DMARC-Ausrichtung: Entspannte und strenge Ausrichtungsmodi

Die E-Mail-Authentifizierung beschränkt sich nicht mehr nur darauf, ob SPF oder DKIM erfolgreich sind. Im Jahr 2026 achten Mailbox-Anbieter ebenso darauf, ob diese Authentifizierungsergebnisse mit der Domain übereinstimmen, die Benutzer tatsächlich in der Absenderadresse sehen. Hier kommt die DMARC-Abgleichung ins Spiel.

Die DMARC-Konformität (Domain-based Message Authentication Reporting and Conformance) bestimmt, ob die den Empfängern angezeigte Domain mit den durch SPF und DKIM validierten Domains übereinstimmt. Wenn sie nicht übereinstimmen, kann eine E-Mail die DMARC-Prüfung nicht bestehen, selbst wenn SPF oder DKIM technisch gesehen erfolgreich sind. Aus diesem Grund landen bei vielen Unternehmen legitime E-Mails im Spam-Ordner oder werden nach einer strengeren DMARC-Durchsetzung abgelehnt.

Die Komplexität ergibt sich aus den Ausrichtungsmodi. Die lockere Ausrichtung erlaubt Übereinstimmungen mit organisatorischen Domänen, einschließlich Subdomänen. Die strenge Ausrichtung erfordert eine exakte Domänenübereinstimmung. Die Wahl des falschen Modus kann die Zustellbarkeit unbemerkt beeinträchtigen, insbesondere wenn mehrere ESPs, Subdomänen oder Weiterleitungen beteiligt sind.

Dieser Leitfaden erklärt, wie die DMARC-Ausrichtung funktioniert, den tatsächlichen Unterschied zwischen strikter und lockerer Ausrichtung im Jahr 2026, häufige Fehlerszenarien und wie Sie entscheiden können, welcher Modus zu Ihrer E-Mail-Infrastruktur passt, ohne die Zustellung in den Posteingang zu gefährden.

Was ist DMARC Alignment?

DMARC Die DMARC-Ausrichtung ist der Prozess, bei dem überprüft wird, ob die Domain im „Von”-Header Ihrer E-Mail mit den Domains übereinstimmt, die bei der SPF- und DKIM-Authentifizierung verwendet werden. DMARC gleicht Ihre E-Mail ab, wenn die Nachricht entweder die SPF- oder die DKIM-Identifikationsabgleichung oder beide besteht.

Dadurch wird sichergestellt, dass Ihre E-Mails legitim sind und vor einer Reihe von E-Mail-Betrugsangriffen wie Phishing, Spoofing, Ransomware und mehr geschützt sind.

Das DMARC-Authentifizierungsprotokoll prüft die Übereinstimmung der DMARC-Kennungen, um festzustellen, ob eine E-Mail-Domäne möglicherweise gefälscht ist. Bei der Validierung Ihrer E-Mail prüft DMARC drei Bezeichner:

• Die Von-Kopfzeile
• Die Return-Path-Adresse
• Der Domainname in der DKIM-Signatur

Wichtiger Punkt: DMARC besteht die Überprüfung, wenn entweder SPF oder DKIM mit der Absenderdomain übereinstimmt (abhängig von Ihren strengen oder lockeren Einstellungen). Wenn keines der beiden übereinstimmt, schlägt DMARC fehl, selbst wenn SPF oder DKIM für sich genommen ein „Pass“ anzeigen.

Dies verhindert, dass Spoofers E-Mails versenden, die so aussehen , als kämen sie von Ihrer Domain, während sie sich hinter den Kulissen mit einer anderen Domain authentifizieren.

Wie funktioniert der DMARC-Abgleich?

Um die DMARC-Ausrichtung klar zu verstehen, ist es hilfreich zu wissen, welche Domain-Identität DMARC schützen soll. Vergleich. 

