Wichtigste Erkenntnisse
- Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, der unter _dmarc.yourdomain.com veröffentlicht wird. Er gibt Mail-Servern vor, wie sie mit E-Mails verfahren sollen, die die SPF- oder DKIM-Prüfung nicht bestehen.
- Bevor Sie DMARC durchsetzen können, müssen Sie SPF oder DKIM eingerichtet haben. Die Überwachung mit „p=none“ funktioniert auch ohne diese Protokolle, aber die Quarantäne oder das Zurückweisen von E-Mails funktioniert erst, wenn mindestens eines davon erfolgreich ist.
- Um einen DMARC-Eintrag zu veröffentlichen, fügen Sie bei Ihrem DNS-Anbieter einen TXT-Eintrag mit dem Namen _dmarc hinzu. Die Übertragung kann bis zu 48 Stunden dauern – überprüfen Sie mithilfe eines DMARC-Checkers oder mit dig/nslookup, ob der Eintrag bereits aktiv ist.
- Die meisten DMARC-Fehler lassen sich auf einige wenige einfache Fehler zurückführen: fehlende Semikolons, falscher Datensatztyp, Veröffentlichung auf der Root-Domain statt unter _dmarc.yourdomain.com oder das Vorhandensein von zwei Datensätzen, obwohl nur einer vorhanden sein sollte.
- Gmail, Yahoo und Microsoft verlangen von Massenversendern die Umsetzung von DMARC. Wenn Sie Kartenzahlungen abwickeln, schreibt PCI DSS v4.0 zudem Anti-Phishing-Maßnahmen vor.
Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, der empfangenden Mail-Servern mitteilt, wie E-Mails zu behandeln sind, die die Authentifizierungsprüfungen nicht bestehen. Diese Anleitung führt Sie durch die Erstellung Ihres DMARC-Eintrags, die Veröffentlichung im DNS Ihrer Domain, die Überprüfung der Funktionsfähigkeit sowie das Verständnis des Standards von 2026 (RFC 9989), der nun das Protokoll regelt.
Ganz gleich, ob Sie die E-Mail-Authentifizierung zum ersten Mal einrichten oder Ihren Eintrag aktualisieren, um die Compliance-Anforderungen für 2025/2026 zu erfüllen – Sie können einen funktionsfähigen DMARC-Eintrag in weniger als 10 Minuten erstellen und veröffentlichen. Dieser Leitfaden richtet sich an IT-Fachleute, Domain-Administratoren, MSPs und Compliance-Manager.
Hinweis: DMARC wurde im Mai 2026 aktualisiert (RFC 9989). Alle in diesem Leitfaden aufgeführten Beispiele entsprechen dem aktualisierten Standard.
Was ist ein DMARC-Eintrag?
Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, der unter _dmarc.yourdomain.com veröffentlicht wird und den empfangenden Mail-Servern vorgibt, wie sie mit E-Mails umgehen sollen, die angeblich von Ihrer Domain stammen, aber die Authentifizierungsprüfungen nicht bestehen.
DMARC baut auf zwei bestehenden E-Mail-Authentifizierungsprotokollen auf:
- SPF (Sender Policy Framework): Autorisiert bestimmte IP-Adressen zum Versenden von E-Mails über Ihre Domain
- DKIM (DomainKeys Identified Mail): Signiert E-Mails kryptografisch, um nachzuweisen, dass sie von Ihrer Domain stammen
Ohne DMARC gibt es keine Richtlinie, die den Empfängern vorschreibt, wie sie vorgehen sollen, wenn SPF oder DKIM versagen. Sie treffen ihre eigenen Entscheidungen und lassen dabei häufig gefälschte E-Mails durch.
Wie sich DMARC in die E-Mail-Authentifizierung einfügt
- SPF überprüft die Absender-IP, indem es prüft, ob der Server, der diese E-Mail versendet, durch den SPF-Eintrag der Domain autorisiert ist.
- DKIM überprüft die Signatur, indem es prüft, ob die digitale Signatur der E-Mail mit dem veröffentlichten DKIM-Schlüssel der Domain übereinstimmt.
- DMARC legt fest, welche Maßnahme ergriffen wird, wenn SPF und/oder DKIM fehlschlagen. Ihre DMARC-Richtlinie (und die Zuordnungsregeln) weisen den Empfänger an, die E-Mail abzulehnen, unter Quarantäne zu stellen oder zuzulassen.
