Wie man DMARC-Berichte liest: Typen, Tools und Tipps

Phishing ist für 90 % aller Cyberangriffe verantwortlich. Daher ist es für Sie und Ihr Team verstehen müssen, wie man DMARC-Berichte liest, um Ihre Daten und Ihren Ruf zu schützen.

DMARC Berichte (Domain-based Message Authentication, Reporting, and Conformance) bieten detaillierte Einblicke in die Authentifizierung Ihrer E-Mails und helfen Ihnen, Ihre E-Mail-Sicherheit genau im Auge zu behalten. Durch die Bestätigung, dass E-Mails wirklich von vertrauenswürdigen Quellen stammen, spielt DMARC eine Schlüsselrolle beim Blockieren von Phishing und Spoofing die Ihrer Marke schaden und Ihre Kunden gefährden könnten.

Dieser Blog führt Sie durch die Interpretation von DMARC-Berichten und erklärt, wie die Verwendung der richtigen Tools diesen Prozess vereinfachen kann, sodass Sie Ihre Domain schützen und Ihre E-Mail-Sicherheit mit Zuversicht stärken können.

Was ist ein DMARC-Bericht?

DMARC-Berichte sind Diagnoseberichte, die von empfangenden Mail-Servern erstellt werden und Ihnen zeigen, wie Ihre E-Mails im Internet authentifiziert werden. Sie bieten einen klaren Überblick über das E-Mail-Verhalten und den E-Mail-Fluss, einschließlich der SPF- und DKIM-Authentifizierungsergebnisse für Nachrichten, die von einer DMARC-fähigen Domain gesendet wurden.

Diese Berichte beruhen auf zwei Schlüsseltechnologien:

• SPF (Sender Policy Framework) prüft, ob eine E-Mail von einem autorisierten Server gesendet wird.
• DKIM (DomainKeys Identified Mail) prüft, ob der Inhalt der E-Mail während der Übertragung verändert wurde.

Zusammen zeigen diese Überprüfungen, ob Ihre E-Mails echt oder potenziell betrügerisch sind.

So aktivieren Sie DMARC-Berichte (Schritt für Schritt)

Bevor Sie DMARC-Berichte lesen können, müssen Sie einen DMARC-Eintrag einrichten, der den Mailbox-Anbietern mitteilt , wohin Ihre Berichte gesendet werden sollen.

Schritt 1: Veröffentlichen Sie einen DMARC-Eintrag

Erstellen Sie einen DNS-TXT-Eintrag für: _dmarc.IhreDomain.com

Beginnen Sie mit dem Überwachungsmodus: v=DMARC1; p=none; rua=mailto:[email protected];

Schritt 2: Berichtsempfänger hinzufügen (zuerst rua)

• rua (Aggregierte Berichte): Dies ist der primäre DMARC-Berichtskanal, auf den sich die meisten Organisationen verlassen.
• ruf (forensische Berichte): Optional. Die Unterstützung variiert je nach Anbieter und kann Datenschutzbedenken aufwerfen, sodass viele Organisationen darauf verzichten oder sie nur vorsichtig einsetzen.

Beispiel mit beiden (nur wenn Sie forensische Berichte verwenden möchten):

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

Schritt 3: Entscheiden Sie, wie Sie Berichte erhalten möchten

Sie haben zwei praktische Möglichkeiten:

• Spezielle Mailbox: Nützlich für Tests, aber Rohberichte werden als XML-Anhänge versendet und sind in großem Umfang schwer zu verwalten.
• DMARC-Berichtstool: Empfohlen für die kontinuierliche Überwachung, Filterung und umsetzbare Dashboards.

Schritt 4: Bestätigen Sie, dass die Berichte eintreffen.

Aggregierte Berichte werden oft innerhalb von 24 bis 48 Stunden angezeigt, abhängig von der DNS-Propagierung und den Berichtszyklen des Mailbox-Anbieters. Wenn nichts ankommt, überprüfen Sie Folgendes:

• der DMARC-Eintrag korrekt veröffentlicht ist,
• Das Zielpostfach/-dienst kann Nachrichten empfangen.
• und Ihre Domain versendet aktiv E-Mails.