Wenn Sie DMARC implementieren, verknüpfen Sie die Ergebnisse von SPF und DKIM, um alle E-Mails zu authentifizieren, die von Ihrer Domain stammen. Für jede einzelne E-Mail verwendet DMARC die sogenannte „zentrale Identität”, also die Domain, die im „Von”-Header angegeben ist. Dies ist die Domain, die die Empfänger sehen, und die Domain, die DMARC zu schützen versucht.

Wenn eine E-Mail von Ihrer Domain den Empfangsserver erreicht, überprüft SPF den Rückweg (Envelope From/Bounce-Adresse) und DKIM validiert die verschlüsselte Signatur unter Verwendung der DKIM-Signaturdomäne. DMARC nimmt dann das Ergebnis jeder Überprüfung und überprüft, ob die in SPF und/oder DKIM verwendete Domain mit der Domain im From-Header übereinstimmt.

Es gibt jedoch ein kleines Problem. Jeder, auch Kriminelle, kann eine Domain kaufen und SPF und DKIMimplementieren. Theoretisch sollte es also möglich sein, dass jemand eine E-Mail mit der Domain Ihrer Organisation in der Absenderadresse (der zentralen Identität) versendet und die SPF-Authentifizierung mit dem Return Path seiner eigenen Domain besteht. Benutzer sehen in der Regel nur die Absenderadresse und nicht den Return Path, sodass sie nicht einmal wissen, dass zwischen beiden eine Diskrepanz besteht.

DMARC-Ausrichtungstypen: Strenge vs. entspannte Bezeichnerausrichtungen 

Sobald die DMARC-Ausrichtung auf hoher Ebene verstanden wurde, besteht der nächste Schritt darin, zu entscheiden, wie streng die Domänenübereinstimmung durchgesetzt werden soll. DMARC bietet zwei Ausrichtungsmodi: „relaxed” (locker) und „strict” (streng), die steuern, wie genau die authentifizierten SPF- und DKIM-Domänen mit der im From-Header angezeigten Domäne übereinstimmen müssen.

Vergleich nebeneinander: Strenge vs. lockere Ausrichtung

Diese Ausrichtungsmodi gelten unabhängig voneinander für SPF und DKIM, bestimmen jedoch gemeinsam, ob eine E-Mail DMARC besteht.

1. DMARC Entspannter Abgleich

Wenn die entspannte Ausrichtung für SPF und DKIM aktiviert ist, betrachtet DMARC eine E-Mail als ausgerichtet, wenn die authentifizierten Domänen mit der Absenderdomäne übereinstimmen. Das bedeutet, dass Subdomänen als ausgerichtet behandelt werden.

Im entspannten Modus gilt die DMARC-Ausrichtung als bestanden, selbst wenn die Domäne im Mail-From-Befehl und die Domänen im Return-Path-Header (für SPF) oder in der DKIM-Signatur (für DKIM) nicht exakt übereinstimmen, aber zur gleichen Organisationsdomäne gehören.

Beispiel für eine lockere DMARC-Ausrichtung
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=r; adkim=r

Hier sind die Ausrichtungs-Tags aspf=r und adkim=r eine lockere Ausrichtung sowohl für SPF als auch für DKIM fest.

2. DMARC Strict Alignment

Eine strenge Übereinstimmung sorgt für ein höheres Maß an Präzision. In diesem Modus ist die DMARC-Übereinstimmung nur dann gegeben, wenn die Domain im From-Header genau mit den Domains übereinstimmt, die für die SPF- und DKIM-Authentifizierung verwendet werden.

Wenn die strenge Ausrichtung aktiviert ist, werden Subdomains nicht als ausgerichtet betrachtet. Jede Nichtübereinstimmung, selbst innerhalb derselben Organisationsdomain, führt dazu, dass die Ausrichtung fehlschlägt.

Beispiel für strenge DMARC-Ausrichtung
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; adkim=s

Hier, aspf=s und adkim=s erfordern eine exakte Übereinstimmung sowohl für die SPF- als auch für die DKIM-Ausrichtung.

