DMARC-Forensikbericht (RUF): Was er ist, wie er funktioniert und wie man ihn aktiviert

Das Einrichten eines DMARC-Eintrags ist ein großer Gewinn für Ihre E-Mail-Sicherheit, aber der eigentliche Vorteil kommt erst zum Tragen, wenn Sie den Feedback-Kreislauf tatsächlich schließen. Stellen Sie es sich so vor: Wenn Sie diesen Eintrag veröffentlichen, geben Sie dem Rest des Internets nicht nur Anweisungen, wie mit Ihren E-Mails umzugehen ist, sondern Sie bitten jeden Server weltweit, Ihnen Rückmeldung zu geben.

Die meisten Nutzer begnügen sich mit den täglichen Gesamtübersichten, die zwar hervorragend geeignet sind, um sich einen Überblick zu verschaffen, doch es gibt noch viel detailliertere Informationen, wenn man weiß, wo man suchen muss. Hier kommen die DMARC-Forensikberichte (RUF) ins Spiel. In diesem Leitfaden erklären wir Ihnen genau, was RUF-Berichte sind, wie sie sich von Ihren Standarddaten unterscheiden und wie Sie sie nutzen können, um den entscheidenden Beweis zu finden, wenn Ihre E-Mails verloren gehen.

Was ist ein DMARC-Forensikbericht?

Ein DMARC-Forensikbericht (auch als Fehlerbericht bezeichnet) ist eine detaillierte Echtzeit-Benachrichtigung, die von empfangenden E-Mail-Servern gesendet wird, wenn eine Nachricht die DMARC-Authentifizierung nicht besteht. Er enthält detaillierte Diagnosedaten zu einzelnen fehlgeschlagenen Nachrichten, wie z. B. Authentifizierungsergebnisse, Absenderquelle und Nachrichten-Header, damit der Domaininhaber potenzielle Spoofing-Versuche untersuchen und Probleme bei der E-Mail-Authentifizierung beheben kann.

Wenn ein Gesamtbericht eine Zusammenfassung aller Personen ist, die versucht haben, ein Gebäude zu betreten, dann ist der forensische Bericht das hochauflösende Sicherheitsvideo von der einen Person, die versucht hat, das Schloss zu knacken. Er liefert Ihnen die genauen Details dazu, warum genau diese Meldung als verdächtig markiert wurde.

• Wer versendet sie? In der Regel ist es der empfangende Mailserver (z. B. ein Unternehmensgateway), der die verdächtige E-Mail abfängt.
• Wo landet die E-Mail? Sie wird direkt an die E-Mail-Adresse gesendet, die Sie im „ruf=“-Tag Ihres DMARC-Eintrags angegeben haben.
• Wie sieht’s damit aus? Im Gegensatz zu diesen schwerfälligen XML-Aggregatdateien verwenden diese das AFRF (Authentication Failure Reporting Format). Es ist viel „lesbarer“ und enthält genügend Details, um dir tatsächlich bei der Lösung des Problems zu helfen.

Was beinhaltet ein DMARC-Forensikbericht?

Da RUF -DMARC-Berichte für eine gründliche Fehlerbehebung konzipiert sind, enthalten sie spezifische Metadaten zu der fehlgeschlagenen Nachricht, die in Sammelberichten nicht zu finden sind.

Ein typischer RUF-Bericht enthält:

• Absender-IP-Adresse: Die genaue IP-Adresse, von der aus versucht wurde, die E-Mail zu versenden.
• Absender- und Rückantwort-Adressen: Der „Header From“ und der Absender des Umschlags.
• Betreffzeile: Der eigentliche Betreff der fehlgeschlagenen E-Mail.
• Authentifizierungsergebnisse: Genaue Angaben dazu, warum SPF oder DKIM fehlgeschlagen sind und ob die DMARC-Konformität erreicht wurde.
• E-Mail-Header: Die vollständigen Feedback-Header der Nachricht.

Das Einrichten eines DMARC-Eintrags ist ein großer Gewinn für Ihre E-Mail-Sicherheit, aber der eigentliche Vorteil kommt erst zum Tragen, wenn Sie den Feedback-Kreislauf tatsächlich schließen. Stellen Sie es sich so vor: Wenn Sie diesen Eintrag veröffentlichen, geben Sie dem Rest des Internets nicht nur Anweisungen, wie mit Ihren E-Mails umzugehen ist, sondern Sie bitten jeden Server weltweit, Ihnen Rückmeldung zu geben.

