So erstellen und veröffentlichen Sie einen DMARC-Eintrag
von
Zuletzt aktualisiert: 11 Lesezeit: 11 Minuten
Wichtigste Erkenntnisse
- Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, der die Authentifizierung ausgehender E-Mails unterstützt und Spoofing- und Phishing-Angriffe verhindert.
- Die Wahl der richtigen DMARC-Richtlinie ist für die Kontrolle des Umgangs mit nicht autorisierten E-Mails von entscheidender Bedeutung.
- Um DMARC zu implementieren, muss der Eintrag im Domain Name System (DNS) mit Hilfe von Tools wie cPanel, GoDaddy oder Cloudflare veröffentlicht werden.
- Auch Domänen, die nicht aktiv E-Mails versenden, sollten einen restriktiven DMARC-Eintrag haben, insbesondere "p=reject", um möglichen Missbrauch zu verhindern.
- Um optimale Ergebnisse zu erzielen, wird empfohlen, einen einzigen DMARC-Eintrag pro Domäne zu pflegen und die Durchsetzung schrittweise zu implementieren, um Probleme bei der E-Mail-Zustellung zu vermeiden.
- Professionelle Lösungen wie PowerDMARC automatisieren die Verwaltung von DMARC-Einträgen und vereinfachen die Überwachung durch KI-gestützte Bedrohungsinformationen.
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein technisches Protokoll zur Authentifizierung ausgehender Nachrichten. DMARC dient als erste Verteidigungslinie gegen eine Vielzahl von E-Mail-basierten Bedrohungen, darunter Phishing und Spoofing.
Um DMARC zu konfigurieren, müssen Sie einen DMARC-Eintrag erstellen. Der erstellte DMARC-Eintrag ist ein TXT-Eintrag, der dann in Ihrem DNS veröffentlicht wird. Damit wird Ihr E-Mail-Authentifizierungsprozess gestartet.
Durch die Einrichtung eines DMARC-Eintrags ermöglichen Sie Domain-Besitzern, Empfängern vorzuschreiben, wie sie auf E-Mails reagieren sollen, die von nicht autorisierten oder illegitimen Quellen gesendet wurden.
Expertentipp von Maitham Al Lawati: „Für Unternehmen im Gesundheitswesen oder im Finanzsektor geht es bei DMARC nicht nur um Sicherheit. Es geht darum, strenge Compliance-Anforderungen zu erfüllen. Beginnen Sie mit der Überwachung und setzen Sie die Regeln anschließend durch.“
Dieser Leitfaden führt Sie durch die korrekte Erstellung und Veröffentlichung eines DMARC-DNS-TXT-Eintrags und erklärt Ihnen, wie Sie diesen überprüfen und häufige Fehler beheben können.
Was sind DMARC-Datensätze?
Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag , der festlegt, wie E-Mail-Server mit Nachrichten umgehen sollen, die die Authentifizierungsprüfungen (SPF & DKIM) nicht bestehen.
Es hilft Domain-Besitzern E-Mail-Spoofing und Phishing zu verhindern, indem es den Servern der Empfänger mitteilt, ob sie nicht autorisierte E-Mails ablehnen, unter Quarantäne stellen oder zulassen sollen.
Wie funktioniert DMARC?
DMARC baut auf zwei bestehenden E-Mail-Authentifizierungsprotokollen auf: SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail). Hier ist der Authentifizierungsablauf Schritt für Schritt:
- E-Mail gesendet: Es wird eine E-Mail versendet, die angeblich von Ihrer Domain stammt
- SPF-Prüfung: Der empfangende Server prüft, ob die Absender-IP in Ihrem SPF-Eintrag autorisiert ist
- DKIM-Prüfung: Der Server überprüft die DKIM-Signatur anhand Ihres veröffentlichten DKIM-Schlüssels
- DMARC-Prüfung: Der Server überprüft Ihre DMARC-Richtlinie und ermittelt die Übereinstimmung
- Durchsetzung der Richtlinie: Basierend auf Ihrer DMARC-Richtlinie (keine, Quarantäne, Ablehnung) wird die entsprechende Maßnahme ergriffen
- Berichterstattung: Die Ergebnisse werden zusammengestellt und an die von Ihnen angegebenen Berichtsadressen gesendet
Wichtiger Hinweis: DMARC erfordert, dass mindestens entweder SPF oder DKIM erfolgreich ist UND korrekt auf die Domain im „From“-Header der E-Mail abgestimmt ist, damit die E-Mail die DMARC-Authentifizierung besteht.
