DMARCbis erklärt - Was sich ändert und wie man sich vorbereitet

DMARCbis ist das lang erwartete Update der ursprünglichen DMARC-Spezifikation, die in RFC 7489 definiert ist. Es führt strukturelle Änderungen an der Funktionsweise von DMARC ein, entfernt veraltete Elemente und klärt seit langem bestehende Unklarheiten hinsichtlich der Domänenzuordnung und der Handhabung von Richtlinien.

Das Update verursacht zwar keine Betriebsunterbrechungen, verändert jedoch die Art und Weise, wie Domänengrenzen festgelegt werden, wie Richtlinien auf Subdomänen angewendet werden und wie bestimmte Tags interpretiert oder entfernt werden.

In diesem Leitfaden erfahren Sie, was sich ändert, was gleich bleibt und was Sie als Nächstes tun sollten.

Was ist DMARCbis?

DMARCbis ist die überarbeitete Spezifikation von „Domain-based Message Authentication, Reporting, and Conformance“ (DMARC), die von der IETF entwickelt wurde.

Die ursprüngliche DMARC-Spezifikation (RFC 7489) wurde als Informationsdokument veröffentlicht.

DMARCbis wird als vorgeschlagener Standard vorangetrieben, was auf einen stärkeren Konsens und klarere Implementierungsrichtlinien hindeutet.

Das Update konzentriert sich auf drei Bereiche:

• Beseitigung von Unklarheiten bei der Bewertung von Domänen
• Vereinfachung des Protokolls durch die Abkündigung nicht verwendeter Tags
• Domaininhabern mehr Kontrolle über die Vererbung von Richtlinien geben

Wichtig ist, dass DMARCbis den Wert „v=DMARC1“ unverändert lässt, sodass bestehende Einträge weiterhin funktionieren.

Was ersetzt DMARCbis?

DMARCbis konsolidiert und ersetzt:

RFC 7489 – die ursprüngliche DMARC-Spezifikation

RFC 9091 – die DMARC-Erweiterung „Public Suffix Domain“ (PSD)

Dies ist von Bedeutung, da die PSD-Verarbeitung nun über das „psd“-Tag in die Kernspezifikation integriert ist. Externe Abhängigkeiten wie die Public Suffix List sind nicht mehr erforderlich. Die Domänengrenzen werden direkt im DNS definiert.

Was sind die wichtigsten Änderungen in DMARCbis?

1. Der DNS-Baumdurchlauf ersetzt die Liste der öffentlichen Suffixe

DMARCbis ersetzt die Public Suffix List (PSL) durch ein DNS-eigenes Verfahren namens „DNS Tree Walk“. Anstatt sich auf eine Liste eines Drittanbieters zu stützen, ermittelt es die Unternehmensdomain durch direktes Durchsuchen des DNS.

So funktioniert es:

Nehmen wir diese Domain: mail.marketing.example.com

Der Empfänger überprüft in dieser Reihenfolge, ob ein DMARC-Eintrag vorhanden ist:

1. mail.marketing.example.com
2. marketing.beispiel.com
3. Beispiel.com
4. com

Auf jeder Ebene wird nach einem DMARC-Eintrag mit dem Tag „psd“ gesucht:

• psd=n → dies ist die Organisationsdomäne → Stopp
• psd=y → dies ist ein öffentliches Suffix → Stopp
• psd=u oder fehlt → weiter nach oben

Die Suche wird nach maximal 8 Ebenen beendet.

Dieser Ansatz macht die Abhängigkeit von externen Listen überflüssig, gibt Domain-Inhabern die Kontrolle über die Domain-Grenzen und sorgt für ein besser vorhersehbares Verhalten systemübergreifend.

2. Veraltete Tags: „pct“, „rf“, „ri“

DMARCbis entfernt die folgenden Tags:

• „pct“ (das Prozent-Tag für die prozentuale Durchsetzung)
• „rf“ (Format fürforensische Berichte)
• „ri“ (Berichtsintervall)

Diese wurden selten konsequent angewendet und führten zu einer erhöhten Komplexität, ohne einen klaren Nutzen zu bieten.

Anmerkung zum „pct“-Tag: Einige Organisationen nutzten „pct“, um DMARC-Richtlinien schrittweise durchzusetzen. Seine Entfernung vereinfacht das Protokoll, beseitigt jedoch auch einen Mechanismus für die schrittweise Einführung.

