Was sind die DMARC-Anforderungen? Globale Regeln, Richtlinien und Compliance
von
Zuletzt aktualisiert:
12 Lesezeit: 12 Minuten
Wichtigste Erkenntnisse
- Die DMARC-Anforderungen gelten nun für Massenversender (5.000+ E-Mails/Tag) von Google und Yahoo, wobei die Durchsetzung , die nun vollständig in Kraft sind, einschließlich dauerhafter Ablehnungen durch Gmail seit November 2025.
- Behörden und regulierte Branchen weltweit schreiben die Implementierung von DMARC zur Gewährleistung der E-Mail-Sicherheit vor.
- Zu den technischen Anforderungen gehören die SPF- und/oder DKIM-Authentifizierung sowie eine korrekte Domain-Zuordnung.
- Unternehmen müssen schrittweise von der Einstellung „p=none“ zur Einstellung „p=reject“ übergehen und dabei die Zustellbarkeit von E-Mails überwachen.
- Microsoft hat ab dem 5. Mai 2025 damit begonnen, die SPF-, DKIM- und DMARC-Anforderungen für Massenversender (mehr als 5.000 E-Mails pro Tag an Outlook.com) durchzusetzen, wobei ab November 2025 eine vollständige Ablehnung erfolgt.
- DMARCbis wurde offiziell als RFC 9989, 9990 und 9991 (Mai 2026) veröffentlicht, wodurch DMARC von einem Informationsdokument zu einem vorgeschlagenen Standard aufgewertet wurde.
- Die Anti-Phishing-Anforderungen gemäß PCI DSS v4.0, einschließlich DMARC, sind seit dem 31. März 2025 verbindlich. Alle Bewertungen für das Jahr 2026 werden auf der Grundlage von PCI DSS v4.0.1 durchgeführt.
DMARC-Anforderungen sind nicht mehr nur technische Empfehlungen. Sie werden mittlerweile durch eine wachsende Vielzahl globaler Vorschriften, Compliance-Rahmenwerke der Branche und Regeln von E-Mail-Anbietern bestimmt. Regierungen und Behörden in zahlreichen Regionen haben DMARC zu einer formellen Anforderung für den Schutz offizieller Domains gemacht, während Standards wie PCI DSS die E-Mail-Authentifizierung als Teil einer umfassenderen Sicherheits-Compliance. Gleichzeitig erwarten Anbieter wie Google, Yahoo und Microsoft mittlerweile eine stärkere Authentifizierung von Absendern, insbesondere von solchen, die in großem Umfang E-Mails versenden.
Diese Veränderung bedeutet, dass es bei DMARC nicht mehr nur darum geht, Spoofing. Es spielt nun eine direkte Rolle bei der E-Mail-Zustellbarkeit, dem Markenschutz, dem Kundenvertrauen und der Einhaltung gesetzlicher Vorschriften. Für viele Unternehmen kann die Nichteinhaltung der DMARC-Anforderungen zu abgelehnten E-Mails, einem erhöhten Phishing-Risiko und Compliance-Lücken führen, die schwerer zu ignorieren sind.
Die Veröffentlichung von DMARCbis als offizielle IETF-Standards (RFC 9989, 9990 und 9991) im Mai 2026 unterstreicht diesen Wandel noch einmal. DMARC hat sich von einem informativen RFC zu einem vorgeschlagenen Standard entwickelt, was signalisiert, dass die E-Mail-Branche es nun als grundlegende Infrastruktur und nicht mehr als optionale Ebene betrachtet.
Dieser Leitfaden erläutert die DMARC-Anforderungen aus dieser umfassenderen Perspektive. Er behandelt die weltweiten Vorschriften und Vorgaben, die die Einführung vorantreiben, die Anforderungen auf Anbieterebene, die Absender erfüllen müssen, sowie die technischen Grundlagen, darunter SPF, DKIMund Alignment, die zur Einhaltung der Vorschriften erforderlich sind.
Was sind die DMARC-Anforderungen?
Die DMARC-Anforderungen beziehen sich auf die technischen und richtlinienbezogenen Standards, die Domain-Inhaber erfüllen müssen, um die domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität (Domain-based Message Authentication, Reporting, and Conformance) korrekt zu implementieren.
Sie erstrecken sich über drei Ebenen: gesetzliche Vorgaben, Anforderungen an die Anbieter und die technischen Standards, die für eine korrekte Implementierung von DMARC erforderlich sind.
Im Grunde genommen ist DMARC ein E-Mail-Authentifizierungsprotokoll , das auf dem Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) aufbaut, um zu überprüfen, ob ausgehende Nachrichten tatsächlich von der Domain stammen, die sie angeblich vertreten.
Wenn eine Nachricht diese Authentifizierungsprüfungen nicht besteht, gibt Ihre DMARC-Richtlinie den empfangenden Mail-Servern vor, wie sie damit verfahren sollen.