Sobald Sie die Berichte aktiviert haben, können Sie sie lesen. 

So lesen Sie DMARC-Berichte

DMARC-Berichte werden in der Regel im XML-Format als Anhang zu E-Mails mit Betreffzeilen wie „DMARC-Bericht“ versendet. Die Rohberichte sind zwar nicht direkt lesbar, aber wenn man ihre Struktur versteht, lassen sich daraus wertvolle Erkenntnisse gewinnen. 

Möglicherweise finden Sie auch Ressourcen wie die Wissensdatenbank von PowerDMARC hilfreich, um zu erfahren, wie Sie Ihre Berichte einrichten und interpretieren können. 

So lesen Sie DMARC-Berichte:

Verstehen des DMARC-XML-Formats

Ein typischer DMARC-XML-Bericht enthält die folgenden wichtigen Abschnitte:

• Quell-IP: Die IP-Adresse des sendenden Servers
• Richtlinie bewertet: Die auf der Grundlage Ihrer DMARC-Richtlinie ergriffenen Maßnahmen
• SPF- und DKIM-Ergebnisse: Ob jede Prüfung bestanden wurde oder nicht
• Angaben zur Domäne: Die an der Übertragung und Authentifizierung beteiligten Domänennamen

Entschlüsselung der Schlüsselelemente in einem Rohbericht

Konzentrieren Sie sich bei der Überprüfung eines Berichts auf diese kritischen Bereiche:

• Quelle_IP: Woher die E-Mail stammt
• policy_evaluated: Was Ihre DMARC-Richtlinie entschieden hat (z. B. keine, Quarantäne, Ablehnung)
• spf und dkim: Ergebnisse zeigen „bestanden“ oder „nicht bestanden“. „Bestanden“ bedeutet, dass die E-Mail die Authentifizierungsstandards erfüllt hat, während „nicht bestanden“ auf Probleme hinweist, die auf Spoofing oder Fehlkonfigurationen hindeuten könnten.

Rechnen Sie mit praktischen Herausforderungen bei Rohberichten.

Bei der direkten Arbeit mit XML-Dateien treten häufig einige Hindernisse auf:

• Berichte können komprimiert (.zip oder .gz)
• Domains mit hohem Datenaufkommen können sehr große Dateien generieren.
• Sie erhalten häufig mehrere Berichte von verschiedenen Anbietern, die denselben Tag abdecken.

Aus diesem Grund verzichten die meisten Teams auf manuelle Kontrollen, sobald das Berichtsvolumen steigt.

Identifizierung von Problemen anhand der Daten (SPF, DKIM, Alignment)

Achten Sie auf diese Fehlereinfach deshalb, weil SPF oder DKIM nicht richtig eingerichtet waren. Marketing-Tools, CRM-Systeme, Newsletter-Plattformen und Helpdesk-Tools müssen zu Ihrem SPF-Eintrag hinzugefügt oder mit ihren DKIM-Schlüsseln konfiguriert werden, um DMARC konsistent zu bestehen. Diese Fehler treten besonders häufig nach der Einführung eines neuen Tools, einer Domainänderung oder einer Aktualisierung auf Seiten des Anbieters auf.

Warnzeichen:

• Fehler in SPF- oder DKIM-Prüfungen -Prüfungen
• Zuordnungsprobleme, wenn die sendende Domäne nicht mit der authentifizierten Domäne übereinstimmt
• Verdächtige Absender-IPs, die nicht zu Ihren bekannten E-Mail-Quellen

Diese Flags könnten Versuche signalisieren, sich als Ihrer Domain.

Lesen Sie, wie Jordi Altimira (Leiter Technische Implementierung & Kundenerfolg bei Pablo Herreros) mit PowerDMARC eine Domain-Sicherheitsbewertung von 100 %erreicht hat.