Die Sichtweise von PowerDMARC: Eine schrittweise Umsetzung ist nach wie vor wichtig, sollte jedoch auf operativer Ebene erfolgen und nicht durch eine uneinheitliche Unterstützung seitens der Empfänger.

3. Neue Tags eingeführt: „psd“, „np“, „t“

„psd“ (Domäne mit öffentlichem Suffix)

Das „psd“-Tag definiert den Domänentyp explizit und legt fest, wo der DNS-Tree-Walk endet:

• psd=y → öffentliche Suffix-Domäne (z. B. TLD-Betreiber)
• psd=n → Organisationsbereich
• psd=u → unbekannt (Standardverhalten, wenn nicht angegeben)

„np“ (Richtlinie für nicht existierende Domänen)

Das Tag „np“ legt die Richtlinie für nicht vorhandene Subdomains fest und verhindert den Missbrauch ungenutzter oder nicht registrierter Subdomains.
Beispiel: np=reject
„t“ (Testmodus)

Das t -Tag zeigt an, dass sich die Domain im Testmodus befindet.

• Es überschreibt die Richtlinie nicht („p“, „sp“, „np“)
• Dies dient lediglich als Empfehlung
• Die Empfänger können entscheiden, ob sie dies akzeptieren

Änderungen am Gesamtbericht (RUA)

DMARCbis fasst die aggregierte Berichterstattung in einer eigenen Spezifikation zusammen. Dies hat zwar keine Auswirkungen auf die derzeitige Berichterstattung, deutet jedoch auf künftige Änderungen hin.

Wichtigste Schlussfolgerungen:

• Das Berichtsformat wird in einem separaten IETF-Entwurf weiterentwickelt
• Die XML-Struktur kann sich weiterentwickeln, um eine bessere Konsistenz zu gewährleisten
• Das Meldeverhalten wird sich im Laufe der Zeit weiter vereinheitlichen

Mailinglisten und Leitfaden für die Ablehnung

DMARCbis enthält klarere Leitlinien zu Mailinglisten.

Domains, deren Nutzer aktiv Beiträge in Mailinglisten veröffentlichen, wird davon abgeraten, „p=reject“ zu verwenden, da dies dazu führt, dass legitime E-Mails zurückgewiesen werden, da:

• Mailinglisten ändern Nachrichten häufig
• Dadurch werden DKIM-Signaturen ungültig
• Die SPF-Abgleichung schlägt in der Regel fehl

Wenn Ihre Nutzer an öffentlichen Mailinglisten teilnehmen, sollten Sie strenge Ablehnungsrichtlinien vermeiden, es sei denn, Sie sind sich der Auswirkungen voll und ganz bewusst.

Was bleibt bei DMARCbis unverändert?

DMARCbis ist abwärtskompatibel, was im Wesentlichen bedeutet, dass Ihr bestehender DMARC-Eintrag auch nach der offiziellen Einführung weiterhin ordnungsgemäß funktioniert, selbst wenn er nicht über die aktuellen Aktualisierungen verfügt. Hier sind einige Punkte, die unverändert bleiben:

• Bestehende Einträge mit v=DMARC1 funktionieren weiterhin
• Die SPF- und DKIM -Abgleichmechanismen bleiben unverändert
• Kern-Tags wie „p“, „sp“, „rua“ und „ruf“ spielen nach wie vor eine zentrale Rolle

Vorher und nachher: Beispiele für DMARC-Einträge

Zuvor (alter Datensatz):

Nach (DMARCbis-konform):

Erfahren Sie, wie Sie einen DMARC-Eintrag veröffentlichen.

Wer muss was tun?

Wie sollte ich mich auf DMARCbis vorbereiten?