Bevor Sie den DMARC-Eintrag veröffentlichen
DMARC-Einträge erfordern, dass mindestens SPF oder DKIM veröffentlicht und mit Ihrer Absenderdomain abgeglichen sind. Sie können einen DMARC-Eintrag mit „p=none“ (Überwachung) auch ohne diese Protokolle veröffentlichen, doch für die Durchsetzung („p=quarantine“ oder „p=reject“) muss mindestens ein Protokoll die Überprüfung bestehen.
Schnellüberprüfungen:
Aufbau eines DMARC-Eintrags
Ein DMARC-Eintrag besteht aus einer Reihe von Tag-Wert-Paaren, die durch Semikolons voneinander getrennt sind. Es sind nur zwei Tags erforderlich; alle weiteren Angaben sind optional, werden jedoch empfohlen.
Aktive Tags
| Tag | Zweck | Zulässige Werte | Beispiel | Anforderung |
|---|---|---|---|---|
| v | DMARC-Version | DMARC1 | v=DMARC1 | Erforderlich |
| p | DMARC-Richtlinie | Keine, Quarantäne, Ablehnen | p=kein | Erforderlich |
| sp | Subdomain-Richtlinie | Keine, Quarantäne, Ablehnen | sp=ablehnen | Optional |
| np | Richtlinie für nicht existierende Subdomains | Keine, Quarantäne, Ablehnen | np=ablehnen | Optional |
| rua | Zusammenfassender Bericht per E-Mail | Gültige E-Mail-Adresse | rua=mailto:[email protected] | Empfohlen |
| ruf | E-Mail mit Fehlermeldung | Gültige E-Mail-Adresse | ruf=mailto:[email protected] | Optional |
| psd | Flag für Domains mit öffentlichem Suffix | y (ja)/n (nein)/u (unbekannt) | psd=y | Optional |
| t | Testmodus | y (ja) | t = y | Optional |
| adkim | DKIM-Abgleichmodus | r (locker)/s (streng) | adkim=r | Optional |
| aspf | SPF-Ausrichtungsmodus | r (locker)/s (streng) | aspf=s | Optional |
| für | Optionen für Fehlerberichte | 0, 1, d, s | fo=1 | Optional |
Hinweis zu „psd=“: Dieses Tag ist in erster Linie für Betreiber öffentlicher Suffixe (Public Suffix Operators, PSOs) wie Ländercode-Registrien oder gTLD-Betreiber vorgesehen. Die meisten gewöhnlichen Domaininhaber sollten dieses Feld vollständig leer lassen. Es ist nur relevant, wenn Ihre Domain ein öffentliches Suffix wie .gov.uk oder .bank ist.
Hinweis zu ruf= Die wichtigsten Empfänger (Google, Microsoft, Yahoo) senden keine Fehlerberichte mehr.
Veraltete Tags
In RFC 9989 wurden drei Tags als veraltet markiert oder entfernt, die zu Inkonsistenzen bei der Implementierung führten:
| Tag | Was es war | Warum veraltet? | Aktion |
|---|---|---|---|
| pct | Prozentualer Anteil der E-Mails, auf die die Richtlinie angewendet wird | Wird bei den verschiedenen Empfängern uneinheitlich umgesetzt, was zu unvorhersehbaren Ergebnissen führt | Aus neuen Datensätzen entfernen. Verwenden Sie stattdessen „t=y“, um den Testmodus zu aktivieren. |
| ri | Berichtsformat | Es wurde bisher nur ein Wert (afrf) verwendet; überflüssig | Bei der Bearbeitung aus den bestehenden Datensätzen entfernen. |
| rf | Berichtsintervall (in Sekunden) | Die Receiver haben es im Training ignoriert | Bei der Bearbeitung aus den bestehenden Datensätzen entfernen. |
Hinweis: Wenn Ihre bestehenden Datensätze diese Tags enthalten, funktionieren sie weiterhin, da Empfänger sie einfach ignorieren. Wenn Sie Ihren Datensatz jedoch das nächste Mal bearbeiten, können Sie sie löschen, um die Konformität mit RFC 9989 herzustellen, und sollten sie bei der Veröffentlichung neuer Datensätze nicht mehr einfügen.
Vergleich der DMARC-Richtlinien
| Richtlinie | Empfängerfunktion | Schutzstufe | Anforderungen an ESP-Massenversender | Wann anzuwenden |
|---|---|---|---|---|
| keine | Nur überwachen; keine Ablehnung | Keine | Akzeptabel | Erstinstallation; Überwachung des Datenverkehrs |
| Quarantäne | In den Spam-/Junk-Ordner verschieben | Mäßig | Erfüllt die Anforderungen | Zur schrittweisen Umsetzung |
| zurückweisen | Vollständig blockieren und ablehnen | Hoch | Erfüllt die Anforderungen | Wenn man sicher ist, die vollständige Durchsetzung zu aktivieren. |
Beispiele für DMARC-Einträge
Alle folgenden Beispiele entsprechen RFC 9989, da veraltete Tags weggelassen und gegebenenfalls neue Tags hinzugefügt wurden.