Die Rolle des SPF- und DKIM-Identifikatorabgleichs

Die SPF- und DKIM-Identifikatorabgleichung dient dazu, Domain-Identitätsdiebstahl zu verhindern, und nicht nur dazu, zu bestätigen, dass eine E-Mail grundlegende Authentifizierungsprüfungen bestanden hat. Ohne Abgleichung kann eine E-Mail technisch gesehen SPF oder DKIM unter Verwendung einer Domain bestehen, während in der Absenderadresse – dem Teil, den die Empfänger tatsächlich sehen – eine andere, vertrauenswürdige Domain angezeigt wird.

Die Abgleichung der Authentifizierungs-ID hilft dabei festzustellen, ob der E-Mail-Absender tatsächlich berechtigt ist, Nachrichten im Namen der den Empfängern angezeigten Domain zu versenden. Mailbox-Anbieter stützen sich auf dieses Abgleichungssignal, um legitime E-Mail-Quellen von gefälschten oder irreführenden Nachrichten zu unterscheiden, selbst wenn SPF oder DKIM unabhängig voneinander ein „Pass“ zurückgeben.

Abgestimmte E-Mails bestehen eher die Absenderüberprüfung und werden von den empfangenden Mail-Servern als vertrauenswürdig eingestuft. Wenn die Abstimmung fehlschlägt, betrachten die Anbieter die Nachricht als risikoreicher und filtern, isolieren oder lehnen sie möglicherweise ab, insbesondere wenn DMARC mit Richtlinien wie p=quarantine oder p=reject durchgesetzt wird.

Welche Faktoren können die SPF- und DKIM-Identifikator-Ausrichtung beeinflussen?

Mehrere häufige Sendeszenarien können zu Ausrichtungsfehlern führen:

• E-Mail-Dienste von Drittanbietern und ESPs können E-Mails unter Verwendung ihrer eigenen Domänen authentifizieren, sofern dies nicht ausdrücklich für die Angleichung konfiguriert wurde.
• Die Weiterleitung von E-Mails kann aufgrund von IP-Änderungen zu einer Unterbrechung von SPF führen und DKIM ungültig machen, wenn der Inhalt der Nachricht geändert wird.

Wie Ausrichtungsmodi auf SPF angewendet werden

Die SPF-Ausrichtung konzentriert sich auf die Beziehung zwischen der Return-Path-Domäne (Envelope From) und der From-Header-Domäne.

Die SPF-Ausrichtung ist erfolgreich, wenn diese Domänen gemäß dem ausgewählten DMARC-Ausrichtungsmodus ausgerichtet sind:

• Entspannte SPF-Ausrichtung: Übereinstimmungen mit organisatorischen Domänen sind zulässig, sodass Subdomänen zugelassen werden.
• Strenge SPF-Ausrichtung: Nur exakte Domain-Übereinstimmungen werden zugelassen

Da SPF auf der sendenden IP-Adresse basiert, reagiert die SPF-Abgleichung besonders empfindlich auf Szenarien wie E-Mail-Weiterleitung, bei denen die IP-Adresse des Weiterleitungsservers möglicherweise nicht im ursprünglichen SPF-Eintrag autorisiert ist.

Wie Ausrichtungsmodi auf DKIM angewendet werden

Die DKIM-Ausrichtung bewertet, ob die DKIM-Signaturdomäne (d= d= Wert in der DKIM-Signatur) mit der Absenderdomain übereinstimmt.

Die DKIM-Abgleichung ist erfolgreich, wenn die signierende Domain gemäß dem gewählten Abgleichmodus mit der Absender-Domain übereinstimmt:

• Entspannte DKIM-Ausrichtung: Übereinstimmungen mit Organisationsdomänen sind zulässig
• Strikte DKIM-Übereinstimmung: Exakte Domain-Übereinstimmung erforderlich

Im Gegensatz zu SPF wird DKIM nicht von IP-Änderungen während der Weiterleitung beeinflusst, aber die DKIM-Abgleichung kann fehlschlagen, wenn der Inhalt oder die Kopfzeilen der Nachricht während der Übertragung geändert werden.