Fallstudie lesen 15-tägige Testversion starten

Arten von DMARC-Berichten

DMARC-Berichte werden hauptsächlich in zwei Arten bereitgestellt: aggregierte Berichte (RUA) und forensische Berichte (RUF). Beide dienen unterschiedlichen Zwecken, und die meisten Organisationen stützen sich für die kontinuierliche Überwachung in erster Linie auf aggregierte Berichte.

1. DMARC-Gesamtberichte (RUA)

DMARC-Gesamtberichte bieten einen Überblick über die DMARC-Analysen und -Aktivitäten für eine Domain. Sie umfassen:

• Informationen über die Anzahl der Nachrichten, die die DMARC-Authentifizierung bestanden oder nicht bestanden haben
• Die IP-Adressen der sendenden Mailserver
• Der Authentifizierungsstatus der Mechanismen, die zur Verifizierung der E-Mail-Nachricht verwendet werden

Diese Informationen helfen Ihnen dabei Ihnen dabei, Spammer und nicht autorisierte Drittanbieter zu erkennen, die Ihren Domainnamen missbräuchlich verwenden.

Um die Interpretation dieser Berichte noch einfacher zu machen, sind die aggregierten Berichtsansichten von PowerDMARC besser lesbar und verständlicher, da sie vereinfacht und in Diagrammen und Tabellen mit erweiterten Anzeige- und Filteroptionen organisiert sind. Um unsere lesbaren aggregierten Berichte zu aktivieren, kontaktieren Sie uns noch heute!

2. DMARC-Forensikberichte (RUF)

DMARC-Forensikberichte, auch bekannt als Fehlerberichte, liefern detaillierte Informationen über einzelne E-Mail-Nachrichten, die die DMARC-Authentifizierung nicht bestanden haben. In einigen Fällen können die forensischen DMARC-Berichte Folgendes enthalten:

• Die gesamte E-Mail-Nachricht
• Der Authentifizierungsstatus
• Der Grund für das Scheitern der nicht autorisierten Nachricht

Fehlerberichte in DMARC sind besonders nützlich bei der Untersuchung spezifischer forensischer Vorfälle, wie z. B. potenzieller E-Mail-Betrug, Missbrauch von Domainnamen und Identitätsdiebstahl.

Fehlerberichte können manchmal sensible Informationen enthalten, was zu Datenschutzbedenken führen kann, wenn ein Angreifer Zugriff darauf erhält. Aus diesem Grund hat PowerDMARC die PGP-Verschlüsselung für diese Berichte eingeführt, um sicherzustellen, dass nur Sie Zugriff auf die sensiblen Inhalte haben.

DMARC-Berichtsfelder erklärt

DMARC-Aggregatberichte (RUA) werden in der Regel im XML-Format übermittelt und enthalten mehrere „Datensätze“. Jeder Datensatz repräsentiert die E-Mail-Aktivität einer bestimmten Absenderquelle (in der Regel eine IP-Adresse) und zeigt, wie diese Quelle im Hinblick auf Ihre DMARC-Richtlinie abgeschnitten hat. Sobald Sie die Bedeutung der wichtigsten Felder kennen, wird es viel einfacher, legitime Absender zu identifizieren, unbefugte Nutzung zu erkennen und Probleme bei der SPF/DKIM-Ausrichtung zu beheben.

Wichtige DMARC-Felder, die Sie in aggregierten Berichten (RUA) sehen werden

Wie diese Felder zusammenwirken

Ein häufiger Fehler besteht darin, DMARC als einfache „SPF-Pass/DKIM-Pass”-Prüfung zu betrachten. DMARC überprüft auch, ob SPF oder DKIM mit der Domain in header_from. Aus diesem Grund kann es vorkommen, dass SPF oder DKIM „pass“ anzeigen, DMARC für diesen Datensatz jedoch weiterhin fehlschlägt.

