DMARC-Anforderungen im Jahr 2026
von
Lesezeit: 3 min
In den letzten Jahren haben Google, Yahoo und andere große E-Mail-Anbieter ihre Anforderungen an die E-Mail-Sicherheit erheblich geändert. Heute ist die Authentifizierung von Domains mit DMARC, DKIM, SPF und MTA-STS in verschiedenen Branchen und Ländern entweder eine Empfehlung oder eine Anforderung.
Diese drastische Änderung in der Herangehensweise der großen E-Mail-Anbieter, Regierungsbehörden und Aufsichtsbehörden ist ein deutliches Zeichen für die weltweiten Bemühungen zur Verbesserung der E-Mail-Sicherheit. Ziel ist es, die Zustellbarkeit von E-Mails zu verbessern, die Spam-Quote zu senken und Cyberangriffe auf E-Mails zu reduzieren, die zu erheblichen Datenschutzverletzungen und Reputationsschäden führen können.
Angesichts dieser sich schnell entwickelnden Anforderungen wird DMARC wahrscheinlich bald zu einem integralen Bestandteil verbindlicher Cybersicherheitsstrategien weltweit werden.
Wichtige DMARC-Anforderungen im Jahr 2026
Globale DMARC-Anforderungen
- Anforderungen für Google und Yahoo Bulk Sender
Massenversender (über 5.000 E-Mails/Tag) müssen Domains mit TLS, DKIM und SPF authentifizieren und eine DMARC-Richtlinie von mindestens p=none haben. Die Anforderungen wurden ursprünglich ab Februar 2024 in Kraft gesetzt. Im November 2025 kündigte Google eine strengere Durchsetzung dieser Anforderungen an, wobei E-Mails, die nicht den Anforderungen entsprechen, vorübergehend oder dauerhaft zurückgewiesen werden.
- Google & Yahoo Allgemeine Senderanforderungen
Von allgemeinen E-Mail-Versendern wird außerdem erwartet, dass sie entweder SPF oder DKIM implementieren, um legitime E-Mails zu authentifizieren und hohe Spam-Raten und Impersonation zu verhindern.
- PCI-DSS Version 4-Empfehlungen
PCI DSS v4.0 empfiehlt Mechanismen zur Verhinderung von Phishing; bewährte Verfahren empfehlen die Verwendung von DMARC, SPF und DKIM.
Regionale DMARC-Anforderungen
| Region | Anforderung Name | Anforderung Beschreibung | Quelle Link |
|---|---|---|---|
| EU-Länder | GDPR (Allgemeine Datenschutzverordnung) | Nach der Datenschutz-Grundverordnung müssen Sie mit jedem einzelnen Cloud-Dienstanbieter, der im Namen Ihres Unternehmens die Daten europäischer Verbraucher verarbeitet, Vereinbarungen über die Datenverarbeitung abschließen. | Mehr lesen |
| EU-Länder | DORA (Digital Operational Resilience Act) | Der Digital Operational Resilience Act (DORA) gilt für 20 verschiedene Arten von Finanzinstituten und IKT-Drittdienstleistern und zielt darauf ab, die Regeln für die operative Widerstandsfähigkeit des Finanzsektors (d. h. Banken, Versicherungen, Wertpapierfirmen usw.) zu harmonisieren. DMARC kann für Finanzinstitute von großer Bedeutung sein, da es Schutz vor Cyberangriffen per E-Mail bietet und damit indirekt zur Einhaltung des DORA-Gesetzes beiträgt. | Mehr lesen |
| Kanada | Anforderungen an die Konfiguration der E-Mail-Verwaltungsdienste | Staatliche E-Mails müssen mit SPF, DKIM und DMARC verifiziert werden. | Mehr lesen |
| Dänemark | Technische Mindestanforderungen für staatliche Behörden | Regierungsbehörden müssen für alle Domänen eine DMARC-Richtlinie von p=reject einführen. | Mehr lesen |
| Neuseeland | Neuseeländisches Handbuch für Informationssicherheit, Version 3.6 | Änderung der DMARC- und DKIM-Kontrolle von SHOULD auf MUST und der DMARC-Richtlinieneinstellung von p="none" auf p="reject". | Mehr lesen |
| Irland | Grundlegende Standards für Cybersicherheit im öffentlichen Sektor | Die Cyber Security Baselines für den öffentlichen Sektor empfehlen die Verwendung von SPF, DKIM, DMARC und TLS zur Verbesserung der E-Mail-Sicherheit. Dies ist jedoch nur ein Vorschlag und keine Vorschrift. | Mehr lesen |