Beispiel 1: Überwachungsmodus (Hier beginnen)
v=DMARC1; p=none; rua=mailto:[email protected]
Anwendungsfall: Erstmalige DMARC-Einrichtung. Keine Durchsetzung. Tägliche Übermittlung von Sammelberichten zur Nachverfolgung der Authentifizierungsergebnisse.
Was die einzelnen Tags bewirken:
- v=DMARC1 Kennzeichnet diesen Eintrag als DMARC-Eintrag
- p=none Keine Maßnahmen ergreifen; lediglich überwachen
- rua= mailto:[email protected] Tägliche Berichte an diese E-Mail-Adresse senden
Beispiel 2: Teilweise Vollstreckung (Übergangsregelung)
v=DMARC1; p=quarantine; sp=quarantine; np=reject; rua=mailto:[email protected]
Anwendungsfall: Schrittweise Durchsetzung. E-Mails, die die Überprüfung nicht bestehen, in Quarantäne verschieben. Strengere Richtlinien für nicht existierende Subdomains.
Was gibt’s Neues:
- sp=quarantine Subdomains übernehmen die Quarantäne-Richtlinie
- np=reject Nicht vorhandene Subdomains werden abgelehnt (RFC 9989-Schutz)
Beispiel 3: Vollständige Durchsetzung
v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]
Anwendungsfall: Vollständige Durchsetzung in der Produktion. Alle fehlerhaften E-Mails werden zurückgewiesen. Die Domain hostet keine Mailinglisten.
Beispiel 4: Nicht versendende / geparkte Domain
v=DMARC1; p=reject; sp=reject; np=reject; adkim=s; aspf=s
Anwendungsfall: Eine Domain, die keine E-Mails versendet, aber vor Spoofing geschützt werden muss.
Was ist anders:
- adkim=s; aspf=s Strikte Ausrichtung (kein Relaxed-Modus erforderlich)
- No rua= Keine Überwachungsberichte (Domäne sendet keine Berichte)
- np=reject Selbst nicht existierende Subdomains weisen gefälschte E-Mails zurück
Auch inaktive Domains sollten geschützt werden, da Angreifer ungenutzte Domains in Phishing-Kampagnen missbrauchen können.
Beispiel 5: Subdomain mit strengeren Richtlinien
Übergeordnete Domain: v=DMARC1; p=quarantine; rua=mailto:[email protected]
Subdomain (marketing.yourdomain.com): v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]
Anwendungsfall: Die übergeordnete Domäne erlaubt die Quarantäne (hat E-Mails weitergeleitet). Die Marketing-Subdomäne ist ein dedizierter Absender; es gilt „p=reject“.
Beispiel 6: Microsoft 365 / Google Workspace
v=DMARC1; p=reject; rua=mailto:[email protected]
Hinweis: Für Microsoft 365 oder Google Workspace ist keine spezielle DMARC-Syntax erforderlich. Der Eintrag wird wie bei jeder anderen DMARC-Implementierung im DNS veröffentlicht. Überprüfen Sie vor der Durchsetzung die SPF- und DKIM-Konfiguration für alle Absenderquellen.
Eine ausführliche Anleitung finden Sie in unseren Anleitungen zur Einrichtung von DMARC für Microsoft 365 und Google Workspace.
So erstellen Sie einen DMARC-Eintrag
Methode 1: Verwendung des kostenlosen PowerDMARC-Generators
1. Rufen Sie den DMARC-Record-Generator auf
2. Wählen Sie die gewünschte Durchsetzungsstufe aus (Keine / Überwachung, Quarantäne, Ablehnen)
3. Geben Sie Ihre Domain und die E-Mail-Adresse für Benachrichtigungen ein
4. Aktivieren Sie die Subdomain-Richtlinie und schützen Sie gegebenenfalls nicht vorhandene Subdomains (optional)
5. Klicken Sie auf „Generieren“
6. DMARC-Eintrag erstellt
Methode 2: Manuell erstellen
Öffnen Sie einen Texteditor und geben Sie den Datensatz manuell ein:
v=DMARC1; p=none; rua=mailto:[email protected]
Beginnen Sie mit p=none (Überwachung). Sie können die Richtlinie später anpassen, sobald Sie Ihren E-Mail-Verkehr besser verstehen.