Wie man Herausforderungen bei der Ausrichtung angeht

Um eine konsistente DMARC-Ausrichtung zu gewährleisten, sollten Unternehmen sicherstellen, dass alle legitimen Absenderquellen bewusst mit der in der Absenderadresse verwendeten Domain abgeglichen und regelmäßig überwacht werden, wenn sich die E-Mail-Infrastruktur ändert.

Bei PowerDMARC gehen wir noch einen Schritt weiter und helfen Ihnen bei der Konfiguration und Wartung von SPF, DKIM, ARCund DMARC auf zentralisierte Weise zu konfigurieren und zu verwalten. Dies erleichtert die Abstimmung mit Drittanbietern, die Bewältigung von Herausforderungen im Zusammenhang mit der Weiterleitung und die Aktualisierung von Authentifizierungsdatensätzen im Zuge der Weiterentwicklung Ihrer Konfiguration, sodass Ihre legitimen E-Mails mit höchster Wahrscheinlichkeit den Posteingang erreichen.

Beispiele für DMARC-Ausrichtung

Die folgenden Beispiele zeigen, wie sich strenge und lockere Ausrichtung in realen E-Mail-Versandszenarien verhält.

Beispiel 1: SaaS-Unternehmen, das mehrere Subdomains verwendet

• Aus der Kopfzeile: [email protected]
• SPF-Rückweg: marketing.company.com
• DKIM-Signatur: support.company.com

Ergebnis der entspannten Ausrichtung: ✓ Bestanden (Organisationsdomänen stimmen überein)
Ergebnis der strengen Übereinstimmung: ✗ Nicht bestanden (exakte Übereinstimmung erforderlich)

Dies ist bei SaaS-Unternehmen üblich, die E-Mails von mehreren Subdomains versenden. Durch eine lockere Ausrichtung können diese Nachrichten DMARC ohne zusätzliche Konfiguration passieren.

Beispiel 2: Finanzinstitut mit exakter Domain-Übereinstimmung

• Aus der Kopfzeile: [email protected]
• SPF-Rückweg: bank.com
• DKIM-Signatur: bank.com

Ergebnis der entspannten Ausrichtung: ✓ Bestanden
Ergebnis der strengen Ausrichtung: ✓ Bestanden

Da alle Domänen exakt übereinstimmen, sind beide Abgleichmodi erfolgreich. Diese Konfiguration ist typisch für Organisationen mit zentralisierter Infrastruktur und strengen Sicherheitsanforderungen.

Beispiel 3: E-Mail-Dienst eines Drittanbieters ohne Angleichung

• Aus der Kopfzeile: [email protected]
• SPF-Rückweg: mailservice.com
• DKIM-Signatur: mailservice.com

Ergebnis der entspannten Ausrichtung: ✗ Nicht bestanden
Ergebnis der strengen Ausrichtung: ✗ Nicht bestanden

In diesem Szenario stimmen weder SPF noch DKIM mit der Absenderdomain überein. Selbst wenn SPF oder DKIM einzeln bestehen, schlägt DMARC aufgrund der Nichtübereinstimmung fehl, was die Notwendigkeit einer ordnungsgemäßen Konfiguration von Drittanbietern als Absender unterstreicht.

Wie wählt man den richtigen DMARC-Ausrichtungsmodus?

Die Wahl zwischen einer lockeren und einer strengen DMARC-Ausrichtung hängt von Ihrer E-Mail-Infrastruktur, Ihrer Toleranz gegenüber Fehlalarmen und davon ab, wie aggressiv Sie DMARC-Richtlinien wie p=quarantine oder p=reject durchsetzen möchten. Das Ziel besteht darin, den Schutz vor Spoofing zu verbessern, ohne den legitimen E-Mail-Fluss zu beeinträchtigen.

Welcher DMARC-Ausrichtungsmodus ist besser?