| Niederlande | "Comply or Explain"-Normen | Regierungsbehörden müssen DMARC zusammen mit DKIM, SPF, STARTTLS und DANE implementieren. Dies ist Teil der "Comply or Explain"-Standards für E-Mail-Schutz und -Authentifizierung. | Mehr lesen |
| Saudi-Arabien | Leitfaden für die Umsetzung der wesentlichen Cybersicherheitskontrollen (ECC) | Saudi-arabischen Unternehmen wird empfohlen, DKIM, SPF und DMARC als fortschrittliche Techniken zum Schutz vor Phishing zu verwenden, um betrügerische Nachrichten herauszufiltern. | Mehr lesen |
| UK | Handbuch zur Cybersicherheitspolitik der Regierung Grundsatz | Im März 2024 ersetzte die Cybersicherheitspolitik der Regierung die Mindestsicherheitspolitik. Mit dieser Aktualisierung wurden MTA-STS und TLS-RPT von "empfohlen" in "obligatorisch" umgewandelt und ein Verweis auf PTR-Einträge hinzugefügt. | Mehr lesen |
| Vereinigte Staaten | Verbindliche operationelle Richtlinie 18-01 | Die verbindliche operative Richtlinie 18-01 verlangt von allen Bundesbehörden die Verwendung von STARTTLS, SPF, DKIM und einer DMARC-Richtlinie von p=reject. | Mehr lesen |
| Vereinigte Staaten | HIPAA (Health Insurance Portability and Accountability Act) | Im Rahmen des Health Insurance Portability and Accountability Act von 1996 (HIPAA) legt die HIPAA Privacy Rule nationale Standards für den Schutz bestimmter sensibler gesundheitsbezogener Informationen fest. DMARC kann ein wichtiges Instrument sein, um die Einhaltung der HIPAA-Vorschriften zu gewährleisten. | Mehr lesen |
| Australien | Informationssicherheitshandbuch des ASD (Australian Signals Directorate) | Empfiehlt die Verwendung von SPF, DKIM und DMARC, um E-Mail-basierte Bedrohungen in Schach zu halten. | Mehr lesen |
| Australien | Informationssicherheitshandbuch des ASD (Australian Signals Directorate) | Empfiehlt die Verwendung von SPF, DKIM und DMARC, um E-Mail-basierte Bedrohungen in Schach zu halten. | Mehr lesen |
| Australien | Wie man gefälschte Emails bekämpft | Enthält Empfehlungen für Sicherheitsexperten und Betreiber von E-Mail-Servern zur Implementierung von E-Mail-Authentifizierungsprotokollen wie SPF, DKIM und DMARC, um Spoofing zu minimieren. | Mehr lesen |
| Australien | Strategien zur Eindämmung von Cybersicherheitsvorfällen | Einzelheiten zu den Strategien zur Minderung von Cyberrisiken durch das Australian Signals Directorate (ASD). | Mehr lesen |
| Belgien | Schutz vor Ransomware und Prävention mit DMARC, SPF und DKIM | Leitfaden des Zentrums für Cybersicherheit Belgien. | Mehr lesen |
| Tschechische Republik | Das Gesetz zur Cybersicherheit - Leitfaden zur Umsetzung | Domänen, die elektronische Post versenden, müssen über einen DMARC-Eintrag verfügen, der die in RFC 7489 genannten Parameter einhält. | Mehr lesen |
| Finnland | Wie Sie Ihre Microsoft 365-Dienste schützen können | Das Nationale Zentrum für Cybersicherheit, die finnische Transport- und Kommunikationsbehörde Traficom, stellt Schutzstrategien für Exchange Online-Server vor. | Mehr lesen |
| Frankreich | Leitfaden für ein gesundes Informationssystem | Vorschläge zur Implementierung von Authentifizierungsmechanismen und zur korrekten Konfiguration von öffentlichen DNS-Einträgen im Zusammenhang mit der E-Mail-Infrastruktur (MX, SPF, DKIM, DMARC). | Mehr lesen |
| Frankreich | Überblick über Cyber-Bedrohungen 2021 | Ein Überblick über Cyber-Bedrohungen und mögliche Abhilfemaßnahmen, veröffentlicht von der Agence Nationale De La Sécurité des Systèmes D'Information. | Mehr lesen |
| Deutschland | Handlungsempfehlungen für Internet-Diensteanbieter | BSI-Publikationen zur Cybersicherheit, die auch E-Mail-Sicherheit und Authentifizierung umfassen. | Mehr lesen |
| Indien | Rahmen für Cybersicherheit in Banken | Die Compliance-Stufe I der Reserve Bank of India verlangt von den Finanzinstituten, dass sie angemessene Sicherheitsmaßnahmen ergreifen, um E-Mail-Bedrohungen zu verhindern. | Mehr lesen |