Eine Domain erfüllt die DMARC-Anforderungen, wenn:
- SPF und DKIM sind für die sendende Domain korrekt konfiguriert
- Ein gültiger DMARC-DNS-TXT-Eintrag wurde veröffentlicht
- Mindestens eine der beiden Methoden (SPF oder DKIM) ist erfolgreich und stimmt mit der Domain im „From“-Header überein
- DMARC-Berichte werden aktiv überwacht
Was sich geändert hat, ist der Einsatz. DMARC-Anforderungen sind mittlerweile in zahlreichen Ländern und Rechtsrahmen weltweit vorgeschrieben oder werden dort durchgesetzt. Sie werden zudem von Google, Yahoo, Microsoftund PCI DSS, und die Nichteinhaltung hat direkte Auswirkungen auf die E-Mail-Zustellbarkeit, das Vertrauen in die Marke und die Einhaltung gesetzlicher Vorschriften.
Arten von DMARC-Anforderungen
Die DMARC-Anforderungen lassen sich in drei Kategorien einteilen:
- Regulatorische Anforderungen: Vorgaben von Regierungen und Aufsichtsbehörden wie CISA (USA), NCSC (Großbritannien) und NIS2 (EU), die von Organisationen verlangen, DMARC als Teil umfassenderer Cybersicherheitsstandards zu implementieren und durchzusetzen.
- Anforderungen der Anbieter: Durchsetzungsregeln von E-Mail-Anbietern wie Google, Yahoo und Microsoft, insbesondere für Massenversender, bei denen Authentifizierung und die Einhaltung von Richtlinien direkten Einfluss auf die Zustellbarkeit von E-Mails haben.
- Technische Voraussetzungen: Die grundlegenden Voraussetzungen für die korrekte Implementierung von DMARC, einschließlich SPF, DKIM, DMARC-Richtlinien und korrekter Domain-Zuordnung.
Um eine vollständige DMARC-Konformität zu erreichen und aufrechtzuerhalten, ist es unerlässlich zu verstehen, wie diese Ebenen zusammenwirken.
Hier erfahren Sie, warum mehr als 10.000 Kunden der Plattform von PowerDMARC vertrauen
- Deutlicher Rückgang von Spoofing-Versuchen und unerwünschten E-Mails durch KI-gestützte Bedrohungsinformationen
- Schnellere Einarbeitung + automatisierte Authentifizierungsverwaltung, die IT-Teams viel Zeit spart
- Echtzeit-Bedrohungsinformationen und PGP-verschlüsselte Berichterstattung domänenübergreifend
- Bessere E-Mail-Zustellungsraten dank strikter DMARC-Durchsetzung unter fachkundiger Anleitung
Die ersten 15 Tage gehen auf unsere Kosten.
Kostenlose Testversion startenWeltweite DMARC-Anforderungen nach Region
DMARC ist mittlerweile in zahlreichen Ländern und Rechtsräumen vorgeschrieben oder wird dort durchgesetzt, was es zu einer Grundvoraussetzung für eine sichere E-Mail-Infrastruktur macht. Hier finden Sie einen Überblick über den aktuellen Stand der wichtigsten Vorschriften.
| Region | Status des Mandats | Vollzugsbehörde | Mindestrichtlinie |
|---|---|---|---|
| Vereinigte Staaten | Obligatorisch (auf Bundesebene) | CISA/DHS | p=ablehnen |
| Vereinigtes Königreich | Obligatorisch (öffentlicher Sektor) | NCSC | p=ablehnen |
| Europäische Union | Erforderlich (kritische Sektoren) | NIS2/nationale Behörden | p = Mindestdauer der Quarantäne |
| Australien | Obligatorisch (staatlich) | ACSC | p=ablehnen |
| Kanada | Obligatorisch (auf Bundesebene) | Finanzausschuss | p=ablehnen |
| Saudi-Arabien | Obligatorisch (Behörden + Telekommunikation) | CITC/NCA | p=Quarantäne |
| UAE | Obligatorisch (staatlich) | TDRA | p=kein Minimum |
| Indien | Erforderlich (gewerblich) | TRAI | p=ablehnen |
| Neuseeland | Sehr empfehlenswert | NCSC NZ | p=Ablehnen (empfohlen) |
Vereinigte Staaten
Die US-Bundesregierung gehörte zu den ersten, die DMARC auf nationaler Ebene verbindlich vorschrieben. Im Jahr 2017 erließ das Ministerium für Innere Sicherheit die verbindliche Betriebsrichtlinie 18-01 (BOD 18-01)heraus, die alle Behörden der Exekutive der Bundesregierung dazu verpflichtet, DMARC innerhalb eines Jahres mit einer Mindestrichtlinie von p=reject zu implementieren.
Die CISA (Cybersecurity and Infrastructure Security Agency) überwacht und setzt diese Standards weiterhin durch, und die Richtlinie gilt nach wie vor für alle .gov-Domains. Die Richtlinie BOD 18-01 hat einen weltweiten Präzedenzfall geschaffen, dem andere Regierungen seitdem gefolgt sind.