Verwenden Sie diese Kombinationen, um Datensätze schnell zu interpretieren:

• DMARC-Pass: SPF oder DKIM bestehen und stimmen überein mit header_from
• DMARC-Fehler: Weder SPF noch DKIM erreichen eine Übereinstimmung mit header_from
• SPF bestanden, aber DMARC fehlgeschlagen: SPF kann bestehen, aber das envelope_from Domäne stimmt nicht überein mit header_from
• DKIM bestanden, aber DMARC fehlgeschlagen: DKIM kann bestehen, aber die dkim_domain stimmt nicht mit header_from
• Hohe Datenmenge von einer unbekannten Quelle_ip: Weist häufig auf einen nicht autorisierten Absender, ein übersehenes System oder einen falsch konfigurierten Drittanbieter-Dienst hin.

Sobald Sie diese Felder verstanden haben, wird das Lesen von DMARC-Berichten viel praktischer. Der nächste Schritt besteht darin, die Datensätze in der Reihenfolge ihrer Priorität zu überprüfen, beginnend mit den Quellen, die das höchste Volumen oder die höchsten Fehlerquoten aufweisen.

Häufig auftretende Probleme in DMARC-Berichten

DMARC-Gesamtberichte decken häufig Probleme auf, die sich auf die Authentifizierung, die Domänensicherheit und die Zustellbarkeit von E-Mails auswirken. Dies sind die Probleme , die am häufigsten auftreten, und was sie bedeuten.

• Fehlende SPF- oder DKIM-Übereinstimmung: Dies tritt auf, wenn E-Mails SPF oder DKIM bestehen, die verwendeten Domains jedoch nicht mit der Domain übereinstimmen, die die Empfänger im „Von”-Header sehen. Eine Nichtübereinstimmung führt dazu, dass DMARC fehlschlägt, selbst wenn die zugrunde liegenden Authentifizierungsprüfungen erfolgreich sind. In den meisten Fällen besteht die Lösung darin, Ihre Versanddienste so zu konfigurieren, dass der Return-Path (SPF-Identität) und/oder die DKIM-Signaturdomain mit der From-Domain übereinstimmen, und die Änderung dann durch Ihre nächste Runde von Sammelberichten zu bestätigen.
• Nicht autorisierte Absender: DMARC-Berichte können Server anzeigen, die ohne Ihre Erlaubnis E-Mails in Ihrem Namen ohne Ihre Erlaubnis E-Mails versenden. Dabei kann es sich um alte Systeme, falsch konfigurierte Dienste von Drittanbietern oder böswillige Akteure handeln. Die Identifizierung und Entfernung nicht autorisierter Absender ist entscheidend, um Ihrer Domain vor Spoofing.
• Falsch konfigurierte E-Mail-Dienste (Marketingplattformen, CRMs, Ticketing-Tools usw.): Oftmals scheitern legitime Dienste bei der Authentifizierung einfach deshalb, weil SPF oder DKIM nicht korrekt eingerichtet wurden. Marketing-Tools, CRM-Systeme, Newsletter-Plattformen und Helpdesk-Tools müssen zu Ihrem SPF-Eintrag hinzugefügt oder mit ihren DKIM-Schlüsseln konfiguriert werden, um DMARC konsistent zu bestehen.
• Hohe Fehlerquoten und was sie bedeuten: Ein hoher Prozentsatz fehlgeschlagener E-Mails in Ihren DMARC-Berichten deutet auf erhebliche Probleme hin. Dies könnte auf Identitätsdiebstahl, Fehlausrichtung oder wichtige Absender hinweisen, die nicht authentifiziert sind. Hohe Fehlerquoten erfordern sofortige Aufmerksamkeit, um Zustellungsverluste und potenziellen Missbrauch Ihrer Domain.

Bewährte Praktiken für die Verwaltung von DMARC-Berichten

Der Profi-Tipp lautet: die Analyse Ihrer DMARC-Berichte zu automatisieren, um Zeit zu sparen und manuelle Fehler zu vermeiden. Im Übrigen befolgen Sie diese empfohlenen Vorgehensweisen:

Parsing mit Tools automatisieren

DMARC-Sammelberichte werden im XML-Format bereitgestellt, das manuell schwer zu lesen sein kann. Mit einem DMARC-Analysetool wird die Analyse automatisiert und konvertiert Berichte in Dashboards oder Zusammenfassungen und hilft Ihnen Ihnen dabei, Abweichungen, nicht autorisierte Absender oder Muster zu erkennen, die Sie möglicherweise übersehen haben.

