DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein E-Mail-Authentifizierungsprotokoll, das ISPs bei der Überprüfung der Absenderidentität unterstützt und Domain-Spoofing verhindert.

Wie oft sollte ich meinen DMARC-Eintrag überprüfen?

Überprüfen Sie Ihren DMARC-Eintrag immer dann, wenn Sie Ihren E-Mail-Versandanbieter wechseln oder überprüfen möchten, ob Ihre aktuellen Authentifizierungsrichtlinien korrekt veröffentlicht sind.

Was ist der Unterschied zwischen Hauptrichtlinie und Subdomain-Richtlinie?

Die Hauptrichtlinie gilt für Ihre Root-Domain, während die Subdomain-Richtlinie für Subdomains wie „mail.example.com“ gilt. Sie können jeweils unterschiedliche Richtlinien festlegen.

Sollte ich „keine“, „Quarantäne“ oder „Ablehnen“ verwenden?

Beginnen Sie mit „Keine“, um die Ergebnisse zu überwachen, gehen Sie zu „Quarantäne“ für eine moderate Durchsetzung und verwenden Sie „Ablehnen“ nur, wenn Sie mit Ihrem SPF- und DKIM-Setup vertraut sind.

DMARC-Eintrag prüfen

Überprüfen Sie Ihren DMARC (Domain-based Message Authentication) DNS-Eintrag kostenlos. Schützen Sie Ihre Domain vor unbefugter Nutzung.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist in RFC 7489 definiert. Es baut auf SPF und DKIM auf und fügt zwei Schlüsselfunktionen hinzu: eine Richtlinie (Policy), die Empfängern sagt, wie sie mit nicht authentifizierten Mails umgehen sollen (überwachen, unter Quarantäne stellen oder ablehnen), und einen Berichtsmechanismus, der Ihnen XML-Berichte darüber sendet, wer E-Mails von Ihrer Domain sendet und ob diese die Authentifizierung bestehen.

Entscheidend ist, dass DMARC das Konzept des **Alignments** (Ausrichtung) einführt – die Domain im sichtbaren „From“-Header der E-Mail muss mit der durch SPF oder DKIM authentifizierten Domain übereinstimmen. Dies verhindert, dass Angreifer SPF/DKIM für eine andere Domain bestehen, während sie Ihre Domain im From-Header vortäuschen.

Warum benötigen Sie DMARC?

1Schutz des Header-From

SPF und DKIM allein schützen die sichtbare From-Adresse nicht – DMARC schließt diese Lücke durch Alignment.

2Durchsetzungs-Richtlinie

Sie entscheiden, was mit fehlerhaften Mails passiert: beobachten, in den Spam verschieben oder direkt ablehnen.

3Aggregierte Berichte

Tägliche XML-Berichte (RUA) zeigen jede IP, die Mails mit Ihrer Domain sendet, sowie die Pass/Fail-Raten.

4Forensische Berichte

Fehlerberichte (RUF) senden eine anonymisierte Kopie einzelner fehlerhafter Nachrichten zur Untersuchung.

5Erforderlich von Google/Yahoo

Seit Feb 2024 müssen Massenabsender mindestens DMARC mit p=none haben, um Gmail/Yahoo-Posteingänge zu erreichen.

6Markenschutz

Verhindert, dass Phishing-E-Mails, die Ihre Marke imitieren, Ihre Kunden erreichen.

So funktioniert DMARC – Schritt für Schritt

Sie veröffentlichen einen DMARC-TXT-Eintrag unter `_dmarc.ihredomain.de` und geben Ihre Policy und Berichtsadressen an.

Eine Nachricht trifft beim empfangenden Server ein. Dieser führt SPF- und DKIM-Prüfungen unabhängig voneinander durch.

Das DMARC-Alignment wird geprüft: Stimmt die authentifizierte Domain (aus SPF oder DKIM) mit der Domain im From-Header überein?

Wenn entweder SPF+Alignment ODER DKIM+Alignment erfolgreich ist, gilt DMARC für die Nachricht als bestanden.

Falls beide fehlschlagen, wendet der Empfänger Ihre Policy an: none (zustellen), quarantine (Spam-Ordner) oder reject (Bounce).

Der Empfänger sammelt die Authentifizierungsdaten für Ihre Domain und sendet aggregierte (RUA) oder forensische (RUF) Berichte an die von Ihnen angegebenen Adressen.