Die meisten Nutzer begnügen sich mit den täglichen Gesamtübersichten, die zwar hervorragend geeignet sind, um sich einen Überblick zu verschaffen, doch wenn man weiß, wo man suchen muss, stehen weitaus detailliertere Informationen zur Verfügung. Genau hier kommen DMARC-Forensikberichte (RUF) ins Spiel kommen. In diesem Leitfaden erklären wir Ihnen genau, was RUF-Berichte sind, wie sie sich von Ihren Standarddaten unterscheiden und wie Sie sie nutzen können, um den „entscheidenden Beweis“ zu finden, wenn Ihre E-Mails verloren gehen.

Was ist ein DMARC-Forensikbericht?

A DMARC-Forensikbericht (auch als Fehlerbericht bezeichnet) ist eine detaillierte Echtzeit-Benachrichtigung, die von empfangenden E-Mail-Servern gesendet wird, wenn eine Nachricht die DMARC-Authentifizierung nicht besteht. Er enthält detaillierte Diagnosedaten zu einzelnen fehlgeschlagenen Nachrichten, wie z. B. Authentifizierungsergebnisse, Absenderquelle und Nachrichten-Header, damit der Domain-Inhaber potenzielle Spoofing-Versuche untersuchen und Probleme bei der E-Mail-Authentifizierung beheben kann. 

Wenn ein Gesamtbericht eine Zusammenfassung aller Personen ist, die versucht haben, ein Gebäude zu betreten, dann ist der forensische Bericht das hochauflösende Sicherheitsvideo von der einen Person, die versucht hat, das Schloss zu knacken. Er liefert Ihnen die genauen Details dazu, warum genau diese Meldung als verdächtig markiert wurde.

• Wer hat die E-Mail gesendet? Normalerweise ist es der empfangende Mailserver (z. B. ein Unternehmensgateway), der die verdächtige E-Mail abfängt.
• Wo landet die E-Mail? Es wird direkt an die E-Mail-Adresse gesendet, die Sie im ruf= Tag Ihres DMARC-Eintrags angegeben haben.
• Wie ist die Stimmung? Im Gegensatz zu diesen klobigen XML-Aggregatdateien verwenden diese das AFRF (Authentication Failure Reporting Format). Es ist viel „lesbarer“ und enthält genügend Details, um dir bei der tatsächlichen Lösung des Problems zu helfen.

Was beinhaltet ein DMARC-Forensikbericht?

Da RUF-DMARC-Berichte für eine gründliche Fehlerbehebung konzipiert sind, enthalten sie spezifische Metadaten zu der fehlgeschlagenen Nachricht, die in aggregierten Berichten nicht zu finden sind.

Ein typischer RUF-Bericht enthält:

• IP-Adresse des Absenders: Die genaue IP-Adresse, von der aus versucht wurde, die E-Mail zu versenden.
• Absender- und Return-Path-Adressen: Der „Header From“ und der Absender des Umschlags.
• Betreff: Der eigentliche Betreff der fehlgeschlagenen E-Mail.
• Authentifizierungsergebnisse: Genauere Informationen dazu, warum SPF oder DKIM fehlgeschlagen sind und ob die DMARC-Anpassung erreicht wurde.
• E-Mail-Header: Die vollständigen Feedback-Header der Nachricht.
• Personenbezogene Daten (PII): Da diese Berichte Betreffzeilen und Empfängeradressen enthalten können, enthalten sie häufig personenbezogene Daten.

Hinweis zum Datenschutz: Aufgrund der enthaltenen personenbezogenen Daten haben sich viele große E-Mail-Anbieter dafür entschieden, keine RUF-Berichte zu versenden, um die Privatsphäre der Nutzer zu schützen. Bei PowerDMARC begegnen wir diesem Problem durch die Unterstützung von PGP-Verschlüsselung für RUF-Berichte, wodurch sichergestellt wird, dass sensible Daten verschlüsselt bleiben und nur für Sie zugänglich sind.

Einige Empfänger, die RUF-Meldungen RUF-Meldungen senden, werden die (maskieren) die sensiblen Teile des E-Mail-Textes oder der Betreffzeile, bevor sie an Sie gesendet werden, um Datenschutzgesetze einzuhalten. Aus diesem Grund sehen manche forensische Berichte „leer“ aus oder enthalten [REDACTED] enthalten.

Beispiel für einen DMARC-Forensikbericht

Um wirklich zu verstehen, was hinter den Kulissen vor sich geht, muss man sich die Rohdaten ansehen. Wenn eine E-Mail nicht zugestellt werden kann, erstellt der Empfänger einen Bericht im AFRF-Format. Das sieht zwar etwas technisch aus, ist aber eigentlich recht leicht zu verstehen, sobald man weiß, worauf man achten muss.