Vereinigtes Königreich
Das britische Nationale Cybersicherheitszentrale (NCSC) schreibt die Implementierung von DMARC in allen zentralen Regierungsbehörden und Organisationen des öffentlichen Sektors vor. Das NCSC empfiehlt eine Mindestrichtlinie von p=reject und veröffentlicht aktuelle Leitlinien, die von den Organisationen die Durchsetzung dieser Richtlinie verlangen.
Die britische Regierung betreibt zudem einen „Mail Check“-Dienst, der Behörden dabei unterstützt, ihre E-Mail-Authentifizierung zu überwachen und zu verbessern.
Europäische Union
Die NIS2-Richtlinie, die im Oktober 2024 in allen EU-Mitgliedstaaten in Kraft trat, legt verbindliche Cybersicherheitsanforderungen für Sektoren kritischer Infrastrukturen fest, darunter Energie, Finanzen, Gesundheitswesen und digitale Infrastruktur.
E-Mail-Sicherheitsmaßnahmen, darunter DMARC, gelten als grundlegende technische Maßnahmen, die Unternehmen umsetzen müssen, um die Einhaltung der Vorschriften nachzuweisen.
Auch wenn DMARC in der NIS2 nicht in jeder Klausel ausdrücklich genannt wird, verweisen die Aufsichtsbehörden in mehreren Mitgliedstaaten bei Prüfungen mittlerweile darauf als vorgeschriebene Kontrollmaßnahme.
Australien
Das Australian Cyber Security Centre (ACSC), das dem Australian Signals Directorate unterstellt ist, schreibt DMARC für Domains der australischen Regierung vor und empfiehlt es nachdrücklich für alle Organisationen des privaten Sektors.
Die Strategien des ACSC Rahmenwerk für Strategien zur Eindämmung von Cybersicherheitsvorfällen Rahmenwerk führt die E-Mail-Authentifizierung als vorrangige Kontrollmaßnahme auf, und von Regierungsbehörden wird erwartet, dass sie die Durchsetzung erreichen.
Kanada
Das Sekretariat des kanadischen Treasury Board verlangt im Rahmen seiner Leitlinien zur E-Mail-Sicherheit die Implementierung von DMARC in allen Einrichtungen der Bundesregierung. Von kanadischen Bundesdomänen wird erwartet, dass sie DMARC-Richtlinien im Einklang mit internationalen Standards veröffentlichen und durchsetzen.
Weitere aktive Mandate
| Region | Vorstand | Anforderung |
|---|---|---|
| Saudi-Arabien | CITC/NCA | DMARC ist für Behörden und lizenzierte Telekommunikationsbetreiber vorgeschrieben |
| UAE | Regulierungsbehörde für Telekommunikation und digitale Verwaltung | DMARC ist für staatliche Stellen vorgeschrieben |
| Indien | TRAI | DMARC ist für kommerzielle E-Mail-Absender und Unternehmen vorgeschrieben |
| Neuseeland | GCSB/NCSC Neuseeland | DMARC wird für Behörden empfohlen und vorgeschrieben |
| Niederlande | NCSC-NL | DMARC ist für die Zentralregierung vorgeschrieben und wird über internet.nl durchgesetzt |
DMARC-Anforderungen von Google, Yahoo und Microsoft
Neben den gesetzlichen Vorschriften setzen E-Mail-Anbieter DMARC mittlerweile als Voraussetzung für die Zustellung in den Posteingang durch, insbesondere für Massenversender. Wenn Ihr Unternehmen als Massenversender gilt, gelten diese Anforderungen ab sofort auch für Sie.
Was gilt als Massenversender?
Als Massen-E-Mail-Absender gelten diejenigen, die täglich mehr als 5.000 E-Mails an Gmail-Konten versenden. Yahoo wendet ähnliche Schwellenwerte an. Microsoft verwendet eigene Kriterien für die Einstufung als Massen-E-Mail-Absender, setzt jedoch gleichwertige Authentifizierungsstandards durch.
Anforderungen auf einen Blick
| Anbieter | DMARC-Mindestrichtlinie | Sonstige Anforderungen |
|---|---|---|
| p=kein | SPF, DKIM, sichtbarer Abmeldelink, Spam-Rate unter 0,3 % | |
| Yahoo | p=kein | SPF, DKIM, Abmeldung per Mausklick für abonnierte Nachrichten |
| Microsoft | p=kein | SPF-, DKIM- und PTR-Einträge |
Alle Einzelheiten finden Sie in den Anforderungen an die E-Mail-Authentifizierung von Google und Yahoo , und Sie können die Absenderrichtlinien von Google direkt einsehen.
Zeitplan für die Umsetzung
Seit Mai 2026 ist die Durchsetzung bei allen drei großen Anbietern vollständig in Kraft:
- Google/Gmail: Im Februar 2024 kam es zu vorübergehenden Verzögerungen (421-Fehler). Im November 2025 eskalierten diese zu dauerhaften Ablehnungen (550-Fehler). Nicht konforme Massenversender erhalten nun dauerhafte Fehlermeldungen.