Aufbau eines DMARC-Eintrags
Für eine korrekte Konfiguration ist es unerlässlich, jedes DMARC-Tag zu verstehen. Hier finden Sie eine umfassende Übersicht über alle Komponenten eines DMARC-Eintrags:
| Tag | Beschreibung | Mögliche Werte | Beispiel |
|---|---|---|---|
| v | Version (erforderlich) | DMARC1 | v=DMARC1 |
| p | Richtlinie für Domänen (erforderlich) | Keine, Quarantäne, Ablehnen | p=Quarantäne |
| rua | Aggregatbericht E-Mail | E-Mail-Adresse | E-Mail: [email protected] |
| ruf | E-Mail mit dem forensischen Bericht | E-Mail-Adresse | ruf=mailto:[email protected] |
| sp | Subdomain-Richtlinie | Keine, Quarantäne, Ablehnen | sp=ablehnen |
| adkim | DKIM-Abgleichmodus | r (entspannt), s (streng) | adkim=r |
| aspf | SPF-Ausrichtungsmodus | r (entspannt), s (streng) | aspf=r |
| pct | Prozentualer Anteil der E-Mails, auf die die Richtlinie angewendet wird | 0–100 | pct=25 |
| für | Forensische Optionen | 0, 1, d, s | fo=1 |
| rf | Berichtsformat | afrf | rf=afrf |
| ri | Berichtsintervall (Sekunden) | Anzahl | ri=86400 |
Beispiele für DMARC-Einträge
Hier finden Sie Beispiele für DMARC-Einträge aus der Praxis für verschiedene Anwendungsfälle. Kopieren Sie diese und passen Sie sie für Ihre Domain an:
Grundlegender Überwachungsmodus (für Anfänger empfohlen)
- v=DMARC1; p=none; rua=mailto:[email protected]
- Anwendungsfall: Erste DMARC-Implementierung zur Überwachung des E-Mail-Verkehrs ohne Durchsetzung.
Quarantänepolitik mit Berichterstattung
- v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=25
- Anwendungsfall: Schrittweise Durchsetzung, die 25 % der E-Mails betrifft, mit aggregierten und forensischen Berichten.
Strenge Durchsetzungsrichtlinie
- v=DMARC1; p=reject; sp=reject; rua=mailto:[email protected]; adkim=s; aspf=s
- Anwendungsfall: Vollständiger Schutz mit strikter Ausrichtung für Domains und Subdomains.
Schutz vor nicht sendenden Domänen
- v=DMARC1; p=ablehnen; sp=ablehnen; adkim=s; aspf=s
- Anwendungsfall: Domains, die keine E-Mails versenden, aber vor Spoofing geschützt werden müssen.
DMARC-Datensatz-Tags erklärt
Vergleichstabelle für DMARC-Richtlinien
| Richtlinie | Aktion | Profis | Nachteile | Am besten geeignet für |
|---|---|---|---|---|
| p=kein | Nur zur Überwachung | Keine Auswirkungen auf die Lieferung, Einarbeitungsphase | Kein Schutz vor Spoofing | Erste Umsetzung |
| p=Quarantäne | In den Spam-/Junk-Ordner verschieben | Mäßiger Schutz, E-Mails werden weiterhin zugestellt | Gefälschte E-Mails können Empfänger erreichen | Schrittweise Durchsetzung |
| p=ablehnen | Vollständig blockieren | Maximaler Schutz | Risiko, dass legitime E-Mails blockiert werden | Vollständige Durchsetzung |
1. DMARC-Richtlinien-Modi
Die DMARC-Richtlinie legt fest, wie die Empfänger E-Mails behandeln sollen, die die DMARC-Authentifizierung nicht bestehen. Sie wird mit "p" bezeichnet. Sie kann einen der folgenden drei Werte annehmen:
- p=none: Keine Maßnahmen gegen unerwünschte E-Mails ergreifen.
- p=Quarantäne: Verdächtige E-Mails markieren.
- p=ablehnen: Um unerwünschte E-Mails abzufangen, bevor sie Ihre Empfänger erreichen.