Erforderlich:
- v=DMARC1 (immer)
- p= (Ihre Richtlinie: keine, Quarantäne oder ablehnen)
- rua= (Ihre E-Mail-Adresse für die Meldung)
So veröffentlichen Sie einen DMARC-Eintrag – Schritt für Schritt beim DNS-Anbieter
Die DNS-Einstellungen Ihrer Domain werden von Ihrem Domain-Registrar (GoDaddy, Namecheap usw.), Ihrem Webhosting-Anbieter (cPanel) oder Ihrem CDN (Cloudflare) verwaltet. Melden Sie sich dort an und befolgen Sie die unten aufgeführten Schritte für Ihren Anbieter.
Allgemeine Schritte (falls Ihr Anbieter nicht aufgeführt ist):
1. Suchen Sie die DNS-Verwaltungskonsole
2. Klicken Sie auf die Domain, für die Sie DMARC konfigurieren möchten.
3. Einen neuen TXT-Eintrag erstellen
4. Eintragsname: _dmarc (oder _dmarc.yourdomain.com, falls im Formular der vollständige Hostname angegeben werden muss)
5. Eintrag: Fügen Sie Ihre DMARC-Eintragszeichenfolge ein
6. Speichern und auf die Übertragung warten (24–48 Stunden)
7. Verwenden Sie den DMARC-Checker zur Überprüfung
DMARC-Eintrag bei GoDaddy veröffentlichen
1. Melden Sie sich bei Ihrem GoDaddy-Domain-Portfolio an
2. Klicken Sie neben Ihrer Domain auf „DNS“
3. Scrollen Sie zu „DNS-Einträge“
4. Klicken Sie auf „Neuen Datensatz hinzufügen“
5. Typ: TXT
6. Name: _dmarc
7. Wert: Fügen Sie Ihren DMARC-Eintrag ein
8. Klicken Sie auf „Speichern“
DMARC-Eintrag auf Cloudflare veröffentlichen
1. Melden Sie sich bei Ihrem Cloudflare-Dashboard an
2. Wählen Sie Ihre Domain aus
3. Gehen Sie zu „DNS“ > „Einträge“
4. Klicken Sie auf „Datensatz hinzufügen“
5. Typ: TXT
6. Name: _dmarc
7. Inhalt: Fügen Sie Ihren DMARC-Eintrag ein
8. TTL: Auto (oder 3600)
9. Proxy-Status: Nur DNS (kein Proxy)
10. Klicken Sie auf „Speichern“
Hinweis: Stellen Sie den Proxy-Status auf „Nur DNS“ (graue Wolke) ein, nicht auf Orange. DMARC muss direkt beim DNS abgefragt werden und darf nicht über Cloudflare weitergeleitet werden.
DMARC-Eintrag in cPanel / WHM veröffentlichen
1. Melden Sie sich bei Ihrem cPanel-Konto an
2. Rufen Sie den Zonen-Editor auf (unter „Domains“)
3. Klicken Sie neben Ihrer Domain auf „Verwalten“
4. Klicken Sie auf „+ Neuen Datensatz hinzufügen“
5. Typ: TXT
6. Name: _dmarc.yourdomain.com
7. Wert (TXT-Daten): Fügen Sie Ihren DMARC-Eintrag ein
8. Klicken Sie auf „Datensatz hinzufügen“
DMARC-Eintrag bei Namecheap veröffentlichen
1. Melden Sie sich bei Ihrem Namecheap-Konto an
2. Gehen Sie zu „Dashboard“ > „Domain-Liste“
3. Klicken Sie neben Ihrer Domain auf „Verwalten“
4. Gehen Sie zu „Erweitertes DNS“
5. Klicken Sie auf „Neuen Datensatz hinzufügen“
6. Typ: TXT-Eintrag
7. Gastgeber: _dmarc
8. Wert: Fügen Sie Ihren DMARC-Eintrag ein
9. TTL: Automatisch (3600)
10. Klicken Sie auf das Häkchen, um zu speichern
DMARC-Eintrag in Amazon Route 53 veröffentlichen
1. Melden Sie sich bei der AWS Management Console an > Route 53
2. Gehen Sie zu „Hosted Zones“ und wählen Sie Ihre Domain aus
3. Klicken Sie auf „Datensatz erstellen“
4. Datensatzname: _dmarc
5. Datensatztyp: TXT
6. Wert: Fügen Sie Ihren DMARC-Eintrag in doppelte Anführungszeichen gesetzt ein
- Beispiel: „v=DMARC1; p=none; rua=mailto:[email protected]“
- Bei Route 53 sind Anführungszeichen erforderlich; ohne diese wird der Datensatz nicht gespeichert.