- Yahoo: Übernimmt die Authentifizierungsanforderungen von Gmail mit gleichwertiger Durchsetzung.
- Microsoft/Outlook: Anforderungen wurden im Mai 2025 bekannt gegeben. Die Warnungen begannen im August 2025. Die vollständige Durchsetzung der Ablehnung (Fehlercode 550 5.7.515) ist seit November 2025 in Kraft.
Ausführliche Hinweise zur Einhaltung der Microsoft-Richtlinien finden Sie unter: Microsofts DMARC-Anforderungen für Outlook
Die Nichteinhaltung dieser Vorgaben kann die Zustellbarkeit an Kunden mit Gmail-, Yahoo- und Outlook . Unternehmen, die diese Anforderungen nicht erfüllen, müssen mit vorübergehenden und dauerhaften E-Mail-Ablehnungen rechnen, weshalb es unerlässlich ist, diesen Vorgaben vorzugreifen.
DMARCbis: Der neue DMARC-Standard (RFC 9989, 9990, 9991)
Am 21. Mai 2026 veröffentlichte die IETF die DMARCbis-Spezifikationen offiziell als drei neue RFCs, die die ursprüngliche DMARC-Spezifikation (RFC 7489) ersetzen:
- RFC 9989: Die Kernspezifikation von DMARCbis, die die DMARC-Ausrichtung, die Richtlinienverwaltung und die Regeln zur Domänenüberprüfung aktualisiert.
- RFC 9990: Aktualisierte Standards für die aggregierte Berichterstattung zur Verbesserung der Interoperabilität und Klarheit.
- RFC 9991: Aktualisierte Standards für die Fehlermeldung mit verbesserten Sicherheitsempfehlungen.
Die wichtigste Änderung ist die Aufwertung von DMARC von einem informativen RFC zu einem vorgeschlagenen Standard. Das bedeutet, dass das Protokoll nun offiziell als Internetstandard anerkannt ist, an den im gesamten E-Mail-Ökosystem strengere Umsetzungsanforderungen gestellt werden.
Was DMARCbis für Ihre Compliance bedeutet
- Aufgrund strengerer Anforderungen an die Übereinstimmung ist es umso wichtiger, sicherzustellen, dass SPF und DKIM korrekt mit der Domain im „From“-Header übereinstimmen.
- Verbesserte Berichtsstandards sorgen für mehr Transparenz bei Authentifizierungsfehlern, wodurch sich Probleme leichter diagnostizieren und beheben lassen.
- Der aktualisierte Standard verwendet anstelle der Public Suffix List einen DNS-Tree-Walk-Algorithmus, wodurch die Genauigkeit bei der Domänenabfrage verbessert wird.
- Unternehmen, die bereits die bestehenden DMARC-Anforderungen erfüllen, sind gut aufgestellt; DMARCbis verfeinert das Kernprotokoll, anstatt es zu ersetzen.
Weitere Informationen: DMARCbis erklärt – Was ändert sich und wie bereitet man sich vor?
DMARC-Anforderungen für die PCI-DSS-Konformität
Für Organisationen, die Zahlungskartendaten verarbeiten, ist DMARC eine gesetzliche Vorschrift.
Der Payment Card Industry Security Standards Council (PCI SSC) hat DMARC als Teil des PCI-Datensicherheitsstandards vorgeschrieben. Diese Vorschrift wurde erlassen, da E-Mail-Betrug, Domain-Spoofing und Business E-Mail Compromise zu den wichtigsten Angriffsmethoden gehören, mit denen Unternehmen im Zahlungsverkehrssektor ins Visier genommen werden.
Mit Wirkung zum 31. März 2025 sind alle 51 „zukünftig geltenden“ Anforderungen aus dem PCI DSS v4.0 vollständig verbindlich geworden, einschließlich Abschnitt 5.4.1, der automatisierte Anti-Phishing-Mechanismen wie DMARC, SPF und DKIM vorschreibt. Alle im Jahr 2026 durchgeführten PCI-DSS-Prüfungen werden anhand des PCI DSS v4.0.1 bewertet, wobei für diese Kontrollmaßnahmen keine Übergangsfrist gewährt wird.
Was die Nichteinhaltung für Zahlungsdienstleister bedeutet:
- Verlust der Berechtigung zur Abwicklung von Zahlungskartentransaktionen
- Gefährdung durch Angriffe in Form von Markenimitationen, die sich gegen Kunden und Partner richten
- Erhöhte Anfälligkeit für E-Mail-Betrug in Unternehmen und Phishing-Nachrichten
- Mögliche Geldbußen in Höhe von 5.000 bis 100.000 Dollar pro Monat der Nichteinhaltung
Über den PCI DSS hinaus wird DMARC in anderen regulatorischen Rahmenwerken zunehmend als grundlegende Maßnahme zur E-Mail-Sicherheit genannt. Unternehmen, die bundesstaatlichen Compliance-Anforderungen unterliegen, sollten zudem prüfen, wie sich DMARC in ihre allgemeinen Verpflichtungen einfügt.