2. DMARC-Berichtsoptionen
- Zusammenfassende Berichte (rua=): Hierbei handelt es sich um zusammenfassende Berichte, die an die angegebene E-Mail-Adresse gesendet werden und die Authentifizierungsergebnisse für alle E-Mails aus der Domain enthalten.
- Forensische Berichte (ruf=): Hierbei handelt es sich um detaillierte Fehlerberichte, die versendet werden, wenn eine E-Mail die DMARC-Authentifizierung nicht besteht.
3. DMARC-Ausrichtungsmodi
- SPF-Übereinstimmung (aspf=): Legt fest, ob die Domain des Absenders im „From:“-Header mit dem SPF-Eintrag übereinstimmt. Es gibt die Option „strict“ (s) für eine exakte Übereinstimmung oder „relaxed“ (r) für eine Übereinstimmung auf Organisationsebene.
- DKIM-Abgleich (adkim=): Bestimmt, ob die DKIM-Signatur mit der Domain im „From:“-Header übereinstimmt. Es gibt die Option zwischen einer strengen (s) Übereinstimmung für eine exakte Übereinstimmung und einer lockeren (r) Übereinstimmung für eine organisatorische Übereinstimmung.
Wie DMARC mit Subdomains funktioniert
Das Tag „sp“ (Subdomain-Richtlinie) steuert, wie DMARC-Richtlinien auf Subdomains angewendet werden. Wenn nichts angegeben ist, übernehmen Subdomains die Richtlinie der Hauptdomain.
- Vererbung: Subdomains übernehmen automatisch die DMARC-Richtlinie der übergeordneten Domain
- Überschreiben: Verwenden Sie das Tag „sp=“, um unterschiedliche Richtlinien für Subdomains festzulegen
- Bewährte Vorgehensweise: Legen Sie strengere Richtlinien für Subdomains fest, die keine E-Mails versenden
Wie erstellt man einen DMARC-Eintrag?
Um einen DMARC-DNS-Eintrag für Ihre Domäne zu erstellen, stellen Sie sicher, dass Sie ihn haben:
- a) ein zuverlässiges Instrument zur Erstellung des Datensatzes
- b) Zugang zu Ihrer DNS-Verwaltungskonsole, um den Eintrag zu veröffentlichen
Folgen Sie den nachstehenden Schritten, um Ihren Datensatz zu erstellen:
1. Erzeugen Sie Ihren DMARC-Datensatz
Starten Sie Ihre kostenlose 15-tägige DMARC-Sicherheits-Testversion , um sich mit einer E-Mail-Adresse bei unserem Portal anzumelden, oder registrieren Sie sich über Gmail/Office 365. Gehen Sie zu Analyse-Tools > PowerToolbox > Kostenloses Tool zur Erstellung von DMARC-Einträgen , um mit der Erstellung Ihres DMARC-Eintrags zu beginnen.
2. Definieren Sie eine DMARC-Richtlinie für Ihren DMARC-Eintrag.
Entscheiden Sie sich für eine DMARC-Richtlinie abhängig von der gewünschten Durchsetzungsstufe (keine, Quarantäne oder Ablehnung). So wählen Sie Ihre DMARC-Datensatz-Richtlinie aus:
- Wenn Sie nicht möchten, dass gegen unerwünschte E-Mails, die von Ihrer Domain gesendet werden, vorgegangen wird, wählen Sie "keine".
- Wenn Sie E-Mails, die DMARC nicht bestehen, unter Quarantäne stellen möchten, wählen Sie "Quarantäne".
- Wenn Sie E-Mails ablehnen oder verwerfen möchten, die die Authentifizierung nicht bestehen, was Spoofing- und Phishing-Angriffe minimieren kann, wählen Sie "Ablehnen".
3. Konfigurieren Sie die empfohlenen optionalen Felder des DMARC-Datensatzes
Obwohl nicht alle Felder obligatorisch sind, empfehlen wir Ihnen, einige nützliche optionale Felder in Ihrem DMARC-Datensatz zu konfigurieren. Lassen Sie uns herausfinden, welche das sind:
- Aggregat (rua) Berichtsfeld: Wenn Sie das rua-Feld konfigurieren, erhalten Sie DMARC-Authentifizierungsdaten direkt an Ihre E-Mail-Adresse.
- Forensisches (ruf) Berichtsfeld: Gewinnen Sie Einblicke in forensische Vorfälle wie Cyberangriffe, indem Sie das ruf-Feld in Ihrem DMARC-Datensatz konfigurieren.