DMARC-Eintrags-Syntax

DNS-TXT-Eintrag unter _dmarc.ihredomain.de

v=DMARC1; p=quarantine; pct=100; sp=reject;
            rua=mailto:dmarc-reports@yourdomain.com;
            ruf=mailto:dmarc-failures@yourdomain.com;
            adkim=s; aspf=s; fo=1

Tag-Referenz

v=DMARC1— Version, erforderlich

p=— Richtlinie für die Domain

sp=— Richtlinie für Subdomains

pct=— % der fehlerhaften Mails, auf die die Policy angewendet wird

rua=— Empfänger für aggregierte Berichte (mailto:)

ruf=— Empfänger für forensische Berichte (mailto:)

adkim=— DKIM-Alignment: r=relaxed, s=strict

aspf=— SPF-Alignment: r=relaxed, s=strict

fo=— Optionen für Fehlerberichte (0,1,d,s)

ri=— Berichtsintervall in Sekunden (Standard 86400)

Die drei DMARC-Richtlinien

p=none

Nur Überwachung. Fehlerhafte Mails werden normal zugestellt. Nutzen Sie dies zu Beginn, um Berichte zu sammeln.

p=quarantine

Fehlerhafte Mails landen im Spam-/Junk-Ordner. Ein Zwischenschritt vor der vollständigen Ablehnung.

p=reject

Fehlerhafte Mails werden auf SMTP-Ebene abgewiesen und nie zugestellt. Der stärkste Schutz.

DMARC-Alignment erklärt

Relaxed Alignment (Standard)

Die authentifizierte Domain darf eine übergeordnete Organisationseinheit sein. Z.B. mail.ihredomain.de ist gültig für ihredomain.de.

Strict Alignment

Die authentifizierte Domain muss exakt mit der From-Domain übereinstimmen. mail.ihredomain.de gilt NICHT für ihredomain.de.

Häufige DMARC-Fehler und Lösungen

SPF-Alignment-Fehler

Die Domain des Envelope-From (Return-Path) stimmt nicht mit dem Header-From überein – häufig bei ESPs, die ihren eigenen Return-Path nutzen.

DKIM-Alignment-Fehler

Die d=-Domain in der DKIM-Signatur stimmt nicht mit der sichtbaren From-Domain überein – konfigurieren Sie Ihren ESP so, dass er mit Ihrer Domain signiert.

Fehlende RUA-Adresse

Ohne rua= erhalten Sie keine Berichte und haben keine Einsicht – geben Sie immer mindestens eine Berichtsadresse an.

Subdomains nicht abgedeckt

Fügen Sie sp=reject hinzu, um Ihre Richtlinie auf Subdomains auszuweiten, oder veröffentlichen Sie separate DMARC-Einträge pro Subdomain.

FAQs

Häufig gestellte Fragen

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein kritisches E-Mail-Authentifizierungsprotokoll, das zusammen mit SPF und DKIM funktioniert. Es gibt empfangenden Mailservern Anweisungen, wie sie mit E-Mails umgehen sollen, die die Authentifizierungsprüfungen nicht bestehen. So wird verhindert, dass unbefugte Dritte Ihre Domain fälschen, und der Ruf Ihrer Marke wird geschützt.

Ein DMARC-Checker überprüft, ob Ihr Eintrag korrekt formatiert und in Ihren DNS-Einstellungen veröffentlicht ist. Indem Sie sicherstellen, dass Ihre DMARC-Richtlinie aktiv ist (idealerweise in Richtung p=reject), signalisieren Sie ISPs wie Google und Outlook, dass Ihre E-Mails legitim sind, was die Wahrscheinlichkeit, dass Ihre Nachrichten als Spam markiert oder blockiert werden, erheblich verringert.

Die Richtlinie 'quarantine' weist den empfangenden Server an, E-Mails, die DMARC nicht bestehen, in den Spam- oder Junk-Ordner des Empfängers zuzustellen. Die Richtlinie 'reject' ist sicherer, da sie den Server anweist, die E-Mail komplett abzuweisen, sodass sie den Empfänger nie erreicht. Beide Richtlinien sind wesentliche Schritte zur Sicherung des E-Mail-Flusses Ihrer Domain.

DMARC-Alignment tritt auf, wenn die Domain im 'From'-Header mit der durch SPF oder DKIM validierten Domain übereinstimmt. Ohne ordnungsgemäßes Alignment kann selbst eine gültige SPF- oder DKIM-Prüfung zu einem DMARC-Fehler führen. Das Alignment stellt sicher, dass die sichtbare Absenderadresse diejenige ist, die tatsächlich authentifiziert wurde.

Wenn Sie keine Berichte erhalten, überprüfen Sie das 'rua'-Tag Ihres DMARC-Eintrags. Es muss einen gültigen mailto:-URI enthalten. Stellen Sie außerdem sicher, dass Ihr DNS-Eintrag propagiert wurde und dass die Ziel-E-Mail-Adresse in der Lage ist, externe DMARC-Berichte zu empfangen, da einige Anbieter hierfür einen speziellen DNS-Eintrag (External Domain Verification) benötigen.

DMARC-Änderungen hängen von den TTL-Einstellungen (Time to Live) Ihres DNS-Eintrags ab. Während die Aktualisierung an der Quelle fast sofort erfolgt, kann die globale Verteilung zwischen einigen Minuten und 48 Stunden dauern. Die regelmäßige Verwendung eines DMARC-Checkers hilft Ihnen zu überprüfen, wann die Änderungen die großen Mailserver erreicht haben.