Technische Standortbestimmung Ihrer E-Mail-Sicherheit — Befunde, priorisierte Massnahmen und Compliance-Einordnung.
Diese Prüfung ist keine Rechtsberatung. Sie ist eine technische Standortbestimmung Ihrer E-Mail-Sicherheit; rechtliche Bewertungen (revDSG/UWG) sind als Orientierung zu verstehen, nicht als verbindliche juristische Auskunft.
Zur Note: Die Note misst die Domain-Authentifizierung (ausgehende E-Mail), nicht die Phishing-Gesamtresistenz Ihrer Organisation. Eine gute Note schützt Ihre Domain vor Missbrauch als Absender, ersetzt aber keine Mitarbeitenden-Sensibilisierung oder Endpoint-Sicherheit.
Bei einer kurzen, rein öffentlichen Prüfung von infraschild.ch zeigt sich ein sehr guter Stand der E-Mail-Sicherheit: SPF, DKIM und ein durchgesetztes DMARC (p=reject) sind aktiv, DNSSEC ist eingeschaltet, und es wurden keine geleakten Zugangsdaten gefunden. Ihre Domain lässt sich damit nicht ohne Weiteres für Rechnungs-/Chef-Betrug (BEC) missbrauchen. Einzige nennenswerte Lücke: DMARC sammelt noch keine Reports (rua fehlt) — siehe Empfehlungen. Alle Befunde beruhen auf öffentlich abfragbaren DNS-Daten — kein aktiver Scan, von Ihnen selbst überprüfbar (Link am Ende).
Diese Punkte sind belegt und stammen ausschliesslich aus öffentlich abfragbaren DNS-/Mail-Einträgen (Momentaufnahme vom 14. Juni 2026).
| Prüfung | Ergebnis | Bewertung |
|---|---|---|
| Domain löst auf | ja | – |
| MX (Mailempfang) | vorhanden (Proton) | aktiv genutzte Maildomain |
| SPF | vorhanden, Qualifier -all (Hardfail) | stark |
| DMARC | vorhanden, Policy p=reject | durchgesetzt |
| DMARC-Reporting (rua) | nein | Lücke: kein Einblick |
| DKIM | vorhanden (protonmail) | aktiv |
| DNSSEC | aktiviert | signiert |
| SPF-DNS-Lookups | 1 von max. 10 | im grünen Bereich |
DKIM ist aktiv (Selektor protonmail veröffentlicht). Zusammen mit dem durchgesetzten DMARC (p=reject) ist die sichtbare Absenderadresse geschützt.
In dieser Momentaufnahme wurden keine geleakten Zugangsdaten gefunden (Quelle: Dehashed). Das ist eine Momentaufnahme; eine fortlaufende, aggregierte Leak-Überwachung ist im Deep-Paket enthalten.
Die Kern-Authentifizierung (SPF, DKIM und durchgesetztes DMARC) ist bereits auf Zielniveau — keine Sofortmassnahme nötig. Es bleiben kleine, optionale Verbesserungen.
Ergänzt den bestehenden Record um Reporting — Sie sehen, wer in Ihrem Namen zu senden versucht.
TXT _dmarc.infraschild.chv=DMARC1; p=reject; rua=mailto:dmarc@infraschild.ch; fo=1
Policy bleibt p=reject — es kommt nur das Reporting dazu, kein Risiko für legitime Mails.
MTA-STS und TLS-RPT veröffentlichen (erzwingt bzw. meldet verschlüsselten Mailempfang). Reine Härtung, kein Spoofing-Bezug.
Prüffähiges Mapping jedes belegten Befunds auf Standard, Massnahme und Nachweis. Dient als Audit-Beleg, als Grundlage gegenüber dem Cyber-Versicherer und als Sorgfaltsnachweis. Geführt über das revDSG (insb. Art. 8 Datensicherheit, Art. 24 Meldepflicht); ISO 27001 als Best-Practice-Orientierung.
| Befund | Schwere | revDSG | ISO 27001 | Massnahme | Nachweis |
|---|---|---|---|---|---|
| Kern-Authentifizierung (SPF/DKIM/DMARC) durchgesetzt | erfüllt | Art. 8 | A.5.14 | Beibehalten | DNS-Record + Re-Scan |
| DMARC ohne Reporting (rua fehlt) | Niedrig | Art. 8 | A.5.14 | rua-Adresse ergänzen | DNS-Record + rua-Reports |
NIS2 (EU-Referenz, keine Pflicht für Schweizer KMU). Die EU-Richtlinie NIS2 nennt vergleichbare Cyberhygiene-Erwartungen. Sie ist für Schweizer KMU keine gesetzliche Pflicht und wird hier nur als internationale Orientierung erwähnt; massgeblich ist das revDSG.
| Methode | Rein passiv — ausschliesslich öffentlich abfragbare DNS-/E-Mail-Daten. Keine aktiven Tests, kein Zugriff auf Ihre Systeme. |
| Selbstcheck | easydmarc.com/tools/domain-scanner?domain=infraschild.ch |
| Momentaufnahme | DNS-Einträge werden zwischengespeichert und können sich ändern. „Kein DKIM-Selektor gefunden" bedeutet nicht zwingend, dass kein DKIM existiert. |
| Leak-Status | Geprüft (Dehashed): 0 Funde — keine geleakten Zugangsdaten. Fortlaufende aggregierte Überwachung im Deep-Paket. |
| Quellen | RFC 7208 (SPF), RFC 7489 (DMARC), BACS/NCSC (CH) zu CEO-Betrug (empfiehlt DMARC p=reject). |