- DKIM/SPF-Ausrichtungsmodi" Wählen Sie aus, ob Sie sich für eine lockere oder eine strenge Ausrichtung für SPF und/oder DKIM entscheiden möchten.
Wie veröffentlicht man einen DMARC-Datensatz?
Um einen DMARC-Datensatz zu veröffentlichen, müssen einige Voraussetzungen erfüllt sein:
- Sie müssen Zugang zu Ihrer DNS-Verwaltungskonsole haben
- Sie müssen die Berechtigung haben, DNS-Einträge für Ihre Domäne zu bearbeiten und neue hinzuzufügen
Veröffentlichung Ihres DMARC-Datensatzes mit cPanel
- Rufen Sie Ihre cPanel-DNS-Verwaltungskonsole auf
- Klicken Sie im Abschnitt „Domains“ auf „DNS-Zonen-Editor“ oder „Erweiterter Zonen-Editor“
3. Fügen Sie einen DMARC-Eintrag vom Typ TXT (tex) hinzu und geben Sie die unten aufgeführten Details ein. In das Feld „TXT-Daten“ oder „Wert“ müssen Sie Ihren zuvor erstellten DMARC-Eintrag einfügen.
Veröffentlichung eines DMARC-Datensatzes mit Godaddy
- Melden Sie sich bei Ihrem GoDaddy Domain Portfolio an, um auf die DNS-Zone zuzugreifen
- Suchen Sie unter Domainname Ihre E-Mail-Versanddomain und wählen Sie sie aus.
- Klicken Sie unter Ihrem Domänennamen auf DNS
- Wählen Sie nun Neuen Datensatz hinzufügen und beginnen Sie mit der Veröffentlichung Ihres Datensatzes mit den folgenden Details:
- Typ: TXT
- Name: _dmarc
- Wert: Fügen Sie den Wert Ihres DMARC-Eintrags ein
Veröffentlichung eines DMARC-Eintrags mit Cloudflare
- Melden Sie sich bei Ihrem Cloudflare-Konto an.
- Wählen Sie das gewünschte Konto und die Domäne aus.
- Navigieren Sie zu DNS und klicken Sie auf Eintrag hinzufügen
- Fügen Sie den generierten DMARC-Datensatz in den Abschnitt Datensatz hinzufügen ein, wie im folgenden Beispiel:
So überprüfen Sie Ihren DMARC-Eintrag
Nachdem Sie Ihren DMARC-Eintrag veröffentlicht haben, ist es wichtig, zu überprüfen, ob er ordnungsgemäß funktioniert. Hier finden Sie eine Schritt-für-Schritt-Anleitung zur Überprüfung:
Checkliste zur schrittweisen Überprüfung von DMARC-Einträgen
- Verwenden Sie DNS-Abfrage-Tools: Überprüfen Sie mit Tools wie nslookup oder dig, ob Ihr DMARC-Eintrag korrekt veröffentlicht wurde
- Syntax überprüfen: Verwenden Sie Online-DMARC-Validatoren, um auf Syntaxfehler zu prüfen
- E-Mail-Authentifizierung testen: Senden Sie Test-E-Mails und überprüfen Sie die Header auf DMARC-Ergebnisse
- Berichte überwachen: Warten Sie auf DMARC-Berichte, um die ordnungsgemäße Funktion zu bestätigen
- Mehrere DNS-Server überprüfen: Überprüfen Sie die globale Ausbreitung über verschiedene DNS-Server hinweg
Empfohlene Tools zur DMARC-Validierung
- PowerDMARC DMARC-Checker: Kostenloses, umfassendes Validierungstool
- MXToolbox DMARC-Abfrage: Schnelle Überprüfung von DNS-Einträgen
- Google Admin Toolbox: Tool zur Überprüfung von DNS-Einträgen
Hier sind die Gründe, warum mehr als 10.000 Kunden auf PowerDMARC vertrauen: KI-gestützte Bedrohungsinformationen, erstklassige Einarbeitung, SOC2-/ISO27001-Konformität und automatisierte Verwaltung mehrerer Domains
- Deutliche Reduzierung von Spoofing-Versuchen und unbefugten E-Mails
- Schnelleres Onboarding + automatisierte Authentifizierungsverwaltung
- Echtzeit-Bedrohungsinformationen und -Berichte über Domänen hinweg
- Bessere E-Mail-Zustellungsraten dank strikter DMARC-Durchsetzung
Die ersten 15 Tage gehen auf unsere Kosten.