| Norwegen | Grundlegende Maßnahmen zur E-Mail-Sicherheit | Enthält Empfehlungen zur Implementierung von DMARC zur Verbesserung der E-Mail-Sicherheit. | Mehr lesen |
| Phillipinen | DICT über Cybersicherheitsmaßnahmen gegen WannaCry-Ransomware | Er empfiehlt, starke Spam-Filter zu aktivieren und eingehende E-Mails mit Technologien wie SPF, DMARC und DKIM zu authentifizieren, um E-Mail-Spoofing zu verhindern. | Mehr lesen |
| Polen | Gesetz zur Bekämpfung des Missbrauchs der elektronischen Kommunikation - Neue Verpflichtungen für E-Mail-Anbieter und öffentliche Einrichtungen | Ab dem 25. September 2023 sind öffentliche Einrichtungen in Polen verpflichtet, SPF, DKIM und DMARC zu implementieren, um E-Mail-Absender zu authentifizieren und Spoofing und Smishing zu bekämpfen. | Mehr lesen |
| Portugal | Technische Empfehlung 01/2019 und 01/2020 | Um die E-Mail-Sicherheit in Unternehmen zu erhöhen, wird empfohlen, SPF-, DKIM- und DMARC-Standards zu implementieren. Die folgenden vier Maßnahmen: die Konfiguration von SPF-, DKIM-, DMARC- und MX-Einträgen im DNS der Domäne helfen dabei, den Empfängern mitzuteilen, dass E-Mails nicht von einer "geparkten" Domäne stammen sollten und in diesem Fall verworfen werden sollten. Diese Maßnahmen sollten in der angegebenen Reihenfolge durchgeführt werden, um eine optimale Wirkung zu erzielen. | Mehr lesen (2019) Mehr lesen (2020) |
| Schottland | Rahmen für die Cyber-Resilienz des öffentlichen Sektors in Schottland V1.2 | Empfehlung zur Implementierung von DMARC zusammen mit DKIM- und SPF-Einträgen sowie zur Aktivierung der Spam- und Malware-Filterung. Die Anwendung von erzwungenen DMARC-Richtlinien auf eingehende E-Mails ist ebenfalls eine erweiterte Best Practice. | Mehr lesen |
| Singapur | Business Email Compromise(BEC) Playbook | In der Veröffentlichung wird erläutert, dass Unternehmen DMARC nutzen können, um bösartige E-Mails zu blockieren und zu verhindern, dass Domain-Spoofing und Phishing-Versuche den Posteingang der Empfänger erreichen. | Mehr lesen |
Warum DMARC-Konformität im Jahr 2026 wichtig ist
Die Vorteile der Verwendung von DMARC-Einträgen:
- DMARC schützt Sie und Ihr Unternehmen vor E-Mail-Phishing, Domain-Spoofing, E-Mail-Impersonation und BEC-Bedrohungen (Business Email Compromise).
- Die Reputation von E-Mail-Absendern wird verbessert durch DMARC-Durchsetzung.
- DMARC erhöht die Zustellbarkeitsrate Ihrer E-Mails schrittweise um 10 %.
- Durch die Implementierung von DMARC auf Ihrem Domänenserver können Sie sicherstellen, dass Ihre E-Mails niemals als Spam markiert werden, was die Öffnungsrate erhöht.
Außerdem können Unternehmen leicht nachverfolgen, wer von ihrer Domäne aus geschäftliche E-Mails versenden darf. So können sie unlautere Praktiken vermeiden. Und wie? Alle empfangenden E-Mail-Server überprüfen eingehende E-Mails auf ihre Rechtmäßigkeit, bevor sie an die Posteingänge der Empfänger weitergeleitet werden, sobald Sie den DMARC-Eintrag Ihrer Domäne im DNS veröffentlichen.
Herausforderungen bei der Erfüllung der DMARC-Anforderungen für 2026
Unternehmen jeder Größe können bei der Erfüllung der DMARC-Anforderungen im Jahr 2026 mit mehreren Herausforderungen konfrontiert sein:
1. Komplexität der manuellen Einrichtung
Implementierung von Protokollen wie DMARC, SPF und DKIM kann eine technische Herausforderung sein, die zu Widerwillen und oft zu Fehlkonfigurationen führt. Dank moderner, automatisierter Lösungen von DMARC-Dienstleistern hat sich dieses Problem jedoch erheblich verbessert. Jetzt können Unternehmen jeder Größe aus einer Reihe von Anbietern wählen, die ihren Bedürfnissen entsprechen, und so den Ärger und die Komplexität vermeiden, die mit manuellen Bemühungen verbunden sind.