Verwandte Themen: PCI DSS-E-Mail-Compliance: Ihre DMARC-Strategie für 4.0
Was passiert, wenn Sie die DMARC-Anforderungen nicht erfüllen?
Die Risiken einer Nichteinhaltung der DMARC-Anforderungen sind konkret, unmittelbar und in manchen Fällen nur sehr schwer rückgängig zu machen.
Auswirkungen auf die Zustellbarkeit
| Szenario | Auswirkungen |
|---|---|
| Kein DMARC-Eintrag | Domain kann beliebig gefälscht werden, keine Durchsetzung von Richtlinien |
| Die Anforderungen von Google/Yahoo werden nicht erfüllt | E-Mails, die in großem Umfang gefiltert, zurückgestellt oder abgelehnt werden |
| Hohe Spam-Raten | Langfristige Beeinträchtigung der Reputation der Domain als Absender |
| Keine SPF- oder DKIM-Abgleichung | Legitime E-Mails bestehen die Authentifizierung nicht und werden blockiert |
Auswirkungen auf den Ruf
Ohne eine DMARC-Richtlinie kann Ihre Domain beliebig dazu missbraucht werden, Phishing-Nachrichten und bösartige Nachrichten zu versenden, die den Anschein erwecken, direkt von Ihrem Unternehmen zu stammen.
Unternehmen, die die DMARC-Anforderungen nicht erfüllen, sind häufig mit Markenmissbrauch und Betrugsversuchen konfrontiert, von denen sie sich nur schwer erholen können – insbesondere wenn Kunden bereits betrügerische Nachrichten erhalten haben, die scheinbar von einer vertrauenswürdigen Domain stammen.
Aktuellen Branchenangaben zufolge belief sich die Zahl der Domains mit gültiger DMARC-Einstellung Anfang 2026 auf über 937.000, doch nur bei etwa 412.000 davon wurden Richtlinien mit Durchsetzungsmaßnahmen (Quarantäne oder Ablehnung) umgesetzt. Diese Lücke führt dazu, dass Hunderttausende von Domains zwar über DMARC-Einträge verfügen, diese sie jedoch nicht wirksam vor Spoofing schützen.
Rechtliche Konsequenzen
Für Organisationen, die den Anforderungen von PCI DSSunterliegen, kann die Nichtimplementierung von DMARC zum Verlust der Berechtigung zur Zahlungsabwicklung führen. Dies ist eine festgelegte Konsequenz der Nichteinhaltung des aktuellen Standards.
Die grundlegenden Voraussetzungen: SPF und DKIM
DMARC kann ohne SPF und DKIM nicht funktionieren. Diese beiden E-Mail-Authentifizierungsmethoden bilden die Grundlage für DMARC, und beide müssen korrekt konfiguriert sein, bevor Sie einen DMARC-Eintrag veröffentlichen.
Es wird empfohlen, SPF und DKIM mindestens 48 Stunden vor der Implementierung von DMARC zu aktivieren, damit Sie genügend Zeit haben, zu überprüfen, ob beide Mechanismen ordnungsgemäß funktionieren, bevor Sie eine Richtlinie einführen, die bei Fehlern greift.
Sender Policy Framework (SPF)
SPF ist ein DNS-TXT-Eintrag , der alle IP-Adressen auflistet, die berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Wenn ein empfangender Server eine eingehende E-Mail erhält, prüft er, ob die Absender-IP-Adresse in Ihrem SPF-Eintrag aufgeführt ist.
Zwei häufige Probleme mit dem SPF, auf die Sie achten sollten:
- SPF-Lookups mit ungültigen Einträgen: Einträge mit zu vielen DNS-Abfragen unterbrechen die Authentifizierung unbemerkt und sind eine der häufigsten Ursachen für unerwartete Fehler. Erfahren Sie mehr über SPF-Void-Lookups und wie man sie behebt.
- Komplexe Versandinfrastrukturen: Unternehmen, die viele autorisierte Absender verwalten, können SPF-Makros nutzen, um ihre SPF-Einträge zu skalieren, ohne Lookup-Limits.
Wenn Ihr SPF-Eintrag das in RFC 7208 festgelegte Limit von 10 DNS-Abfragen überschreitet, wird ein PermErrorzurück, was DMARC als Fehler behandelt. Organisationen mit komplexen Versandkonfigurationen sollten SPF-Flattening oder PowerSPF in Betracht ziehen, um unter dem Limit zu bleiben.
DomainKeys Identified Mail (DKIM)
DKIM fügt ausgehenden Nachrichten eine kryptografische digitale Signatur hinzu, sodass empfangende Server überprüfen können, ob der Nachrichtentext und die Kopfzeilen während der Übertragung nicht verändert wurden.