Starten Sie Ihre kostenlose 15-tägige DMARC-Sicherheits-Testversion
Überprüfen Ihres DMARC-Datensatzes
Um Ihren DMARC-Eintrag zu überprüfen und die häufige Fehlermeldung „Kein DMARC-Eintrag gefunden” verwenden Sie unser kostenloses Überprüfungstool.
1. Melden Sie sich kostenlos an und navigieren Sie zu „Analyse-Tools“ > „PowerToolbox“ > DMARC-Datensatz-Prüftool
2. Überprüfen Sie den Status, die Syntax und die Tags Ihres DMARC-Datensatzes, um eventuelle Fehler aufzudecken
Sind Sie bereit, Ihren DMARC-Eintrag zu überprüfen? Nutzen Sie den kostenlosen DMARC-Checker von PowerDMARC.
Häufige Fehler bei DMARC-Einträgen, die es zu vermeiden gilt
Vermeiden Sie diese häufigen DMARC-Konfigurationsfehler, die Ihre E-Mail-Sicherheit und -Zustellbarkeit gefährden können:
1. Syntax- und Konfigurationsfehler
- Fehlende Semikolons: Jedes Tag muss durch Semikolons getrennt werden
- Zusätzliche Leerzeichen: Vermeiden Sie unnötige Leerzeichen um Tags und Werte herum
- Falsche Version: Verwenden Sie immer „v=DMARC1“ (nicht v=DMARC2 oder ähnliches)
- Ungültige E-Mail-Adressen: Stellen Sie sicher, dass die Meldeadressen gültig und erreichbar sind
2. Fehler bei der Umsetzung von Richtlinien
- Zu schnelles Springen zu p=reject: Beginnen Sie mit p=none für die Überwachung
- SPF und DKIM nicht zuerst konfigurieren: DMARC setzt die Einrichtung dieser Protokolle voraus
- Subdomain-Richtlinien ignorieren: Erwägen Sie die Festlegung geeigneter sp=-Werte
3. Fehler bei der Aktenverwaltung
- Mehrere DMARC-Einträge: Pro Domain ist nur ein DMARC-Eintrag zulässig
- Falscher Name des DNS-Eintrags: Muss genau „_dmarc.yourdomain.com“ lauten
- Falscher Datensatztyp: Muss vom Typ TXT sein
4. Versäumnisse bei der Überwachung und Berichterstattung
- Keine Berichterstellung eingerichtet: Fehlt das „rua=“-Tag, gibt es keinen Einblick in die E-Mail-Authentifizierung
- DMARC-Berichte ignorieren: Berichte enthalten wichtige Sicherheitsinformationen
- Verwendung nicht erreichbarer Berichtsadressen: Stellen Sie sicher, dass Sie Berichte empfangen und verarbeiten können
Fehlerbehebung bei häufigen DMARC-Eintragsfehlern
Verwenden Sie diese Schritt-für-Schritt-Checkliste, um häufige Probleme mit DMARC-Einträgen zu beheben:
| Problem | Symptome | Lösung |
|---|---|---|
| Datensatz nicht gefunden | DNS-Lookup liefert keine Ergebnisse | Überprüfen Sie, ob der Datensatz als TXT-Typ mit dem Namen „_dmarc” veröffentlicht wurde. |
| Syntax-Fehler | Datensatzvalidierung fehlgeschlagen | Überprüfen Sie auf fehlende Semikolons, zusätzliche Leerzeichen oder Tippfehler. |
| Mehrere Datensätze | Inkonsistente Durchsetzung von Richtlinien | Doppelte Datensätze entfernen, nur einen pro Domain behalten |
| Ausbreitungsverzögerungen | Änderungen nicht global sichtbar | Warten Sie 24 bis 48 Stunden, bis die DNS-Änderungen vollständig übernommen wurden. |
| Ungültige E-Mail-Adressen | Berichte nicht erhalten | Überprüfen Sie, ob die Rua/Ruf-E-Mail-Adressen gültig und zugänglich sind. |
Checkliste zur schnellen Fehlerbehebung
|
Häufige DMARC-Datensatz-Fehler
| Status | Was es bedeutet | Was können Sie tun? |
|---|---|---|
| Gültig | Ihr DMARC-Datensatz ist korrekt und frei von Fehlern | Nichts tun |
| Ungültig | Ihr DMARC-Datensatz ist fehlerhaft. Dies kann auf eine unvollständige oder fehlerhafte Syntax zurückzuführen sein. | Überprüfen Sie Ihre Syntax, lesen Sie unseren vollständigen Leitfaden zu DMARC-Tags, oder wenden Sie sich an uns, wenn Sie Hilfe von Experten benötigen. |
| Kein Datensatz gefunden | In Ihrem DNS war kein DMARC-Eintrag vorhanden. | Erstellen Sie einen DMARC-Eintrag für Ihre Domäne und veröffentlichen Sie ihn in Ihrem DNS. |
Sobald Sie Fehler in Ihrem Eintrag entdecken, müssen Sie die notwendigen Änderungen an Ihrem DNS vornehmen und die Änderungen speichern. Sie können Ihren Eintrag erneut überprüfen, sobald die Änderungen verarbeitet sind.