7. TTL: 300 (oder 3600)
8. Klicken Sie auf „Datensätze erstellen“
Hinweis: Bei Route 53 müssen die Werte der TXT-Einträge in doppelte Anführungszeichen gesetzt werden. Kopieren Sie Ihren Eintrag unverändert und fügen Sie ihn ein, und setzen Sie ihn anschließend in „…“ ein.
DMARC-Eintrag in Microsoft 365 / Azure DNS veröffentlichen
Wenn Ihr DNS über Azure DNS verwaltet wird:
1. Melden Sie sich beim Azure-Portal an > DNS-Zonen
2. Wählen Sie Ihre Domain aus
3. Klicken Sie auf „+ Datensatz aufzeichnen“
4. Name: _dmarc
5. Typ: TXT
6. TTL: 3600
7. Wert: Fügen Sie Ihren DMARC-Eintrag ein
8. Klicken Sie auf „OK“
Wenn Ihr DNS bei einem Registrar (GoDaddy, Namecheap usw.) gehostet wird:
- Befolgen Sie die oben genannten Schritte des Registrars
Wie lange dauert es, bis sich ein DMARC-Eintrag verbreitet hat?
DNS-Änderungen werden durch eine Einstellung namens TTL (Time To Live) gesteuert, die den Servern vorgibt, wie lange ein DNS-Eintrag im Cache gespeichert werden soll, bevor nach Aktualisierungen gesucht wird. Die meisten DNS-Anbieter legen den TTL-Wert standardmäßig auf 3600 Sekunden (1 Stunde) fest.
Typischer Zeitablauf:
- An den meisten Standorten erfolgt die DNS-Verbreitung innerhalb von 1–2 Stunden
- In seltenen Fällen kann die vollständige weltweite Ausbreitung bis zu 48 Stunden dauern.
- Keine Panik, wenn Ihr DMARC-Checker in der ersten Stunde „kein Eintrag“ anzeigt – warten Sie mindestens 30 bis 60 Minuten und versuchen Sie es dann erneut.
Globale Überprüfung der DNS -Propagierung: Nutzen Sie unseren DNS-Propagation-Checker, um zu überprüfen, ob Ihr Eintrag auf mehreren globalen DNS-Servern bereits verfügbar ist.
So überprüfen Sie, ob Ihr DMARC-Eintrag funktioniert
Methode 1: PowerDMARC DMARC-Checker-Tool
1. Rufen Sie den DMARC-Record-Checker auf
2. Geben Sie Ihren Domainnamen ein
3. Klicken Sie auf „Prüfen“
4. Die Ergebnisse zeigen:
- Gültig: Der Datensatz ist korrekt formatiert und veröffentlicht.
- Ungültig: Syntaxfehler; überprüfen Sie Ihren Datensatz
- Kein Eintrag gefunden: Überprüfen Sie die DNS-Propagierung oder stellen Sie sicher, dass der Eintrag im DNS gespeichert wurde.
Methode 2: Befehlszeile (nslookup oder dig)
Unter Windows (Eingabeaufforderung):
nslookup -type=TXT _dmarc.yourdomain.com
Unter Mac/Linux (Terminal):
dig TXT _dmarc.yourdomain.com
Erfolgreiche Ausgabe:
_dmarc.yourdomain.com. 3600 IN TXT „v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]“
Wenn keine Ergebnisse angezeigt werden, hat die DNS-Änderung noch nicht durchgeschlagen oder der Eintrag wurde nicht korrekt gespeichert.
Methode 3: Überprüfen Sie den E-Mail-Header (Authentication-Results)
Senden Sie eine Test-E-Mail und überprüfen Sie die Kopfzeilen.
Schritte:
1. Senden Sie sich selbst eine Test-E-Mail von Ihrer Domain (oder bitten Sie jemanden aus einem anderen Unternehmen, Ihnen eine E-Mail zu schicken)
2. In Gmail:
- Öffnen Sie die E-Mail
- Klicken Sie auf das Drei-Punkte-Menü (⋮) > Original anzeigen
- Suche nach Authentifizierungsergebnissen
3. In Outlook:
- Öffnen Sie die E-Mail
- Klicken Sie auf „Datei“ > „Eigenschaften“ > „Internet-Header“
- Suche nach Authentifizierungsergebnissen
Worauf Sie achten sollten:
✅ DMARC bestanden:
Authentifizierungsergebnisse: mx.google.com;
dmarc=pass (p=REJECT sp=REJECT np=REJECT dis=NONE) header.from=yourdomain.com
❌ DMARC-Fehler:
Authentifizierungsergebnisse: mx.google.com;
dmarc=fail (p=REJECT sp=REJECT) header.from=yourdomain.com reason=„SPF nicht übereinstimmend“
Was „bestanden“ bedeutet: Ihre SPF- oder DKIM-Signatur stimmt mit der Domain im „From“-Header überein, und Ihre DMARC-Richtlinie wurde angewendet.
