit ziemlicher Sicherheit nicht selbst in Ihrem normalen DNS-Panel ändern können, denn Reverse DNS wird von demjenigen kontrolliert, der die IP besitzt, nicht von demjenigen, der die Domain besitzt. Wir berechnen nur die Überwachung, dass es korrekt bleibt, nie die Änderung selbst.

Schritt 1 — Finden Sie die IP des sendenden Mailservers. Ermitteln Sie den primären MX-Host der Domain (den Mailserver mit der niedrigsten Prioritätszahl) und lösen Sie ihn zu seiner IP-Adresse auf:

dig MX ihrefirma.com        # finde den primären (niedrigste Priorität) MX-Host
dig A mail.ihrefirma.com    # löse diesen Host zu seiner IP auf

Diese IP ist diejenige, die den Ausweis braucht. Verwenden Sie nicht die IP der Website — das ist eine andere Maschine, oft hinter einem CDN, das nie passen wird.

Schritt 2 — Bitten Sie den IP-Eigentümer, den PTR-Eintrag zu setzen. Reverse DNS liegt bei demjenigen, der den IP-Block kontrolliert, also geht die Anfrage an:

Google Workspace / Gmail: wird für Googles eigene Mailserver automatisch verwaltet — wenn eine Domain, die nur über Google versendet, irgendwie als durchgefallen erscheint, wenden Sie sich an den Google-Support. (In der Praxis bestehen diese.)
Microsoft 365: ebenso automatisch für Microsofts Server verwaltet.
Ein selbst gehosteter oder VPS-Mailserver: Eröffnen Sie ein Ticket bei Ihrem Hosting-Anbieter oder Rechenzentrum mit der Bitte, den PTR (Reverse DNS) für Ihre IP auf Ihren Mail-Hostnamen zu setzen. Die meisten Anbieter zeigen dies in ihrer Systemsteuerung unter „Reverse DNS”, „rDNS” oder „PTR”. Bei den großen Clouds ist es eine Ein-Feld-Einstellung (z. B. erfordert AWS ein kurzes Antragsformular, um rDNS auf einer Elastic IP zu aktivieren; die meisten VPS-Hoster lassen Sie es sofort setzen).
Eine Drittanbieter-Versand-App (Newsletter- / Rechnungs- / CRM-Tool): Wenn sie von ihren eigenen geteilten Servern versendet, kümmert sich der Anbieter um Reverse DNS — es gibt für Sie nichts zu setzen, und Sie können das für diesen Verkehr ignorieren. Wenn sie von einer dedizierten IP versendet, die Sie bei ihr gekauft haben, bitten Sie sie, den PTR darauf zu setzen.

Nennen Sie ihnen den gewünschten Eintrag, zum Beispiel: 203.0.113.10 → mail.ihrefirma.com.

Schritt 3 — Sorgen Sie für die Vorwärtsbestätigung (das ist der Schritt, den die meisten übersehen). Der Hostname im PTR muss auch zurück auf dieselbe IP auflösen, über einen normalen A-Eintrag, den Sie in Ihrem eigenen DNS kontrollieren. Also:

Der PTR sagt 203.0.113.10 → mail.ihrefirma.com (das setzt Ihr Anbieter).
Der A-Eintrag sagt mail.ihrefirma.com → 203.0.113.10 (das setzen Sie in Ihrem DNS, z. B. Cloudflare → DNS → einen A-Eintrag hinzufügen, Name mail, Inhalt 203.0.113.10).

Beide Richtungen müssen aufeinander zeigen. Erst dann ist es forward-confirmed und voll vertrauenswürdig.

Schritt 4 — Prüfen Sie Ihre Domain erneut. Bestätigen Sie, dass der Mailserver nun Forward-Confirmed Reverse DNS zeigt und die Prüfung besteht. DNS-Änderungen verbreiten sich innerhalb von Minuten bis wenigen Stunden.

Häufige Fehler

Den Ausweis auf die IP der Website statt des Mailservers setzen. Reverse DNS für E-Mail dreht sich um den MX-Server. Einen PTR auf Ihre Web-/CDN-Adresse zu setzen bewirkt nichts für die Zustellbarkeit — die falsche Maschine bekommt den Ausweis.
Bei „der PTR existiert” aufhören. Ein Name für sich allein erhält nur Teilvertrauen. Wenn er nicht auf dieselbe IP zurück auflöst, vertrauen die strengen Filter (Gmail, M365, Yahoo) ihm nicht voll. Vollenden Sie immer die Vorwärtsbestätigung (Schritt 3).
Den A-Eintrag vergessen, nachdem der Anbieter den PTR gesetzt hat. Der Anbieter setzt die Rückwärtshälfte; Sie müssen die Vorwärtshälfte in Ihrem eigenen DNS setzen. Leute machen eines und nehmen an, sie seien fertig.
Die falsche Stelle fragen. Die Anfrage an Ihren Domain-Registrar oder DNS-Host statt an den IP-Eigentümer zu schicken, bringt Ihnen ein „das können wir nicht” — weil sie es wirklich nicht können. Es muss an denjenigen gehen, der die IP besitzt.
Generische Anbieter-Hostnamen. Ein PTR wie host-203-0-113-10.einisp.net existiert technisch, bewirkt aber nichts für Ihre Marke oder Ihr Vertrauen. Verwenden Sie einen echten Hostnamen auf Ihrer eigenen Domain, der sich vorwärts bestätigt.