Es gibt keine allgemeingültige „bessere“ Option. Eine lockere Ausrichtung ist für die meisten Unternehmen in der Regel der sicherere Ausgangspunkt, da sie gängige reale Konfigurationen (mehrere Subdomains und Drittanbieter-Absender) unterstützt. Eine strenge Ausrichtung bietet einen stärkeren Schutz, erfordert jedoch eine sauberere, konsistentere Versandarchitektur und eine genauere Überwachung, um das Blockieren legitimer E-Mails zu vermeiden.

Wählen Sie eine entspannte Ausrichtung, wenn

Eine lockere Ausrichtung ist in der Regel am besten geeignet, wenn Ihr Unternehmen über ein komplexeres Versand-Ökosystem verfügt, wie beispielsweise:

• Sie versenden E-Mails von mehreren Subdomains (z. B. marketing.example.com, support.example.com).
• Sie verwenden mehrere E-Mail-Plattformen oder Drittanbieter, die sich möglicherweise über Subdomains authentifizieren.
• Sie implementieren DMARC zum ersten Mal und möchten das Risiko von Störungen reduzieren.
• Sie benötigen Flexibilität, während Sie falsch ausgerichtete Sendequellen identifizieren und beheben.

Wählen Sie „Strikte Ausrichtung“, wenn

Eine strenge Ausrichtung ist am effektivsten, wenn Ihre Sendeeinstellungen streng kontrolliert werden und Sie maximalen Schutz vor Identitätsdiebstahl wünschen, z. B.:

• Sie versenden E-Mails von einer primären Domain mit minimalen Abweichungen.
• Sie haben strenge Sicherheitsanforderungen (z. B. Finanzdienstleistungen, Behörden, regulierte Umgebungen).
• Sie möchten Versuche des Subdomain-Spoofings verhindern.
• Sie sind bereit, DMARC mit p=quarantine oder p=reject durchzusetzen, wobei eine Überwachung eingerichtet ist.

Ein praktischer Entscheidungsrahmen

Um den richtigen DMARC-Ausrichtungsmodus auszuwählen, ohne die Zustellbarkeit zu gefährden:

1. Überprüfen Sie Ihre Versandinfrastruktur
   Listen Sie alle Systeme auf, die E-Mails für Ihre Domain versenden (Marketing-Tools, CRMs, Ticketingsysteme, Gehaltsabrechnung, Rechnungsstellung, interne Relays), einschließlich Subdomains.
2. Überprüfen Sie, wie jede Quelle heute authentifiziert wird
   Stellen Sie fest, ob SPF und/oder DKIM erfolgreich sind und ob die authentifizierten Domänen mit der Domäne im „From”-Header übereinstimmen.
3. Beginnen Sie mit einer entspannten Ausrichtung, wenn Sie sich unsicher sind
   Eine entspannte Ausrichtung ist toleranter, während Sie Fehlkonfigurationen und Inkompatibilitäten zwischen Anbietern entdecken.
4. Wechseln Sie erst dann zum strengen Modus, wenn die Zuordnung stabil ist
   Der strenge Modus sollte am besten angewendet werden, wenn Ihre legitimen Quellen konsistent authentifiziert und abgeglichen werden und Sie die Ergebnisse durch DMARC-Berichte überprüfen können.
5. Nach dem Wechseln des Modus kontinuierlich überwachen
   Ausrichtungsprobleme treten häufig wieder auf, wenn Teams neue Tools hinzufügen, ESP-Konfigurationen ändern oder neue Subdomains einführen.

In den meisten Fällen ist es am besten, zunächst mit einer lockeren Ausrichtung zu beginnen, Ausrichtungsprobleme bei allen legitimen Quellen zu beheben und dann erst dann zu einer strengen Ausrichtung überzugehen, wenn Ihre Infrastruktur dies unterstützt.