Was „Fehler“ bedeutet: SPF oder DKIM sind fehlgeschlagen oder stimmen nicht überein. Überprüfen Sie Ihren SPF-Eintrag und Ihre DKIM-Konfiguration.
Wann Sie Ihren ersten DMARC-Bericht erwarten können
Die zusammengefassten Berichte werden innerhalb von 24 bis 72 Stunden nach Veröffentlichung Ihres Datensatzes versendet.
Inhalt des Berichts:
- Tägliche Übersicht über alle von Ihrer Domain versendeten E-Mails
- Authentifizierungsergebnisse (SPF bestanden/nicht bestanden, DKIM bestanden/nicht bestanden, DMARC bestanden/nicht bestanden)
- Übermittlung von IP-Adressen und deren Anzahl
- Herkunftsländer
- Von den Konkursverwaltern ergriffene Maßnahmen zur Durchsetzung der Richtlinien
Was sich in RFC 9989 hinsichtlich der DMARC-Einträge geändert hat
Im Mai 2026 hat RFC 9989 RFC 7489 als offiziellen DMARC-Standard abgelöst. Ihr bestehender Eintrag funktioniert weiterhin. Hier sind die wichtigsten Änderungen für neue Einträge:
Drei neue Tags wurden hinzugefügt:
- np= (Richtlinie für nicht vorhandene Subdomains): Fügen Sie „np=reject“ oder „np=quarantine“ hinzu, um nicht vorhandene Subdomains zu schützen. Vor RFC 9989 konnten Angreifer beliebige Subdomains ohne DMARC-Einträge vortäuschen. Jetzt können Sie auf der Ebene der übergeordneten Domain eine Richtlinie für diese festlegen. Die meisten Domain-Inhaber sollten dies hinzufügen.
- t= (Flag für den Testmodus): Verwenden Sie t=y, um anzugeben, dass sich Ihre Richtlinie im Testmodus befindet. Empfänger behandeln p=reject; t=y wie p=quarantine (eine Stufe weniger streng), was eine sichere schrittweise Einführung ermöglicht. Ersetzt das alte pct=-Tag.
- psd= (Public-Suffix-Domain-Flag): Gibt an, ob es sich bei einer Domain um ein öffentliches Suffix handelt (wie z. B. .gov.uk oder .bank). Dies ist nur für Betreiber öffentlicher Suffixe und komplexe Domain-Hierarchien relevant. Die meisten Domaininhaber können diesen Punkt ignorieren.
Veraltete/entfernte Tags:
- „pct=“ ist veraltet. Die Empfänger haben es uneinheitlich implementiert. Verwenden Sie stattdessen „t=y“ für schrittweise Einführungen.
- rf= und ri= wurden entfernt. Löschen Sie diese Einträge, falls sie in Ihren bestehenden Datensätzen vorkommen. Die Empfänger ignorieren sie ohnehin.
Weitere Informationen zu den Änderungen in RFC 9989 finden Sie in unserem Leitfaden zu DMARC RFC 9989.
Derzeit geltende Compliance-Anforderungen
| Anforderung | Status | Frist | Aktion |
|---|---|---|---|
| Dauerhafte Ablehnung durch Gmail | Aktiv | Februar 2024 | DMARC-Veröffentlichung erforderlich; „p=none“ ist als Ausgangspunkt akzeptabel, wobei eine Weiterentwicklung hin zu „p=quarantine“ oder „p=reject“ für Massenversender (5.000+ Nachrichten/Tag) erwartet wird. |
| Dauerhafte Ablehnung durch Yahoo | Aktiv | Februar 2024 | DMARC-Veröffentlichung erforderlich; „p=none“ ist als Ausgangspunkt akzeptabel, wobei eine Weiterentwicklung hin zu „p=quarantine“ oder „p=reject“ für Massenversender (5.000+ Nachrichten/Tag) erwartet wird. |
| Durchsetzung von Microsoft Outlook | Aktiv | Mai 2025 | Für Massenversender an Outlook.com, Hotmail.com und Live.com ist die Durchsetzung von DMARC in Verbindung mit SPF und DKIM erforderlich. |
| PCI-DSS Version 4.0 | Aktiv | März 2025 | Alle Stellen, die mit Karteninhaberdaten umgehen, müssen Maßnahmen zum Schutz vor Phishing ergreifen. |
Informieren Sie sich in unserem umfassenden Leitfaden zu den DMARC-Anforderungen über lokale und globale Anforderungen.