Feedback-Typ: Authentifizierungsfehler

User-Agent: PowerDMARC-Reporter/1.0

Version: 1.0

Absender der Original-E-Mail: [email protected]

Ankunftsdatum: Di, 31. März 2026, 10:00:00 Uhr (UTC)

Message-ID: <[email protected]>

Authentifizierungsergebnisse: dkim=fehlgeschlagen; spf=fehlgeschlagen

Quell-IP: 192.0.2.1

Gemeldete Domain: yourdomain.com

Was das bedeutet:

• Feedback-Typ: Dies bestätigt, dass es sich um einen Authentifizierungsfehler handelt.
• Original-Mail-From: Die konkrete Adresse, von der aus versucht wurde, die E-Mail zu versenden.
• Authentifizierungsergebnisse: Der „entscheidende Beweis“. In diesem Fall haben sowohl SPF als auch DKIM versagt, weshalb der Bericht ausgelöst wurde.
• Quell-IP: Dies ist die genaue Serveradresse, von der die E-Mail gesendet wurde. Wenn dir diese IP-Adresse unbekannt ist, könnte jemand deine Identität missbrauchen.

So sieht der Eintrag in Ihrem DNS aus

Um diese Berichte zu erhalten, muss Ihr DMARC-Eintrag in etwa so aussehen:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Hinweis: Wenn Sie Berichte an eine andere Domain als Ihre eigene senden, muss die Ziel-Domain über einen DNS-Eintrag verfügen, der den Empfang Ihrer Berichte ermöglicht.

Die Tags im Einzelnen:

• v=DMARC1: Nur das Standard-Versionskennzeichen, damit das Internet weiß, welches Protokoll du verwendest.
• p=none: Dies ist der „Überwachungsmodus“. Damit weisen Sie die Server an: „Lasst die E-Mails vorerst durch, aber meldet mir, wenn etwas schiefgeht.“
• rua=: Dies ist Ihr Postfach für die täglichen Gesamtübersichten, die einen Überblick über das große Ganze bieten.
• ruf=: Dies ist das spezielle „forensische“ Tag, das den Servern mitteilt, wohin die detaillierten Echtzeit-Fehlermeldungen gesendet werden sollen.
• fo=1: Das ist ein wichtiger Punkt. Damit wird der Server angewiesen, einen Bericht zu senden, wenn entweder SPF oder DKIM fehlschlägt. (Wenn Sie dies nicht angeben, melden einige Server möglicherweise nur dann einen Fehler, wenn beide Verfahren fehlschlagen.)

DMARC-Forensikbericht vs. Gesamtbericht (RUF vs. RUA)

Obwohl beide innerhalb desselben Datensatzes aktiviert sind, dienen sie unterschiedlichen Zwecken. RUA liefert den Überblick; RUF bietet den Detailblick.

So aktivieren Sie DMARC-Forensikberichte

Die Aktivierung von RUF ist ganz einfach und erfordert lediglich eine kurze Anpassung Ihrer DNS-Einstellungen.

1. Auf DNS zugreifen: Melden Sie sich bei Ihrer DNS-Verwaltungskonsole an.
2. Ihren DMARC-Eintrag suchen: Suchen Sie den TXT-Eintrag unter _dmarc.yourdomain.com.
3. Das RUF-Tag hinzufügen: Fügen Sie das Tag „ruf=mailto:[email protected]“ ein.
4. Konfigurieren Sie das FO-Tag: Definieren Sie Ihre Auslösebedingungen für Berichte (siehe nächster Abschnitt).
5. Speichern und übertragen: Speichern Sie die Änderungen. Es kann bis zu 48 Stunden dauern, bis DNS-Änderungen weltweit übertragen sind.

Profi-Tipp: Das Senden von RUF-Berichten an einen normalen Posteingang kann schnell unübersichtlich werden und stellt ein Sicherheitsrisiko dar. Mit einer Plattform wie PowerDMARC können Sie diese Daten in einem übersichtlichen Dashboard visualisieren, ohne Ihren Posteingang zu überladen.

Erläuterung des DMARC-Tags „fo“ (Forensische Optionen)

Das „fo“-Tag ist ein Unterelement des DMARC-Eintrags, das dem Empfänger mitteilt, wann ein forensischer Bericht erstellt werden soll.

Die meisten Sicherheitsexperten verwenden „fo=1“, da dies den besten Überblick über etwaige Probleme bei der Authentifizierung bietet. Beachten Sie jedoch bitte, dass „fo=1“ zwar für die Transparenz am besten geeignet ist, aber fast immer an ein spezielles Verarbeitungstool (wie PowerDMARC) statt an einen menschlichen Posteingang gesendet werden sollte, da sonst die „Flut an Nachrichten“ unüberschaubar wird.