Überwachung, Test und Validierung der DMARC-Konformität 

Sobald Sie eine strenge DMARC-Ausrichtung aktivieren (oder von einer lockeren zu einer strengen Ausrichtung wechseln möchten), ist eine Überwachung unerlässlich, um Fehlalarme zu vermeiden und zu verhindern, dass legitime E-Mails gefiltert oder abgelehnt werden. Die zuverlässigste Methode zur Überprüfung der DMARC-Ausrichtung ist die DMARC-Gesamtberichterstattung, die anzeigt, ob SPF und DKIM bei allen Absendern korrekt mit Ihrer Absenderdomain übereinstimmen.

Hier finden Sie eine Schritt-für-Schritt-Anleitung zur Überprüfung der DMARC-Konformität Ihrer E-Mail-Nachrichten:

1. Gehen Sie im Hauptmenü auf Berichte
2. Klicken Sie auf „DMARC-Gesamtberichte“ und erweitern Sie das Dropdown-Menü.
3. Pro Ergebnis auswählen
4. Überwachen Sie die Absenderquellen auf Ergebnisbasis, um die DMARC-Konformität und die Abgleichergebnisse für jedes Ergebnis anzuzeigen.

Wenn die DMARC-Anpassung erfolgreich ist

Die DMARC-Abgleichung ist erfolgreich, wenn entweder die SPF- oder die DKIM-Identifikatorabgleichung (oder beide) erfolgreich ist, basierend auf dem von Ihnen ausgewählten Abgleichungsmodus (streng oder locker).

Warum die DMARC-Anpassung scheitert

Ein DMARC-Abgleichfehler tritt in der Regel auf, wenn weder SPF noch DKIM mit der Domain im From-Header übereinstimmen. Häufige Gründe hierfür sind:

• Die Domain im From-Header stimmt nicht mit der Return-Path-Domain überein (SPF-Abgleichfehler).
• Die Domain im „From“-Header stimmt nicht mit der DKIM-Signaturdomain überein (DKIM-Abgleichfehler).
• E-Mail-Dienste von Drittanbietern sind falsch konfiguriert und authentifizieren sich über ihre eigenen Domains.
• Die E-Mail-Weiterleitung stört SPF (IP-Änderungen) und kann DKIM ungültig machen, wenn Nachrichten während der Übertragung verändert werden.

Überwachen Sie die Ausrichtungsergebnisse mit PowerDMARC

PowerDMARC hilft Ihnen dabei, Ihre E-Mails zu überwachen und gleichzeitig eine strenge DMARC-Richtlinie einzuhalten – mit Hilfe unseres DMARC-Analysator . Wir helfen Ihnen dabei, Ihre E-Mail-Versandquellen zu verfolgen, auf Konformitätsfehler zu überprüfen und Ihre Authentifizierungskonfiguration direkt über unser Dashboard zu optimieren.

Kontaktieren Sie uns heute, um loszulegen!

FAQs

Was bedeutet DMARC-Abgleich?

DMARC-Abgleich ist der Prozess der Überprüfung, ob die im Absenderfeld einer E-Mail angegebene Domain mit den durch SPF und/oder DKIM authentifizierten Domains übereinstimmt. Dadurch wird sichergestellt, dass die Domain, die die Empfänger sehen, mit der Domain übereinstimmt, die während der Authentifizierung validiert wurde, wodurch Spoofing- und Identitätsdiebstahl-Angriffe verhindert werden.

Was ist die Standardausrichtungseinstellung für DMARC?

Die Standard-DMARC-Ausrichtungseinstellung ist sowohl für SPF als auch für DKIM gelockert. Dies ermöglicht Übereinstimmungen mit Organisationsdomänen, was bedeutet, dass Subdomänen die Ausrichtungsprüfungen passieren dürfen, sofern keine strengeren Einstellungen explizit konfiguriert sind.

Was ist eine Return-Path-Domain und warum ist sie für DMARC wichtig?

Eine Return-Path-Domain (auch bekannt als Envelope From oder Bounce-Adresse) ist die Domain, die nicht zugestellte oder zurückgesendete E-Mails empfängt. Während einer DMARC-Prüfungwird die SPF-Übereinstimmung anhand der Return-Path-Domain und nicht anhand der sichtbaren Absenderadresse bewertet. Wenn die Return-Path-Domain nicht mit der Absenderdomain übereinstimmt, schlägt die SPF-Übereinstimmung fehl.