Häufige DMARC-Datensatz-Fehler
1. Kein DMARC-Eintrag gefunden
Ursache: Sie haben keinen DMARC-Eintrag für Ihre Domain veröffentlicht, dieser ist falsch konfiguriert oder die DNS-Propagierung ist noch nicht abgeschlossen.
Lösung: Sobald Sie sich vergewissert haben, dass in Ihrem DNS kein Eintrag vorhanden ist, melden Sie sich bei Ihrer DNS-Verwaltungskonsole an, um einen neuen Eintrag zu veröffentlichen. Falls bereits ein Eintrag vorhanden ist, bearbeiten Sie diesen, um Fehler oder Fehlkonfigurationen zu beheben. Sofern die 48-stündige Propagierungszeit noch nicht abgelaufen ist, warten Sie eine Weile, bevor Sie erneut nachsehen.
2. Syntaxfehler
Häufige Fehler:
- Fehlende Semikolons: Auf jedes Tag muss ein Semikolon folgen.
- Zusätzliche Leerzeichen: Vermeiden Sie Leerzeichen nach Semikolons oder um
- Falsche Version: Es muss „v=DMARC1“ lauten, nicht „v=DMARC2“ oder „version=1“.
- Ungültige Tag-Namen: Tippfehler wie „po=reject“ statt „p=reject“
Doppelte DMARC-Einträge
Ursache: Pro Domain darf nur ein DMARC-TXT-Eintrag vorhanden sein. Wenn mehrere Einträge vorhanden sind, lesen die Empfänger nur den ersten, den sie finden. Dies kann zu unerwartetem Verhalten der Richtlinie führen.
Lösung: Stellen Sie sicher, dass Sie doppelte Einträge unter derselben Domain entfernen oder die Einträge bei Bedarf zusammenführen.
Verwenden Sie den Befehl: nslookup -type=TXT _dmarc.yourdomain.com oder nutzen Sie ein DMARC-Prüftool. Wenn zwei oder mehr DMARC-Einträge angezeigt werden, löschen Sie die Duplikate umgehend.
Falscher Name oder Typ des DNS-Eintrags
Ursache: Der Name oder Typ Ihres DNS-Eintrags ist ungültig, beispielsweise wurde anstelle eines TXT-Eintrags für DMARC ein MX-Eintrag konfiguriert.
Behebung:
- Eintragstyp: TXT (nicht A, CNAME, MX usw.)
- Eintragsname: _dmarc (bei einigen DNS-Anbietern wird Ihre Domain automatisch angehängt; bei anderen ist die Angabe _dmarc.yourdomain.com erforderlich)
Häufige Fehler:
- Hinzufügen eines DMARC-Eintrags als A- oder CNAME-Eintrag
- Veröffentlichung unter der Root-Domain (yourdomain.com) statt unter _dmarc.yourdomain.com
- Tippfehler wie _dmrc oder dmarc (fehlender Unterstrich)
Überprüfen Sie in Ihrem DNS-Manager den genauen Namen und Typ.
Benötigen Sie weitere Hilfe? Vollständige Anleitung zur Fehlerbehebung
Bei Problemen mit Fehlern bei der SPF-/DKIM-Übereinstimmung, Fehlern bei Absendern von Drittanbietern oder legitimen E-Mails, die im Spam-Ordner landen, lesen Sie bitte den vollständigen DMARC-Leitfaden zur Fehlerbehebung.
DMARC-Einträge für nicht versendende und geparkte Domains
Selbst wenn Ihre Domain keine E-Mails versendet, können Angreifer sie fälschen, um Phishing-Nachrichten an Ihre Kunden zu versenden. Schützen Sie inaktive und geparkte Domains mit einem restriktiven DMARC-Eintrag.
Empfohlener Eintrag für eine Domain, von der keine E-Mails versendet werden
v=DMARC1; p=reject; sp=reject; np=reject; adkim=s; aspf=s
Was dies bewirkt:
- p=ablehnen; sp=ablehnen; np=ablehnen: Alle unberechtigten E-Mails ablehnen
- adkim=s; aspf=s: Erfordert strikte Übereinstimmung (keine lockere Übereinstimmung)
- No rua=: Berichte werden nicht überwacht (Domäne sendet keine Berichte)
Warum Domains, von denen keine E-Mails versendet werden, ins Visier genommen werden
Angreifer können ähnliche Domains registrieren oder inaktive Domains in Ihrem Portfolio kompromittieren. Eine geparkte Domain ohne DMARC-Eintrag erscheint wie ein leichtes Ziel für Spoofing. Die pauschale Einstellung von „p=reject“ verhindert:
- Phishing-E-Mails, die von Ihren Domains „company.old“ oder „company.test“ versendet werden
- Reputationsschaden
- Unentdeckter Missbrauch (ohne Meldung würde man nie erfahren, dass er stattgefunden hat)
Nächste Schritte nach der Veröffentlichung von DMARC
Die Veröffentlichung mit p=none (Überwachungsmodus) bietet keinen Schutz, sondern dient lediglich der Datenerfassung. Um Ihre Domain vor Spoofing und Phishing zu schützen, müssen Sie schrittweise zur Durchsetzung übergehen.