Die DKIM-Übereinstimmung im Rahmen von DMARC setzt voraus, dass die Domain im „From“-Header mit der Domain übereinstimmt, die im „d=“-Tag der DKIM-Signatur angegeben ist. Eine technisch gültige DKIM-Signatur, die nicht mit der „From“-Domain übereinstimmt, führt dennoch zu einem DMARC-Fehler.
| Authentifizierungsmethode | Was dabei überprüft wird | Bleibt die Weiterleitung erhalten? |
|---|---|---|
| SPF | Zugelassene IP-Adresse für die sendende Domain | Nein |
| DKIM | Kryptografische Signatur des Nachrichtentextes | Ja |
Schritt-für-Schritt-Anleitung zur Einrichtung von DMARC
Sobald SPF und DKIM konfiguriert sind und die Überprüfung bestehen, können Sie Ihren DMARC-Eintrag veröffentlichen. Die korrekte Einrichtung ist von entscheidender Bedeutung, da Fehler in Ihrem Eintrag dazu führen können, dass Ihre Domain ungeschützt bleibt oder legitime E-Mails die Authentifizierung nicht bestehen.
Schritt-für-Schritt-Einrichtung
- Stellen Sie sicher, dass SPF und DKIM aktiviert sind und seit mindestens 48 Stunden laufen
- Erstellen Sie Ihren DNS-TXT-Eintrag unter _dmarc.IhreDomain.com
- Beginnen Sie mit einer „p=none“-Richtlinie , um Daten zu sammeln, ohne die Zustellung zu beeinträchtigen
- Berichtsadressen hinzufügen damit DMARC-Berichte sofort eingehen
- Überprüfen Sie den Datensatz mit einem DMARC-Lookup-Tool nach der Veröffentlichung
Struktur des DMARC-Eintrags
Jede DMARC-Zeichenkette beginnt mit v=DMARC1. Ein einfacher Start-Eintrag sieht wie folgt aus:
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];
| Tag | Zweck | Erforderlich? |
|---|---|---|
| v=DMARC1 | Versionsangabe, muss an erster Stelle stehen | Ja |
| p= | Richtlinie: keine, Quarantäne oder ablehnen | Ja |
| rua= | E-Mail-Adresse für Sammelberichte | Empfohlen |
| ruf= | E-Mail-Adresse für forensische Berichte | Empfohlen |
| sp= | Richtlinie für Subdomains | Optional |
| pct= | Die Richtlinie zum Prozentsatz der Nachrichten gilt für | Optional |
Zusätzliche DNS-Anforderungen
Über den DMARC-Eintrag hinaus müssen E-Mail-Absender sicherstellen, dass gültige Forward- und Reverse- DNS-PTR-Einträge.
Empfangsserver verwenden PTR-Einträge, um zu überprüfen, ob die IP-Adresse, von der eine Nachricht gesendet wird, mit der Absenderdomain übereinstimmt. Fehlende oder nicht übereinstimmende PTR-Einträge sind eine häufige, aber oft übersehene Ursache für Authentifizierungsfehler.
Die DMARC-Implementierung erfordert zudem die Einrichtung von SPF- und DKIM-Einträgen für jede sendende Domain einzeln. Unternehmen, die mehrere Domains für verschiedene Regionen, Produkte oder Geschäftsbereiche betreiben, benötigen für jede einzelne davon korrekt konfigurierte Authentifizierungseinträge.
Erläuterung der DMARC-Richtlinienstufen
Ihre DMARC-Richtlinie legt fest, was geschieht, wenn eine E-Mail die Authentifizierungsprüfungen nicht besteht. Die Wahl der richtigen Richtlinie in jeder Phase der Einführung entscheidet darüber, ob die Implementierung reibungslos verläuft oder ob versehentlich legitime E-Mails blockiert werden.
| Richtlinie | Was es tut | Wann sollte man es verwenden? |
|---|---|---|
| p=kein | Liefert lediglich die gesamte Post aus und erstellt Berichte | Zunächst einmal: Absender überprüfen |
| p=Quarantäne | Leitet nicht zugestellte E-Mails in den Spam-Ordner um | Nachdem alle legitimen Absender authentifiziert wurden |
| p=ablehnen | Blockiert E-Mails vollständig | Vollständige DMARC-Durchsetzungsstufe |
Der empfohlene Ansatz für die Einführung
- Beginnen Sie mit p=none, um eine Überprüfung durchzuführen, ohne die Zustellbarkeit von E-Mails zu beeinträchtigen. So erhalten Sie die Daten, um vor der Durchsetzung alle legitimen Absender zu identifizieren.
- Wechseln Sie zu „p=quarantine“, sobald alle legitimen Absender authentifiziert wurden und die Überprüfung durchgängig bestehen.
- Wechseln Sie zu „p=reject“, um vollständigen Schutz vor Domain-Spoofing und betrügerischen Nachrichten zu erhalten.
Eine der häufigsten Ursachen dafür, dass Unternehmen versehentlich ihre eigenen legitimen E-Mails blockieren, ist die voreilige Ablehnung, ohne die Überwachungsphase abzuschließen.