Was ist eine DKIM-Signatur-Domain?

Eine DKIM-Signatur-Domäne ist die Domäne, die zur kryptografischen Signatur einer E-Mail verwendet wird (die d= Wert in der DKIM-Signatur). Während der DMARC-Auswertung überprüft die DKIM-Ausrichtung, ob diese Signaturdomäne mit der Absenderdomäne übereinstimmt. Eine lockere Ausrichtung erlaubt organisatorische Übereinstimmungen, während eine strenge Ausrichtung eine exakte Übereinstimmung der Domänen erfordert.

Wie wirkt sich die E-Mail-Weiterleitung auf die DMARC-Konformität aus?

Die Weiterleitung von E-Mails kann zu Fehlern bei der DMARC-Ausrichtung führen, indem sie SPF und in einigen Fällen auch DKIM unterbricht. SPF kann fehlschlagen, wenn weitergeleitete E-Mails von IP-Adressen gesendet werden, die nicht im SPF-Eintrag des ursprünglichen Absenders autorisiert sind. DKIM kann fehlschlagen, wenn der Inhalt oder die Kopfzeilen der E-Mail während der Weiterleitung geändert werden. Wenn weder SPF noch DKIM ausgerichtet bleiben, schlägt DMARC fehl.

Wie kann ich DMARC-Alignment-Fehler überwachen?

Sie können Abweichungen von der Konformität überwachen, indem Sie die DMARC-Gesamtberichte und forensischen (Fehler-)Berichte aktivieren. Diese Berichte zeigen, welche Absenderquellen konform sind, welche nicht und warum. So können Sie Probleme beheben und die Zustellbarkeit verbessern, bevor Sie strengere DMARC-Richtlinien durchsetzen.

Wie richte ich die DMARC-Ausrichtung richtig ein?

So richten Sie die DMARC-Ausrichtung korrekt ein:

1. Konfigurieren Sie SPF und DKIM für alle legitimen Absenderquellen.
2. Veröffentlichen Sie einen DMARC-Eintrag mit der entsprechenden aspf und adkim Ausrichtungstags
3. Überwachen Sie DMARC-Berichte, um falsch ausgerichtete Domänen zu identifizieren.
4. Probleme mit der Ausrichtung von Drittanbietern und Subdomains beheben
5. Sobald die Stabilität gewährleistet ist, gehen Sie schrittweise von einer lockeren zu einer strengen Ausrichtung über.

Was ist eine entspannte Ausrichtung in DMARC?

Eine lockere Abstimmung ermöglicht Übereinstimmungen mit organisatorischen Domänen. Wenn beispielsweise Ihre Absenderdomäne example.com lautet und Ihre SPF-Return-Path- oder DKIM-Signaturdomäne mail.example.com ist, wird die lockere Abstimmung dennoch akzeptiert.

Wann sollte ich eine strenge DMARC-Ausrichtung verwenden?

Eine strenge Ausrichtung eignet sich am besten für Unternehmen mit einer streng kontrollierten Versandkonfiguration, minimaler Verwendung von Subdomains und hohen Sicherheits- oder regulatorischen Anforderungen. Sie sollte in der Regel erst implementiert werden, nachdem alle legitimen Versandquellen konsistent ausgerichtet und überwacht werden.

• Über
• Neueste Beiträge

Maitham Al Lawati

Cybersecurity-Experte, CEO bei PowerDMARC

Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)

• E-Mail-Phishing und DMARC-Statistiken: E-Mail-Sicherheitstrends für 2026 – 6. Januar 2026
• So beheben Sie „Kein SPF-Eintrag gefunden“ im Jahr 2026 – 3. Januar 2026
• SPF Permerror: So beheben Sie zu viele DNS-Lookups – 24. Dezember 2025