Warum Sie möglicherweise keine DMARC-Forensikberichte erhalten

Wenn Sie RUF aktiviert haben, Ihr Posteingang aber leer ist, geraten Sie nicht in Panik. Das bedeutet nicht unbedingt, dass Ihr Datensatz beschädigt ist.

1. Datenschutzbeschränkungen: Große Anbieter wie Gmail und Microsoft 365 senden in der Regel keine RUF-Berichte, um die Privatsphäre ihrer Nutzer zu schützen.
2. Erfolg bleibt unbemerkt: Wenn alle Ihre E-Mails die DMARC-Authentifizierung bestehen, gibt es keine Fehler zu melden!
3. Unterstützung durch den Empfänger: Nicht alle empfangenden Mailserver sind so konfiguriert, dass sie forensische Berichte erstellen.

Aus diesem Grund gelten die aggregierten RUA-Berichte als „maßgebliche Quelle“ für den allgemeinen Zustand der Domain, während RUF ein ergänzendes Tool für spezifische Untersuchungen darstellt.

Bedenken hinsichtlich Datenschutz und Sicherheit

Da RUF-Berichte die Betreffzeile und den Text einer E-Mail enthalten können, unterliegen sie strengen Datenschutzbestimmungen wie der DSGVO und dem CCPA. Wenn ein Angreifer Ihre Domain fälscht, um eine Phishing-E-Mail an eine Privatperson zu senden, kann der forensische Bericht, den Sie erhalten, die privaten Daten dieser Person enthalten.

Bewährte Verfahren:

• Verwenden Sie eine spezielle, sichere Meldeplattform.
• PGP-Verschlüsselung aktivieren: PowerDMARC bietet PGP-Verschlüsselung, sodass nur Sie als Inhaber des privaten Schlüssels den Inhalt der RUF-Berichte einsehen können.
• Beschränken Sie den Zugriff auf die Daten auf Ihr Kern-Sicherheitsteam.

So nutzen Sie RUF-Berichte, um Spoofing zu erkennen und Fehler zu beheben

Sobald Sie forensische Daten erhalten, gehen Sie wie folgt vor:

1. Erkennung von Domain-Spoofing

Wenn Sie einen forensischen Bericht von einer Ihnen unbekannten IP-Adresse erhalten und die Absenderadresse Ihre Domain ist, haben Sie wahrscheinlich einen laufenden Spoofing-Versuch aufgedeckt. Sie können diese IP-Adresse nutzen, um Sperrlisten zu aktualisieren oder Ihr Security Operations Center zu informieren.

2. Behebung berechtigter Fehler

Manchmal kommen Ihre eigenen legitimen E-Mails nicht an. Wenn ein Bericht einen Fehler bei einem von Ihnen verwendeten Tool (wie Salesforce oder Mailchimp) anzeigt, überprüfen Sie den Bericht, um festzustellen, ob DKIM fehlgeschlagen ist oder ob die IP-Adresse einfach nicht zu Ihrem SPF-Eintrag hinzugefügt wurde.

3. Ablauf der Untersuchung

1. Ermitteln Sie die Quell-IP-Adresse im RUF-Bericht.
2. Überprüfen Sie: Verwendet Ihr Unternehmen dieses Tool?
3. Beheben Sie das Problem: Wenn das Tool autorisiert ist, aber Fehler aufweist, korrigieren Sie die SPF/DKIM-Konfiguration. Wenn es nicht autorisiert ist, lassen Sie Ihre DMARC-Richtlinie – sei es „p=quarantine“ oder „p=reject“ – ihre Arbeit tun.

Die Quintessenz

Betrachten Sie es einmal so: Wenn die aggregierten DMARC-RUA-Berichte Ihr monatlicher Kontoauszug sind, dann sind die forensischen RUF-Berichte die einzelnen Belege für jede verdächtige Transaktion. Sie sind nicht perfekt, vor allem weil die großen Anbieter wie Gmail den Datenschutz der Nutzer über die Übermittlung dieser Berichte stellen, aber wenn man sie erhält, sind sie für die Fehlerbehebung von unschätzbarem Wert.

Wenn Sie herausfinden möchten, warum ein bestimmtes Marketing-Tool Probleme macht, oder wenn Sie Opfer eines gezielten Spoofing-Angriffs geworden sind, liefern Ihnen diese Berichte in Echtzeit die Antworten auf die Fragen „Wer?“, „Was?“ und „Wo?“. Achten Sie jedoch darauf, verantwortungsbewusst mit diesen Daten umzugehen – am besten mithilfe einer Plattform, die die Daten verschlüsselt, damit Sie nicht auf einem Berg sensibler personenbezogener Daten sitzen.