Eine detaillierte Darstellung der Gründe, warum der Übergang zur Durchsetzung im Jahr 2026 von Bedeutung ist, finden Sie unter: Warum ist DMARC im Jahr 2026 wichtig?
So überwachen und verwalten Sie DMARC in großem Maßstab
Die Einhaltung der DMARC-Anforderungen ist eine fortlaufende Aufgabe. Eine konsequente Überwachung, eine klare Berichterstattung und die richtige Infrastruktur sind es, die Unternehmen, die die Compliance aufrechterhalten, von denen unterscheiden, die wieder in eine Sicherheitslücke zurückfallen.
Ihre DMARC-Berichte verstehen
DMARC bietet einen Überblick darüber, welche Server E-Mails in Ihrem Namen versenden und wie viel Prozent dieser Nachrichten die Authentifizierung bestehen oder nicht bestehen. Diese Daten werden in zwei Berichtstypen bereitgestellt:
| Berichtstyp | Häufigkeit | Was es zeigt |
|---|---|---|
| Gesamt (RUA) | Täglich | Übersicht über alle Absender, Erfolgs- und Fehlerquoten sowie IP-Adressen |
| Forensik (RUF) | Nahezu in Echtzeit | Einzelheiten zu einzelnen Authentifizierungsfehlern |
Das DMARC-Berichtstool wandelt rohe XML-Berichtsdaten in übersichtliche, umsetzbare Dashboards um. Es hilft dabei, die Ergebnisse über alle Ihre Absenderdomains hinweg zu überwachen, ohne komplexe Dateien manuell auswerten zu müssen.
Verwaltung von externen Absendern
Eine der häufigsten Herausforderungen bei der Implementierung besteht darin, alle externen Absender zu identifizieren und zu authentifizieren, die in Ihrem Namen E-Mails versenden.
Marketingplattformen, CRM-Systeme, Helpdesk-Tools und andere Dienste versenden ausgehende Nachrichten über Ihre Domain, und jede einzelne muss ordnungsgemäß authentifiziert werden, bevor Sie sie sicher in Quarantäne verschieben oder ablehnen können.
DMARC-Managed-Services helfen Unternehmen dabei, diese Absender zu identifizieren, eine ordnungsgemäße Authentifizierung über alle E-Mail-Kanäle hinweg sicherzustellen und den Zeit- und Ressourcenaufwand für die vollständige Einhaltung der Vorschriften zu reduzieren.
Skalierung über mehrere Domänen hinweg
Unternehmen betreiben zunehmend mehrere Domains, weshalb eine zentralisierte Verwaltung unerlässlich ist. Die manuelle Pflege von DMARC-Einträgen über viele Domains hinweg ist fehleranfällig und ressourcenintensiv.
Hosted-DMARC-Lösungen ermöglichen es Unternehmen, Datensätze zentral zu verwalten, Richtlinienänderungen gleichzeitig auf alle Domains zu übertragen und über eine einzige Schnittstelle den Überblick über ihre gesamte E-Mail-Infrastruktur zu behalten.
Für MSPs und MSSPs, die Kundendomains in großem Umfang verwalten, bietet die Multi-Tenant-Plattform Dashboards mit White-Label-Optionen, PSA-Integration und Unterstützung für 11 Sprachen.
Aufbau von internem Fachwissen
Für Teams, die neben der Nutzung von Managed Tools auch internes Know-how aufbauen möchten, bieten die Schulungskurse von PowerDMARC dabei, das erforderliche Fachwissen aufzubauen, um die E-Mail-Authentifizierung langfristig effektiv zu verwalten.
Darüber hinaus unterstützen sie Teams dabei, Fehlkonfigurationen zu vermeiden, die die häufigste Ursache für Authentifizierungsfehler sind.
Was eine konsequente Durchsetzung ermöglicht
Sobald der Status „p=reject“ erreicht ist, öffnet DMARC die Tür zu BIMI (Brand Indicators for Message Identification), das Ihr Markenlogo direkt im Posteingang des Empfängers anzeigt.
BIMI ist einer der sichtbarsten Vorteile einer korrekt durchgeführten DMARC-Implementierung und dient als starkes Vertrauenssignal für Absender mit hohem E-Mail-Aufkommen.
Für Unternehmen, die ihre E-Mail-Infrastruktur weiter absichern möchten, erzwingt MTA-STS erzwingt eine TLS-Verschlüsselung für eingehende E-Mails und bietet damit eine zusätzliche Schutzebene, die über die von DMARC bereitgestellten Funktionen hinausgeht.
Erfüllen Sie die DMARC-Anforderungen mit PowerDMARC
Die DMARC-Anforderungen werden immer strenger. Google, Yahoo, Microsoft und PCI DSS haben alle klare Grenzen gezogen, und Unternehmen, die diese Anforderungen nicht erfüllen, spüren bereits die Folgen in Form von abgelehnten E-Mails, einer geschädigten Absenderreputation und exponierten Domains.