Dreistufiger Ansatz:
- Überwachung (p=keine): Überprüfen Sie die DMARC-Berichte über einen Zeitraum von 1–2 Wochen. Ermitteln Sie alle legitimen Absender und Dritte, die in Ihrem Namen E-Mails versenden (SaaS-Tools, Marketingplattformen, Ticketingsysteme).
- Übergangsphase (p = Quarantäne): Verdächtigen Datenverkehr in den Spam-Ordner verschieben. Diese Phase 1–4 Wochen beibehalten und dabei das Meldevolumen beobachten. Wenn legitime E-Mails in Quarantäne gelangen, haben Sie einen Absender gefunden, bei dem eine SPF- oder DKIM-Konfiguration erforderlich ist.
- Durchsetzen (p=ablehnen): Nicht autorisierte E-Mails vollständig ablehnen. Weichen Sie erst dann auf diese Vorgehensweise um, nachdem Sie sichergestellt haben, dass alle legitimen Absender erfasst sind.
DMARC-Verwaltung in großem Maßstab für mehrere Domains
Wenn Sie mehrere Domains verwalten, ist das Bearbeiten von DNS-Einträgen einzeln zeitaufwendig und fehleranfällig. Die Hosted-DMARC-Lösung von PowerDMARC automatisiert die Verwaltung der Einträge für Ihr gesamtes Portfolio.
Vorteile:
- Verwalten Sie eine unbegrenzte Anzahl von Domains über ein einziges Dashboard
- Massenaktualisierungen von Richtlinien (einheitliches „p=reject“ für 50 Domains gleichzeitig)
- KI-gestützte Bedrohungsanalyse erkennt Spoofing-Versuche
- Erstklassige Einarbeitung und kompetenter Support
Erfahren Sie mehr über Hosted DMARC.
Häufig gestellte Fragen
1. Brauche ich DMARC, wenn ich bereits SPF und DKIM nutze?
Ja. SPF und DKIM dienen der Authentifizierung einzelner Mechanismen, aber ohne DMARC gibt es keine Richtlinie, die den Empfängern vorgibt, wie sie vorgehen sollen, wenn diese Prüfungen fehlschlagen. DMARC ermöglicht zudem eine aggregierte Berichterstattung, ohne die Sie keinen Einblick darin haben, wer E-Mails von Ihrer Domain versendet.
2. Was passiert, wenn ich keinen DMARC-Eintrag habe?
Ohne DMARC treffen empfangende Server ihre eigenen Entscheidungen bezüglich nicht authentifizierter E-Mails, wodurch Ihre Domain anfälliger für Spoofing und Phishing wird. Mehrere E-Mail-Dienstleister (ESPs) verlangen von Massenversendern die Nutzung von DMARC, und das Fehlen dieser Funktion kann die Zustellbarkeit erheblich beeinträchtigen.
3. Gilt DMARC automatisch auch für Subdomains?
Subdomains übernehmen die DMARC-Richtlinie der übergeordneten Domain, sofern diese nicht überschrieben wird. Verwenden Sie das sp=-Tag, um eine andere Richtlinie für bestehende Subdomains festzulegen, und das np=-Tag (neu in RFC 9989), um eine Richtlinie für noch nicht existierende Subdomains festzulegen. Die Einstellung „sp=reject“ bei gleichzeitiger Beibehaltung von „p=quarantine“ ist ein gängiges Verfahren für einen strengeren Schutz von Subdomains.
4. Ist DMARC für die Einhaltung der PCI DSS v4.0-Vorgaben erforderlich?
PCI DSS v4.0, das im Jahr 2025 vollständig in Kraft trat, schreibt für Unternehmen, die Zahlungskartendaten verarbeiten, Maßnahmen zum Schutz vor Phishing vor. Auch wenn DMARC für die Einhaltung der Vorschriften nicht ausdrücklich vorgeschrieben ist, kann die Implementierung dieser Technologie Ihnen dabei helfen, die Anforderungen zu erfüllen.