DMARC-Berichte verstehen
DMARC-Berichte liefern wichtige Erkenntnisse über die Leistungsfähigkeit Ihrer E-Mail-Authentifizierung und potenzielle Sicherheitsrisiken. Hier erfahren Sie, was Sie wissen müssen:
Arten von DMARC-Berichten
1. Zusammenfassende Berichte (RUA)
- Häufigkeit: Tägliche Zusammenfassungen aller E-Mail-Authentifizierungsergebnisse
- Inhalt: Volumenstatistiken, Authentifizierungsergebnisse, Quell-IPs
- Anwendungsfall: Überwachung des allgemeinen Zustands der E-Mail-Authentifizierung und Erkennung von Trends
2. Forensische Berichte (RUF)
- Häufigkeit: Echtzeitberichte bei Authentifizierungsfehlern
- Inhalt: Detaillierte E-Mail-Header und Gründe für fehlgeschlagene Authentifizierung
- Anwendungsfall: Untersuchung spezifischer Authentifizierungsfehler und potenzieller Angriffe
So interpretieren Sie DMARC-Berichte
Wichtige Kennzahlen, die es zu beobachten gilt:
- DMARC-Erfolgsquote: Prozentsatz der E-Mails, die die DMARC-Authentifizierung bestehen
- SPF/DKIM-Übereinstimmung: Wie gut stimmen Ihre Authentifizierungsprotokolle überein?
- Quellenanalyse: Unterscheidung zwischen legitimen und verdächtigen Absendern
- Auswirkungen der Richtlinien: Auswirkungen von Quarantäne- und Ablehnungsrichtlinien auf die E-Mail-Zustellung
E-Mail-Sicherheit durch Berichte verbessern
- Legitime Absender identifizieren: Stellen Sie sicher, dass alle autorisierten E-Mail-Quellen ordnungsgemäß konfiguriert sind
- Spoofing-Versuche erkennen: Überwachen Sie Ihre Domain auf unbefugte Nutzung
- Authentifizierung optimieren: Beheben Sie Probleme bei der SPF- und DKIM -Abstimmung
- Schrittweise Durchsetzung von Richtlinien: Nutzen Sie Daten, um sicher von der Überwachung zur Durchsetzung überzugehen
DMARC-Eintrag für nicht sendende Domains
Die meisten beschränken sich darauf, ihre aktiven Domains zu sichern, doch Angreifer können sogar Ihre nicht versendenden Domains fälschen, um in Ihrem Namen gefälschte E-Mails zu versenden! Um dies zu verhindern, finden Sie hier die Schritte zur Implementierung von DMARC für Ihre nicht versendenden Domains:
- Veröffentlichen Sie einen nicht-permissiven DMARC-Eintrag: Beginnen Sie damit, einen DMARC-Eintrag für die inaktive Domain mit einer strengen Richtlinie wie „p=reject“ zu veröffentlichen.
- Berichterstellung aktivieren (empfohlen): Auch wenn Ihre Domain keine E-Mails versendet, können Angreifer sie dennoch missbrauchen, um Phishing-Nachrichten zu versenden. DMARC-Berichte warnen Sie, wenn dies geschieht.
- Veröffentlichen Sie einen restriktiven SPF-Eintrag: Setzen Sie „v=spf1 -all“, um den Versand von E-Mails zu verhindern.