Wo das hineinpasst

Reverse DNS ist die Identität des Servers; SPF, DKIM und DMARC sind die Autorisierungs- und Anti-Identitätsmissbrauchs-Schicht der Domain. Sie beantworten unterschiedliche Fragen, und die großen Anbieter prüfen sie alle. SPF listet, welche Dienste in Ihrem Namen senden dürfen; DKIM signiert Ihre Nachrichten kryptografisch, sodass sie nicht manipuliert werden können; DMARC bindet die beiden zusammen und sagt Empfängern, was mit fehlgeschlagener Post zu tun ist — und schützt den sichtbaren „Von”-Namen, den Ihre Kunden tatsächlich sehen. Reverse DNS liegt unter all dem und bürgt dafür, dass die sendende Maschine überhaupt ein echter, benannter Mailserver ist. Bringen Sie SPF, DKIM und DMARC in Ordnung für die stärkste Abwehr gegen Identitätsmissbrauch; bringen Sie Reverse DNS in Ordnung, damit ein neuer oder selbst gehosteter sendender Server nicht still und leise misstraut wird, bevor der Rest überhaupt eine Chance bekommt. Jede dieser Behebungen ist kostenlos.

FAQ

Ich bin nicht technisch versiert — kann ich das selbst erledigen?

Meist nein, und das ist in Ordnung. Anders als die meisten E-Mail-Einstellungen wird diese nicht im DNS Ihrer eigenen Domain geändert — sie wird von demjenigen gesetzt, der die Internetadresse (die IP) Ihres Mailservers besitzt, also Ihr E-Mail- oder Hosting-Anbieter. Ihre Aufgabe ist schlicht, ihm den Abschnitt 'So beheben Sie es' weiterzuleiten. Es ist eine schnelle Änderung auf seiner Seite, und sie ist kostenlos.

Wenn ich Google Workspace oder Microsoft 365 nutze, bin ich dann bereits abgesichert?

Mit ziemlicher Sicherheit ja — beide verwalten Reverse DNS für ihre eigenen Mailserver automatisch, sodass eine Domain, die nur über sie versendet, dies besteht, ohne dass Sie etwas tun. Wenn unsere Prüfung es trotzdem markiert, bedeutet das fast immer, dass ein Teil Ihrer Post über einen anderen Server hinausgeht (Ihre eigene Maschine, ein günstiger VPS oder eine Drittanbieter-Versand-App), und genau diesem Server fehlt sein Ausweis. Der Abschnitt zur Behebung erklärt, wen man kontaktiert.

Könnte die Behebung meine E-Mail lahmlegen?

Nein. Das fügt lediglich den Identitätseintrag des sendenden Servers hinzu oder korrigiert ihn — es ändert nicht, wohin Ihre Post geht, wer sie senden darf, oder irgendeine Ihrer Posteingangs-Einstellungen. Es macht schlicht die E-Mails, die Sie ohnehin senden, eher vertrauenswürdig und zustellbar.

Was ist der Unterschied zwischen diesem und SPF, DKIM und DMARC?

Diese drei beantworten 'darf diese Domain diese Nachricht senden?' Reverse DNS beantwortet eine andere, frühere Frage: 'ist die sendende Maschine ein echter, identifizierbarer Mailserver oder eine anonyme Kiste?' Große Anbieter prüfen beides. Sie wollen alle richtig haben — aber Reverse DNS ist das, was einen brandneuen oder selbst gehosteten sendenden Server erwischt, bevor SPF und DKIM überhaupt ins Spiel kommen.

Wir haben einen Reverse-DNS-Eintrag, aber die Prüfung besteht trotzdem nicht ganz — warum?

Weil einen Namen zu haben nicht genügt; der Name muss in beide Richtungen stimmen. Der Ausweis sagt, der Server heiße etwa mail.ihrefirma.com — aber Gmail schlägt dann diesen Namen nach und erwartet, dass er direkt auf genau dieselbe IP zurückzeigt. Tut er das nicht (oder zeigt er woandershin), behandeln die Anbieter es als unbestätigt und vertrauen nur halb. Diese beidseitige Übereinstimmung heißt Forward-Confirmed Reverse DNS, und es ist der Teil, den die meisten Einrichtungen übersehen.

Ist die Behebung wirklich kostenlos, oder ist das ein kostenpflichtiges Upsell?

Die Behebung ist immer kostenlos — es ist eine kleine Konfigurationsänderung Ihres Anbieters, kein Produkt, das man kauft. Wer Ihnen erzählt, dass das Einrichten von Reverse DNS einen kostenpflichtigen Tarif erfordert, liegt falsch. Wir berechnen nur die Überwachung, dass es über die Zeit korrekt bleibt, nie die Änderung selbst.