Um eine vollständige DMARC-Konformität zu erreichen, muss jede Absenderquelle authentifiziert, müssen Berichte korrekt ausgewertet, mehrere Domains verwaltet und die verschiedenen Richtlinienstufen durchlaufen werden, ohne dass dabei legitime E-Mails beeinträchtigt werden. Das ist eine Menge Arbeit, die manuell zu bewältigen wäre.
PowerDMARC vereinfacht den gesamten Prozess, vom ersten DNS-TXT-Eintrag bis hin zur Durchsetzung von „p=reject“ und darüber hinaus.
Mit gehostetem DMARC, automatisierter Berichterstellung, Managed Services und einer Plattform, die auf Transparenz in großem Maßstab ausgelegt ist, bietet Ihnen PowerDMARC alles, was Sie benötigen, um aktuelle Anforderungen zu erfüllen und den nächsten Entwicklungen immer einen Schritt voraus zu sein.
Starten Sie noch heute mit PowerDMARC noch heute.
FAQs
1. Was ist für DMARC erforderlich?
DMARC erfordert, dass entweder SPF oder DKIM (vorzugsweise beide) konfiguriert und auf Ihre Domain abgestimmt sind. Sie müssen eine DMARC-Richtlinie im DNS veröffentlichen, die mit „p=none“ beginnt, und Berichtsadressen einrichten, um Authentifizierungsberichte zu empfangen.
2. Ist DMARC nun vorgeschrieben?
Ab Februar 2024 ist DMARC für Massenversender (5.000+ E-Mails/Tag) an Gmail und Yahoosowie ab Mai 2025 für Microsoft Outlook.com. Auch Regierungsbehörden in vielen Ländern schreiben DMARC vor. Obwohl es nicht überall vorgeschrieben ist, wird es allen Organisationen, die E-Mails versenden, dringend empfohlen.
3. Ist DKIM für DMARC erforderlich?
DMARC setzt voraus, dass entweder SPF oder DKIM die Überprüfung bestehen, doch werden beide empfohlen. Technisch gesehen ist es zwar möglich, DMARC nur mit SPF zu implementieren, doch große E-Mail-Anbieter wie Google, Yahoo und Microsoft DKIM für Massenversender, sodass beide in der Praxis notwendig sind.
4. Seit wann ist DMARC verpflichtend?
Die DMARC-Anforderungen wurden 2017 von US-Bundesbehörden eingeführt (BOD 18-01). Google und Yahoo setzten die Anforderungen für Massenversender im Februar 2024 um. Microsoft folgte mit der Durchsetzung ab Mai 2025. PCI DSS v4.0 schrieb DMARC-bezogene Anti-Phishing-Kontrollen ab dem 31. März 2025 verbindlich vor. Verschiedene Länder haben zwischen 2020 und 2025 DMARC-Anforderungen eingeführt, wobei die Durchsetzung weltweit weiter zunimmt.
5. Wie lange dauert die Implementierung von DMARC?
Die Implementierung von DMARC dauert je nach Komplexität in der Regel 4 bis 12 Wochen. Die Ersteinrichtung kann innerhalb weniger Tage erfolgen, doch eine ordnungsgemäße Überwachung, Analyse und schrittweise Durchsetzung der Richtlinien erfordert mehrere Wochen, um sicherzustellen, dass die Zustellbarkeit von E-Mails nicht beeinträchtigt wird.
6. Was passiert, wenn ich DMARC nicht implementiere?
Ohne DMARC landen Massen-E-Mails bei Gmail, Yahoo und Microsoft abgelehnt oder als Spam markiert werden. Ihre Domain bleibt anfällig für Spoofing-Angriffe, und in regulierten Branchen können Compliance-Probleme auftreten. Die E-Mail-Zustellbarkeit und die Absenderreputation werden wahrscheinlich darunter leiden.
7. Was ist DMARCbis und ändert es die DMARC-Anforderungen?
DMARCbis ist die aktualisierte DMARC-Spezifikation, die im Mai 2026 als RFC 9989, 9990 und 9991 veröffentlicht wurde und den ursprünglichen RFC 7489 ersetzt. Sie erhebt DMARC zum „Proposed Standard“, verschärft die Abgleichregeln und verbessert die Berichterstattung. Zwar ändert sich dadurch nichts an den grundlegenden Anforderungen für die Implementierung von DMARC, doch signalisiert dies, dass die E-Mail-Branche DMARC nun als formelle Infrastruktur betrachtet. Unternehmen, die bereits die bestehenden Anforderungen erfüllen, sind für DMARCbis gut aufgestellt.
8. Verlangt Microsoft nun DMARC von Massenversendern?
Ja. Ab dem 5. Mai 2025 verlangt Microsoft für alle Domains, die täglich mehr als 5.000 E-Mails an Outlook.com, Hotmail.com und Live.com senden, die Verwendung von SPF, DKIM und DMARC (mindestens p=none). Die vollständige Durchsetzung der Ablehnung ist seit November 2025 in Kraft. Nicht konforme E-Mails erhalten den Fehlercode 550 5.7.515.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