- Integrierte E-Mail-Dienste deaktivieren: Wenn die Domain noch mit externen E-Mail-Servern verknüpft ist, kann es sinnvoll sein, diese zu sperren, sofern die Domain nicht mehr genutzt wird.
Konsequenzen der Nichtabsicherung Ihrer inaktiven Domains
Wenn Sie DMARC für Ihre nicht sendenden Domänen nicht implementieren, kann dies verschiedene Folgen haben, z. B:
- Erhöhtes Risiko von Spoofing- und Phishing-Angriffen
- Schädigung des Rufs der Marke und der Domäne
- Domainmissbrauch bleibt über einen längeren Zeitraum unbemerkt
Ein DMARC-Eintrag pro Domäne
Bei der Konfiguration Ihres DMARC-Eintrags ist es wichtig, nur einen einzigen Eintrag pro Domain zu veröffentlichen. Mehrere DMARC-Einträge für eine einzelne Domain können zu Konflikten und ungerechtfertigten Authentifizierungsfehlern führen!
Warum mehrere DMARC-Datensätze ein Problem sind
- Fehler bei der E-Mail-Authentifizierung: E-Mail-Empfänger wissen möglicherweise nicht, welchem DMARC-Eintrag sie folgen sollen.
- Fehlerhafte Konfigurationen und Inkonsistenzen: Widersprüchliche Richtlinien (z. B. wenn in einem Datensatz „p=none“ und in einem anderen „p=reject“ verwendet wird) führen zu unvorhersehbaren Auswirkungen bei der Durchsetzung.
- Ungenaue Berichterstattung: DMARC-Berichte können unvollständig oder unzuverlässig sein.
Best Practices für die korrekte DMARC-Implementierung
Um eine korrekte Konfiguration des DMARC-Eintrags, finden Sie hier die bewährten Verfahren für die Implementierung:
- Veröffentlichen Sie einen einzigen DMARC-Eintrag pro Domäne.
- Vermeiden Sie die Konfiguration der DMARC sp Tag, es sei denn, Sie möchten, dass für Ihre Subdomänen eine andere Richtlinie gilt.
- Verwenden Sie ein DMARC-Überprüfungstool um Ihren Datensatz nach der Veröffentlichung zu validieren.
- Überwachen Sie Ihre DMARC-Berichte regelmäßig, um sicherzustellen, dass verdächtige Aktivitäten nicht unbemerkt bleiben.
Nächste Schritte nach der Veröffentlichung eines DMARC-Datensatzes
Nachdem Sie Ihren DMARC-Eintrag veröffentlicht haben, sollten Sie sich im nächsten Schritt darauf konzentrieren, Ihre Domäne vor Betrügern und Nachahmern zu schützen. Das ist Ihre Hauptaufgabe, wenn Sie Sicherheitsprotokolle und E-Mail-Authentifizierungsdienste implementieren.
Die bloße Veröffentlichung eines DMARC-Eintrags mit der Richtlinie „p=none“ bietet keinen Schutz vor Domain-Spoofing und E-Mail-Betrug. Dazu müssen Sie auf DMARC-Durchsetzungumsteigen.
Bei der Umstellung auf die DMARC-Durchsetzung ist ein schrittweises Vorgehen die beste Lösung, um optimale Ergebnisse ohne negative Auswirkungen auf Ihre Zustellbarkeit zu erzielen. Hier ist ein schrittweiser Prozess, dem Sie folgen können:
- Beginnen Sie mit einer p=none-Richtlinie, die Ihren Überwachungsmodus darstellt.
- Aktivieren Sie DMARC-Berichte für Ihre Domain, um Ihre E-Mail-Kommunikation und die Zustellbarkeit zu analysieren.
- Gehen Sie in Quarantäne, halten Sie pct (percentage) bei 10 und erhöhen Sie es schrittweise auf 100% über einen Zeitraum von einigen Wochen.
- Sobald Sie mit Ihrer Einrichtung zufrieden sind, gehen Sie zu p=reject über, wobei Sie pct auf dem niedrigsten Prozentsatz belassen und dann schrittweise bis zur vollen Durchsetzung für 100 % Ihres Postvolumens erhöhen.
