DMARC-Eintrag prüfen – SPF, DKIM & DMARC
Liest die E-Mail-Sicherheits-DNS-Records einer Domain aus: SPF, DMARC, DKIM und MX. Domains ohne SPF und DMARC können von Angreifern für Phishing missbraucht werden.
Was prüft der DMARC-Lookup?
Der DMARC-Lookup liest die vier DNS-Einträge aus, die über die Echtheit deiner E-Mails entscheiden: SPF (ein TXT-Record mit v=spf1, der festlegt, welche Server im Namen deiner Domain senden dürfen), DMARC (ein TXT-Record unter _dmarc.deinedomain mit der Policy p=none, quarantine oder reject und optionalem Reporting via rua), DKIM (die kryptografische Signatur, mit der ein Empfänger prüft, ob eine Mail unterwegs verändert wurde) und die MX-Records (deine zuständigen Mailserver). So siehst du auf einen Blick, ob deine Domain überhaupt gegen Fälschung abgesichert ist.
Warum ist das wichtig?
Ohne SPF und eine aktive DMARC-Policy kann praktisch jeder E-Mails mit deiner Domain als Absender verschicken – die Grundlage für Phishing und CEO-Betrug. Erst p=quarantine oder p=reject weist gefälschte Mails ab. Dazu kommt die Zustellbarkeit: Seit Februar 2024 verlangen Gmail und Yahoo von Versendern größerer Mengen zwingend SPF, DKIM und DMARC – fehlt das, landen deine Mails im Spam oder werden abgewiesen.
Wie lese ich das Ergebnis?
Achte bei SPF auf das Ende: -all (hard fail, streng) oder ~all (soft fail) – ein fehlendes oder offenes +all ist ein Risiko. Bei DMARC ist p=none nur Beobachtung ohne Schutz; echter Schutz beginnt bei p=quarantine, voll bei p=reject. DKIM sollte vorhanden und korrekt signiert sein. Ein sauberes Setup: SPF mit -all oder ~all, DKIM aktiv, DMARC mindestens quarantine mit Report-Adresse.
Häufige Fragen zum DMARC-Lookup
Was ist der Unterschied zwischen SPF, DKIM und DMARC?
SPF legt fest, welche Server senden dürfen, DKIM signiert die Mail kryptografisch, und DMARC verbindet beides mit einer Regel, was bei einem Fehlschlag passieren soll.
Reicht SPF allein aus?
Nein. Ohne DMARC-Policy wird ein SPF-Fehlschlag von vielen Empfängern ignoriert – erst DMARC erzwingt eine Konsequenz.
Was bedeutet p=none?
Reiner Monitoring-Modus: Du bekommst Reports, aber gefälschte Mails werden trotzdem zugestellt. Als Dauerzustand bietet das keinen Schutz.
Brauche ich DMARC, wenn ich gar keine E-Mails versende?
Ja – gerade dann. Eine p=reject-Policy verhindert, dass deine ungenutzte Domain für Phishing missbraucht wird.
Hintergrund im Lexikon
Vollständigen Audit gewünscht? Der vollständige Webscan-Radar-Sicherheits-Check kombiniert DMARC-Lookup mit allen anderen Bereichen plus DSGVO-Audit, CMS-Erkennung, CVE-Abgleich und Performance-Messung in einem Bericht — ebenfalls kostenlos.