DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein E-Mail-Authentifizierungsprotokoll, das ISPs bei der Überprüfung der Absenderidentität unterstützt und Domain-Spoofing verhindert.

Wie oft sollte ich einen neuen DMARC-Eintrag generieren?

Sie müssen nur einmal pro Domain einen DMARC-Eintrag generieren. Aktualisieren Sie es, wenn Sie Ihren E-Mail-Versandanbieter wechseln oder Ihre Authentifizierungsrichtlinien anpassen möchten.

Was ist der Unterschied zwischen Hauptrichtlinie und Subdomain-Richtlinie?

Die Hauptrichtlinie gilt für Ihre Root-Domain, während die Subdomain-Richtlinie für Subdomains wie „mail.example.com“ gilt. Sie können jeweils unterschiedliche Richtlinien festlegen.

Sollte ich „keine“, „Quarantäne“ oder „Ablehnen“ verwenden?

Beginnen Sie mit „Keine“, um die Ergebnisse zu überwachen, gehen Sie zu „Quarantäne“ für eine moderate Durchsetzung und verwenden Sie „Ablehnen“ nur, wenn Sie mit Ihrem SPF- und DKIM-Setup vertraut sind.

DMARC-Eintrag-Generator

Erstellen Sie DMARC-DNS-Einträge für Ihre Domain mit unserem kostenlosen Schritt-für-Schritt-Assistenten.

Domain eingeben

Geben Sie zunächst die Domain ein, für die Sie einen DMARC-Eintrag erstellen möchten.

Domainname *

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist in RFC 7489 definiert. Es baut auf SPF und DKIM auf und fügt zwei Schlüsselfunktionen hinzu: eine Richtlinie (Policy), die Empfängern sagt, wie sie mit nicht authentifizierten Mails umgehen sollen (überwachen, unter Quarantäne stellen oder ablehnen), und einen Berichtsmechanismus, der Ihnen XML-Berichte darüber sendet, wer E-Mails von Ihrer Domain sendet und ob diese die Authentifizierung bestehen.

Entscheidend ist, dass DMARC das Konzept des **Alignments** (Ausrichtung) einführt – die Domain im sichtbaren „From“-Header der E-Mail muss mit der durch SPF oder DKIM authentifizierten Domain übereinstimmen. Dies verhindert, dass Angreifer SPF/DKIM für eine andere Domain bestehen, während sie Ihre Domain im From-Header vortäuschen.

Warum benötigen Sie DMARC?

1Schutz des Header-From

SPF und DKIM allein schützen die sichtbare From-Adresse nicht – DMARC schließt diese Lücke durch Alignment.

2Durchsetzungs-Richtlinie

Sie entscheiden, was mit fehlerhaften Mails passiert: beobachten, in den Spam verschieben oder direkt ablehnen.

3Aggregierte Berichte

Tägliche XML-Berichte (RUA) zeigen jede IP, die Mails mit Ihrer Domain sendet, sowie die Pass/Fail-Raten.

4Forensische Berichte

Fehlerberichte (RUF) senden eine anonymisierte Kopie einzelner fehlerhafter Nachrichten zur Untersuchung.

5Erforderlich von Google/Yahoo

Seit Feb 2024 müssen Massenabsender mindestens DMARC mit p=none haben, um Gmail/Yahoo-Posteingänge zu erreichen.

6Markenschutz

Verhindert, dass Phishing-E-Mails, die Ihre Marke imitieren, Ihre Kunden erreichen.

So funktioniert DMARC – Schritt für Schritt

Sie veröffentlichen einen DMARC-TXT-Eintrag unter `_dmarc.ihredomain.de` und geben Ihre Policy und Berichtsadressen an.

Eine Nachricht trifft beim empfangenden Server ein. Dieser führt SPF- und DKIM-Prüfungen unabhängig voneinander durch.

Das DMARC-Alignment wird geprüft: Stimmt die authentifizierte Domain (aus SPF oder DKIM) mit der Domain im From-Header überein?

Wenn entweder SPF+Alignment ODER DKIM+Alignment erfolgreich ist, gilt DMARC für die Nachricht als bestanden.

Falls beide fehlschlagen, wendet der Empfänger Ihre Policy an: none (zustellen), quarantine (Spam-Ordner) oder reject (Bounce).

Der Empfänger sammelt die Authentifizierungsdaten für Ihre Domain und sendet aggregierte (RUA) oder forensische (RUF) Berichte an die von Ihnen angegebenen Adressen.

