Zum Hauptinhalt springen

Was ist DMARC?

DMARC verhindert, dass Angreifer in deinem Namen E-Mails verschicken — die letzte Verteidigungslinie gegen Domain-Spoofing.

Kurz erklärt

DMARC steht für Domain-based Message Authentication, Reporting and Conformance und ist ein DNS-basiertes Protokoll, das auf SPF und DKIM aufbaut. Während SPF und DKIM nur prüfbar machen, ob eine E-Mail von einem berechtigten Absender stammt, sagt DMARC dem empfangenden Mailserver, was er mit gefälschten Mails tun soll: durchwinken, in Spam verschieben oder ablehnen. Außerdem schickt DMARC dir täglich Reports darüber, welche IPs in deinem Namen Mails verschicken — legitim wie illegitim.

Wozu brauche ich DMARC?

Ohne DMARC kann jeder beliebige Server unter deinem Domainnamen Mails verschicken — etwa Phishing-Mails, die aussehen, als kämen sie von deiner Buchhaltung. Empfänger haben kaum eine Chance, das zu erkennen. DMARC schließt diese Lücke: Mails, die SPF und DKIM nicht bestehen, werden verworfen oder als Spam markiert. Gleichzeitig erfährst du über die Aggregat-Reports, ob deine Domain als Spoofing-Ziel missbraucht wird.

Großbetreiber wie Google und Yahoo verlangen seit 2024 für Bulk-Sender (über 5.000 Mails pro Tag) eine DMARC-Konfiguration — sonst landen die Mails direkt im Spam-Ordner.

Aufbau eines DMARC-Records

DMARC wird als TXT-Record auf der Subdomain _dmarc.deinedomain.de gespeichert. Ein vollständiger Eintrag sieht so aus: 

v=DMARC1; p=quarantine; rua=mailto:dmarc@deinedomain.de; ruf=mailto:dmarc@deinedomain.de; sp=quarantine; pct=100; adkim=s; aspf=s

Die wichtigsten Tags:

  • v=DMARC1 — Versionskennung, immer als Erstes.
  • p=... — Policy für die Hauptdomain. Drei Werte möglich: none (nur berichten), quarantine (in Spam) oder reject (ablehnen).
  • rua=mailto:... — Adresse für die täglichen Aggregat-Reports (XML-Dateien).
  • ruf=mailto:... — Forensik-Reports bei einzelnen fehlgeschlagenen Mails.
  • sp=... — Policy für Subdomains; sinnvoll, wenn keine Mails von Subdomains gesendet werden.
  • pct=... — Prozentsatz der Mails, auf die die Policy angewendet wird (Migration: pct=10, 50, 100).
  • adkim=s/r, aspf=s/r — strikte (s) oder relaxed (r) Alignment-Prüfung.

DMARC schrittweise einführen

Die Empfehlung ist nicht, sofort auf p=reject zu gehen. Sonst riskierst du, legitime Mails (z. B. von Newsletter-Systemen, CRM oder Buchhaltung) zu blockieren, die du in SPF/DKIM noch nicht erfasst hast. Stattdessen phasenweise:

  1. Phase 1: Beobachten. Setze p=none mit aktiven rua-Reports. Sammle 2–4 Wochen Daten und identifiziere alle legitimen Absender.
  2. Phase 2: SPF und DKIM nachziehen. Trage alle gefundenen IP-Bereiche und Mail-Anbieter in deinen SPF-Record ein, sorge bei jedem Versender für DKIM-Signaturen.
  3. Phase 3: Testlauf. Wechsle auf p=quarantine; pct=10. Beobachte zwei Wochen.
  4. Phase 4: Vollumstellung. Erhöhe pct auf 50, dann 100. Wechsle nach weiteren zwei Wochen auf p=reject.

Häufige Fehler

  • Mehrere DMARC-Records: Ein DMARC-Record pro Domain. Mehrere TXT-Einträge mit v=DMARC1 machen DMARC unwirksam.
  • Sofort p=reject: Erst ein paar Wochen mit p=none sammeln, sonst killst du legitime Mails.
  • Falsche rua-Adresse: Wenn die Reports an eine fremde Domain gehen, braucht diese einen DMARC-Authorization-Record (deinedomain.de._report._dmarc.fremde.de).
  • SPF-DNS-Lookup-Limit: SPF darf max. 10 DNS-Lookups verursachen — sonst schlägt SPF fehl und damit auch DMARC.

Selbst prüfen: DMARC-Lookup

SPF, DMARC, DKIM und MX-Records. Gib eine Domain ein und sieh in Sekunden, wie es um deinen DMARC steht.

Auch im Lexikon

HSTS erklärt

HSTS

SSL/TLS erklärt

SSL

SPF erklärt

SPF

CSP erklärt

CSP

DKIM erklärt

DKIM

X-Frame-Options erklärt

X-FRAME-OPTIONS

Subresource Integrity erklärt

SUBRESOURCE-INTEGRITY

CORS erklärt

CORS

Cookie-Flags erklärt

COOKIE-FLAGS

DNSSEC erklärt

DNSSEC

CAA-Record erklärt

CAA-RECORD

Referrer-Policy erklärt

REFERRER-POLICY

Permissions-Policy erklärt

PERMISSIONS-POLICY

MIME-Sniffing & X-Content-Type-Options erklärt

MIME-SNIFFING