Es ist wichtig zu beachten, dass zwar keine sofortigen Änderungen erforderlich sind, eine frühzeitige Anpassung jedoch zukünftige Risiken mindert. Um sich auf DMARCbis vorzubereiten, können Sie unsere kurze Checkliste unten nutzen:

Lernen Sie DMARCbis mit PowerDMARC kennen

PowerDMARC ist bestens darauf vorbereitet, den Übergang zu DMARCbis zu unterstützen. Während sich die Spezifikation weiterentwickelt, sorgen wir dafür, dass Ihre Konfiguration ohne Unterbrechungen konform bleibt. So können wir Ihnen helfen:

• DMARCbis-kompatibler Datensatzgenerator: Unser Generator unterstützt bereits die neuen Tags „np“, „psd“ und „t“ und kennzeichnet veraltete Tags wie „pct“, „rf“ und „ri“ zur Entfernung, sodass Sie nicht raten müssen, welche Tags beibehalten oder entfernt werden sollen.
• Hosted DMARC mit automatischen Updates: Wenn Sie unseren Hosted-DMARC-Dienst nutzen, aktualisieren wir Ihren Eintrag, sobald die Spezifikation fertiggestellt ist. Sobald DMARCbis den Status „Last Call“ verlässt und zum „Proposed Standard“ wird, passt sich Ihre Konfiguration automatisch an.
• Zentraler Überblick über alle Domains: Erhalten Sie in Echtzeit Einblick darin, was funktioniert und was nicht, mit Warnungen zu veralteten Tags, Empfehlungen von Experten und Tooltips.
• Überprüfung der Richtlinien für Subdomains und nicht existierende Domains: DMARCbis führt den Status „np“ für nicht existierende Subdomains ein. Unsere Plattform unterstützt Sie dabei, Subdomains effektiv zu überprüfen und zu verwalten, um Sicherheitslücken zu schließen, die Angreifer ausnutzen könnten.
• Kompetente Unterstützung bei der Interpretation und Umsetzung neuer Änderungen: Unser Support-Team steht Ihnen rund um die Uhr zur Verfügung, um Ihnen bei der Interpretation der Änderungen und der Planung Ihrer Migration zu helfen. Für schnelle Hilfe bei häufig auftretenden Problemen können Sie auch unseren integrierten DMARC-KI-Assistenten nutzen.

Abschließende Überlegungen

DMARCbis sorgt für mehr Klarheit, vereinfacht die Implementierung und gibt Domain-Inhabern mehr Kontrolle darüber, wie Richtlinien angewendet werden. Die Änderungen sind zwar nicht dringend, aber dennoch wichtig, und Unternehmen sollten die bevorstehenden Aktualisierungen bei der Überprüfung ihrer Authentifizierungsmaßnahmen berücksichtigen. Wenn Sie sich jetzt darauf vorbereiten, stellen Sie sicher, dass Ihre E-Mail-Authentifizierung stabil und vorhersehbar bleibt und mit der nächsten Version des Standards im Einklang steht.

Die gute Nachricht: Sie müssen den Umstieg auf DMARCbis nicht alleine bewältigen! Unser Expertenteam unterstützt Sie dabei, die Veränderungen in der Branche und die Anforderungen an E-Mail-Absender mühelos zu meistern – ganz ohne technische Vorkenntnisse. Kontaktieren Sie uns noch heute, um loszulegen!

Häufig gestellte Fragen

Ist DMARCbis bereits veröffentlicht worden?

Nein. Derzeit befindet er sich in der IETF-Last-Call-Phase und wird voraussichtlich zum Proposed Standard werden.

Ist DMARCbis abwärtskompatibel?

Ja, DMARCbis ist abwärtskompatibel, was bedeutet, dass bestehende DMARC-Einträge weiterhin funktionieren; es besteht also kein Grund zur Eile bei der Anpassung oder zur Panik.

Muss ich meinen DMARC-Eintrag jetzt aktualisieren?

Es besteht derzeit kein Grund zur Eile, Ihren DMARC-Eintrag sofort zu aktualisieren. Es wird jedoch empfohlen, veraltete Tags zu entfernen, um die zukünftige Kompatibilität sicherzustellen.

Hat DMARCbis Auswirkungen auf SPF oder DKIM?

DMARCbis hat keine Auswirkungen auf die SPF- oder DKIM-Authentifizierung, da es lediglich die Art und Weise ändert, wie DMARC die Übereinstimmung und die Richtlinien bewertet.

• Über
• Neueste Beiträge

Yunes Tarada

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.

Neueste Beiträge von Yunes Tarada (alle anzeigen)

• DMARCbis erklärt – Was ändert sich und wie bereitet man sich vor - 16. April 2026
• Das SOA-Seriennummernformat ist ungültig: Ursachen und Lösungen – 13. April 2026
• So versenden Sie sichere E-Mails in Gmail: Eine Schritt-für-Schritt-Anleitung – 7. April 2026