Möchten Sie Ihre forensischen Daten ganz unkompliziert einsehen? PowerDMARC macht es Ihnen leicht, indem es Rohdaten aus dem RUF-Format in ein übersichtliches Dashboard umwandelt – komplett mit PGP-Verschlüsselung, damit Ihre Daten sicher und konform bleiben. Starten Sie noch heute Ihre 15-tägige kostenlose Testphase und verschaffen Sie sich einen umfassenden Überblick über Ihr E-Mail-Ökosystem.

Häufig gestellte Fragen

Was genau ist ein DMARC-Forensikbericht?

Es handelt sich im Grunde um eine Echtzeit-Benachrichtigung. Anstatt auf eine tägliche Zusammenfassung zu warten, wird ein forensischer Bericht in dem Moment ausgelöst, in dem eine einzelne E-Mail die DMARC-Prüfung nicht besteht. Er ist äußerst detailliert und für eine gründliche Untersuchung gedacht.

Inwiefern unterscheidet sich RUF von RUA?

RUA ist Ihr täglicher Überblick über das „große Ganze“; er informiert Sie über Trends und Volumina im XML-Format. RUF bietet eine detaillierte „Mikro“-Ansicht; er wird sofort versendet, nutzt das ARF-Format und enthält spezifische Details zu einer einzelnen fehlgeschlagenen Nachricht.

Wie schalte ich diese Berichte eigentlich ein?

Sie müssen Ihren DMARC-Eintrag in Ihren DNS-Einstellungen bearbeiten. Fügen Sie einfach den Tag „ruf=mailto:[email protected]“ hinzu. Wenn Sie besonders gründlich vorgehen möchten, fügen Sie den Tag „fo=1“ hinzu, damit Sie einen Bericht erhalten, sobald entweder SPF oder DKIM fehlschlägt, anstatt darauf zu warten, dass beide ausfallen.

Ich habe RUF eingerichtet, aber es passiert nichts. Ist es kaputt?

Wahrscheinlich nicht. Höchstwahrscheinlich durchlaufen Ihre E-Mails die Authentifizierung problemlos (was gut ist!). Bedenken Sie außerdem, dass viele große Anbieter aus Datenschutzgründen gar keine RUF-Berichte versenden. Wenn Ihre RUA-Berichte ankommen, funktioniert Ihr Eintrag wahrscheinlich.

Sind in diesen Berichten personenbezogene Daten enthalten?

Ja, und genau das ist der Knackpunkt. Forensische Berichte können die Betreffzeile der E-Mail, die Adresse des Empfängers und manchmal sogar einen Ausschnitt aus dem Nachrichtentext enthalten. Deshalb ist es ratsam, eine sichere Plattform für deren Verwaltung zu nutzen, damit Sie die Datenschutzgesetze wie die DSGVO einhalten.

Was bewirkt das „fo“-Tag?

Die Abkürzung steht für „Forensic Options“. Es handelt sich im Grunde um eine Reihe von Anweisungen, die dem Empfänger genau vorgeben, wann ein Bericht ausgelöst werden soll – sei es nur dann, wenn alles fehlschlägt (fo=0), oder sobald auch nur ein Teil des Authentifizierungsprozesses fehlschlägt (fo=1).

• Über
• Neueste Beiträge

Milena Baghdasaryan

Inhaltsspezialist bei PowerDMARC

Milena ist eine erfahrene Autorin und Inhaltserstellerin mit mehr als 7 Jahren Erfahrung in der Erstellung ansprechender Inhalte über IT, Cybersicherheit, virtuelle Veranstaltungen und mehr. Sie hat eine nachgewiesene Erfolgsbilanz bei der Erstellung hochwertiger Arbeiten für internationale Magazine und ist Absolventin renommierter Institutionen wie der New York University Abu Dhabi, UWC China und dem College of Europe.

Neueste Beiträge von Milena Baghdasaryan (alle anzeigen)

• Sendmarc-Testbericht: Funktionen, Nutzererfahrungen, Vor- und Nachteile (2026) – 22. April 2026
• FIPS-Konformität: So sichern Sie Ihre Infrastruktur vor Ablauf der Frist im Jahr 2026 – 20. April 2026
• Sicherheit im Vertrieb: 5 Tipps, damit Ihr Vertriebsteam nicht wie Phisher wirkt – 14. April 2026