2. Überwachung von Straßensperren
Die Konfiguration von DMARC zur Erfüllung der Anforderungen hört nicht mit der Einrichtung des Protokolls auf. Ihre Reise beginnt erst dort! Um die bestmöglichen Ergebnisse aus Ihrer DMARC-Implementierung zu erzielen, müssen Sie Ihre Ergebnisse anhand von Berichten überwachen. Während DMARC-Rohberichte schwer zu entziffern sein können, kann ein DMARC-Bericht-Analysator Tool macht sie für den Menschen lesbar und einfach zu überwachen, während es umsetzbare Erkenntnisse liefert!
3. Verwaltung von Drittanbietern
Es ist wichtig, alle Drittanbieterdienste zu identifizieren, die E-Mails im Namen der Domäne versenden. Sie müssen sicherstellen, dass diese Dienste E-Mails mit angepassten DKIM-Signaturen ordnungsgemäß authentifizieren. Dies manuell zu tun, kann eine Herausforderung sein, verwaltete DMARC-Dienste können einen großen Unterschied machen.
4. Bedenken hinsichtlich der Zustellbarkeit von E-Mails
Der Wechsel von einer DMARC-Richtlinie von p=none zu p=reject erfordert eine sorgfältige Überwachung. Unternehmen befürchten oft, dass legitime E-Mails blockiert werden. Um eine konsistente Zustellbarkeit zu gewährleisten, empfiehlt es sich, DMARC schrittweise durchzusetzen und gleichzeitig Ihre E-Mail-Kanäle anhand von Berichten zu überwachen.
5. Mangel an Fachwissen
Vielen IT-Teams fehlen fundierte Kenntnisse über DMARC, SPF und DKIM. Unternehmen können ihre Mitarbeiter ermutigen, sich für eine kostenlose DMARC-Schulungen Kurse zu besuchen, um ihr Wissen zu vertiefen. Die Auslagerung an einen DMARC-Verwaltungsanbieter mit einem Expertengremium verringert den Zeit- und Arbeitsaufwand für die Schulung und Fortbildung der Mitarbeiter.
Wie PowerDMARC bei der Einhaltung der Vorschriften für 2026 hilft
PowerDMARC ist eine E-Mail-Authentifizierungsplattform aus einer Hand, die die DMARC-Anforderungen erfüllt. PowerDMARC bietet:
- Automatisierte Überwachung der Einhaltung für sich ändernde DMARC-Vorschriften.
- Leitfaden für die Durchsetzung der Politik um sicher von p=none zu p=reject zu gelangen.
- Bedrohungsdaten in Echtzeit um Phishing-Versuche zu erkennen, bevor sie stattfinden.
- Fortune 100-Unternehmen und MSPs in mehr als 90 Ländern vertrauen uns.
- Umfassender SPF- und DKIM-Abgleich um sicherzustellen, dass Absender von Drittanbietern ordnungsgemäß authentifiziert werden.
- Erweiterte Berichte und Analysen um mit detaillierten DMARC-Berichten einen vollständigen Einblick in die Fehler bei der E-Mail-Authentifizierung zu erhalten.
- Unterstützung vonBIMI und MTA-STS zur Stärkung des Markenvertrauens und der E-Mail-Sicherheit durch zusätzliche Authentifizierungsebenen.
- Automatisierte SPF-Optimierung zur Vermeidung von SPF-Lookup-Fehlern mit SPF-Makros.
Abschließende Worte
Das Jahr 2026 markiert einen Wendepunkt für die Durchsetzung von DMARC, und Unternehmen müssen jetzt handeln, um E-Mail-Störungen und Sicherheitsrisiken zu vermeiden. Angesichts strengerer Richtlinien der großen E-Mail-Anbieter ist die Einhaltung dieser Vorschriften nicht mehr optional. Ist Ihre Domain DMARC-konform? Überprüfen Sie noch heute Ihre Konformität und ergreifen Sie die notwendigen Maßnahmen, um Ihre E-Mail-Kanäle zu schützen.
Warten Sie nicht, bis es zu spät ist! Kontaktieren Sie PowerDMARC noch heute, um eine kostenlose DMARC-Testversion und die vollständige Einhaltung der DMARC-Anforderungen für 2026 sicherzustellen!
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
- PowerDMARC Splunk-Integration: Einheitliche Transparenz für E-Mail-Sicherheit – 8. Januar 2026
- Was ist Doxxing? Ein umfassender Leitfaden zum Verständnis und zur Prävention – 6. Januar 2026
- Die besten Alternativen zu Palisade E-Mail – 31. Dezember 2025