DMARC-Eintrags-Syntax

DNS-TXT-Eintrag unter _dmarc.ihredomain.de

v=DMARC1; p=quarantine; pct=100; sp=reject;
            rua=mailto:dmarc-reports@yourdomain.com;
            ruf=mailto:dmarc-failures@yourdomain.com;
            adkim=s; aspf=s; fo=1

Tag-Referenz

v=DMARC1— Version, erforderlich

p=— Richtlinie für die Domain

sp=— Richtlinie für Subdomains

pct=— % der fehlerhaften Mails, auf die die Policy angewendet wird

rua=— Empfänger für aggregierte Berichte (mailto:)

ruf=— Empfänger für forensische Berichte (mailto:)

adkim=— DKIM-Alignment: r=relaxed, s=strict

aspf=— SPF-Alignment: r=relaxed, s=strict

fo=— Optionen für Fehlerberichte (0,1,d,s)

ri=— Berichtsintervall in Sekunden (Standard 86400)

Die drei DMARC-Richtlinien

p=none

Nur Überwachung. Fehlerhafte Mails werden normal zugestellt. Nutzen Sie dies zu Beginn, um Berichte zu sammeln.

p=quarantine

Fehlerhafte Mails landen im Spam-/Junk-Ordner. Ein Zwischenschritt vor der vollständigen Ablehnung.

p=reject

Fehlerhafte Mails werden auf SMTP-Ebene abgewiesen und nie zugestellt. Der stärkste Schutz.

DMARC-Alignment erklärt

Relaxed Alignment (Standard)

Die authentifizierte Domain darf eine übergeordnete Organisationseinheit sein. Z.B. mail.ihredomain.de ist gültig für ihredomain.de.

Strict Alignment

Die authentifizierte Domain muss exakt mit der From-Domain übereinstimmen. mail.ihredomain.de gilt NICHT für ihredomain.de.

Häufige DMARC-Fehler und Lösungen

SPF-Alignment-Fehler

Die Domain des Envelope-From (Return-Path) stimmt nicht mit dem Header-From überein – häufig bei ESPs, die ihren eigenen Return-Path nutzen.

DKIM-Alignment-Fehler

Die d=-Domain in der DKIM-Signatur stimmt nicht mit der sichtbaren From-Domain überein – konfigurieren Sie Ihren ESP so, dass er mit Ihrer Domain signiert.

Fehlende RUA-Adresse

Ohne rua= erhalten Sie keine Berichte und haben keine Einsicht – geben Sie immer mindestens eine Berichtsadresse an.

Subdomains nicht abgedeckt

Fügen Sie sp=reject hinzu, um Ihre Richtlinie auf Subdomains auszuweiten, oder veröffentlichen Sie separate DMARC-Einträge pro Subdomain.

FAQs

Häufig gestellte Fragen

Um einen sicheren DMARC-Eintrag zu erstellen, definieren Sie zunächst Ihre Richtlinie (p). Wir empfehlen, mit p=none zu beginnen, um Ihren Datenverkehr über Berichte zu überwachen. Sobald Sie verifiziert haben, dass alle legitimen Quellen authentifiziert sind, wechseln Sie zu p=quarantine und schließlich zu p=reject.

Das 'rua'-Tag gibt an, wohin aggregierte Berichte (tägliche XML-Zusammenfassungen) gesendet werden sollen, während das 'ruf'-Tag für forensische Fehlerberichte gedacht ist. Die Aufnahme einer 'rua'-Adresse wird dringend empfohlen, um Spoofing-Versuche zu identifizieren.

Sie können das 'sp'-Tag im DMARC-Eintrag Ihrer Root-Domain verwenden, um eine Richtlinie für alle Subdomains zu definieren (z. B. sp=reject). Wenn Sie kein 'sp'-Tag einfügen, erben die Subdomains die Richtlinie (p) der Root-Domain.

Das 'pct'-Tag (Prozentsatz) ermöglicht es Ihnen, Ihre DMARC-Richtlinie nur auf einen Teil Ihrer fehlerhaften E-Mails anzuwenden. Zum Beispiel weist p=reject; pct=20 Server an, nur 20 % der fehlerhaften E-Mails abzulehnen. Dies ist ein guter Weg, um die Sicherheit schrittweise zu erhöhen.

Diese Tags definieren, wie streng DMARC die Übereinstimmung zwischen der Absenderadresse und den authentifizierten Domains prüft. 'r' (relaxed) erlaubt Übereinstimmungen von Subdomains mit der Root-Domain, während 's' (strict) eine exakte Domain-Übereinstimmung erfordert.