So vereinfachen Sie die Verwaltung von DMARC-Einträgen
Für Unternehmen, die mehrere Domains betreiben, oder einfach für diejenigen, die sich den Aufwand der manuellen Konfiguration und Pflege von DMARC-Einträgen ersparen möchten, bieten spezialisierte Lösungen die Möglichkeit, die Verwaltung von DMARC-Einträgen zentral zu automatisieren. Dank KI-gestützter Threat-Intelligence-Technologie und detaillierter Berichterstattung unterstützt PowerDMARC bereits über 2000 Kunden weltweit dabei, ihre DMARC-Implementierung zu vereinfachen.
Professionelle DMARC-Verwaltungslösungen bieten:
- Verwaltung mehrerer Domänen und Mandanten über ein einziges Dashboard
- Erstklassige Einarbeitung und kompetenter Support
- Zertifiziert für SOC2-, ISO27001- und DSGVO-Konformität
Um loszulegen, nutzen Sie eine kostenlose Starten Sie noch heute Ihre kostenlose 15-tägige DMARC-Schutz-Testversion der Plattform an!
Häufig gestellte Fragen zu DMARC-Einträgen
1. Wie erstelle ich einen DMARC-Eintrag für meine Domain?
So erstellen Sie einen DMARC-Eintrag: 1) Erstellen Sie Ihren DMARC-Eintrag mit einem Tool wie dem Generator von PowerDMARC, 2) rufen Sie Ihre DNS-Verwaltungskonsole auf, 3) erstellen Sie einen neuen TXT-Eintrag mit dem Namen „_dmarc“ und fügen Sie Ihren DMARC-Eintrag als Wert ein, 4) speichern Sie die Änderungen und warten Sie, bis die DNS-Änderungen übernommen wurden (bis zu 48 Stunden).
2. Was passiert, wenn ich keinen DMARC-Eintrag habe?
Ohne einen DMARC-Eintrag ist Ihre Domain anfällig für Spoofing- und Phishing-Angriffe. E-Mail-Anbieter wie Gmail und Yahoo können E-Mails von Massenversendern ohne DMARC ablehnen. Die Reputation Ihrer Domain kann durch unbefugte Nutzung Schaden nehmen, und Sie haben keinen Einblick in Fehler bei der E-Mail-Authentifizierung.
3. Wie bestehe ich die DMARC-Überprüfung?
So bestehen Sie die DMARC-Überprüfung: 1) Stellen Sie sicher, dass SPF und DKIM korrekt konfiguriert sind, 2) Überprüfen Sie die Übereinstimmung der Domains zwischen Ihrem „From:“-Header und den SPF-/DKIM-Domains, 3) Verwenden Sie eine DMARC-Richtlinie, die legitime E-Mails zulässt (beginnen Sie mit „p=none“), 4) Überwachen Sie die DMARC-Berichte, um Authentifizierungsprobleme zu erkennen und zu beheben.
4. Wie sieht ein typischer DMARC-Eintrag aus?
Ein einfacher DMARC-Eintrag wird als DNS-TXT-Eintrag unter _dmarc.yourdomain.com veröffentlicht und läuft in der Regel zunächst im Überwachungsmodus. Ein gängiges Beispiel sieht wie folgt aus:
v=DMARC1; p=none; rua=mailto:[email protected]
Was dies bewirkt:
- v=DMARC1 kennzeichnet den Datensatz als DMARC-Richtlinie.
- p=none ermöglicht die Überwachung, ohne E-Mails zu blockieren.
- „rua“ gibt an, wohin die zusammengefassten DMARC-Berichte gesendet werden.
Mit dieser Konfiguration können Sie Authentifizierungsergebnisse überwachen und Spoofing-Versuche erkennen, ohne die E-Mail-Zustellung zu beeinträchtigen. Sobald Sie die Berichte geprüft und sichergestellt haben, dass alle legitimen Absender korrekt erfasst sind, können Sie schrittweise auf „p=quarantine“ oder „p=reject“ umstellen, um die Regeln durchzusetzen.
Cybersecurity-Experte, CEO bei PowerDMARC
Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.
Neueste Beiträge von Maitham Al Lawati (alle anzeigen)
- E-Mail-Phishing und DMARC-Statistiken: E-Mail-Sicherheitstrends für 2026 – 6. Januar 2026
- So beheben Sie „Kein SPF-Eintrag gefunden“ im Jahr 2026 – 3. Januar 2026
- SPF Permerror: So beheben Sie zu viele DNS-Lookups – 24. Dezember 2025