Wöchentliche oder monatliche Überprüfung der Berichte

Eine konsequente Überprüfung stellt sicher, , dass Sie neue Probleme frühzeitig erkennen. Wöchentliche Überprüfungen eignen sich gut für Domänen mit hohem Datenaufkommen, während monatliche Überprüfungen für kleinere Umgebungen ausreichend sind. Durch regelmäßige Überwachung stellen Sie sicher, dass Ihre Versandquellen authentifiziert und aufeinander abgestimmt bleiben, während sich Ihre Konfiguration weiterentwickelt.

Behalten Sie den Überblick über IP-Quellen und Absender von Dritten

DMARC-Berichte zeigen jeden Server, der E-Mails in Ihrem Namen versendet, selbst solche, die Sie vielleicht vergessen haben. Die Verfolgung dieser IPs hilft Ihnen dabei, herauszufinden, welche Absender legitim sind und welche entfernt, authentifiziert oder genauer überprüft werden müssen. Dies ist besonders wichtig, wenn Sie mehrere Tools gleichzeitig verwenden, wie Marketingplattformen, CRMs oder Ticketingsysteme, die alle E-Mails unter Ihrer Domain versenden.

Aufrechterhaltung der Angleichung über alle Entsendedienste hinweg

Jeder von Ihnen genutzte Dienst , den Sie verwenden, muss SPF oder DKIM bestehen und mit Ihrer Domain übereinstimmen; Andernfalls schlägt DMARC fehl, auch wenn alles andere in Ordnung zu sein scheint. Es kann leicht passieren, dass man die eine oder andere Plattform übersieht (insbesondere ältere Integrationen). Daher lohnt es sich, doppelt zu überprüfen, ob jede einzelne mit den richtigen SPF-Include-Anweisungen oder DKIM-Schlüsseln konfiguriert ist. Wenn alle Absender korrekt aufeinander abgestimmt sind, wird die gesamte Authentifizierungskette wesentlich stabiler. Dadurch bleiben die Fehlerquoten niedrig und Ihre Domain wird vor Missbrauch geschützt Ihre Domain vor Missbrauch.

Nächster Schritt

Das Verständnis von DMARC-Berichten ist entscheidend für den Schutz Ihrer E-Mail-Domain vor Spoofing- und Phishing-Angriffen. Wenn Sie die Schritte in dieser Anleitung befolgen, können Sie Ihre E-Mail-Authentifizierung effektiv überwachen und Maßnahmen gegen Bedrohungen ergreifen.

Wichtige Maßnahmen, die jetzt zu ergreifen sind:

1. Aktivieren Sie DMARC-Berichte, indem Sie Ihre DNS-Einträge mit rua/ruf-Tags einrichten.
2. Verwenden Sie automatisierte Tools, um die Analyse und Interpretation von Berichten zu vereinfachen.
3. Legen Sie einen regelmäßigen Überprüfungsplan fest (wöchentlich oder monatlich).
4. Führen Sie ein Verzeichnis aller autorisierten E-Mail-Absender.
5. Setzen Sie nach und nach strengere DMARC-Richtlinien durch, wenn sich Ihre Authentifizierung verbessert.

Sind Sie bereit, Ihre E-Mail-Sicherheit zu vereinfachen? Tools wie der DMARC Report Reader von PowerDMARC wandeln komplexe XML-Daten in klare, umsetzbare Erkenntnisse um, die Ihnen helfen, Ihre Domain vor Phishing und Spoofing zu schützen.

Häufig gestellte Fragen (FAQs)

1. Wie tragen DMARC-Berichte zur Verbesserung der E-Mail-Sicherheit bei?

Sie zeigen Ihnen, welche E-Mails die Authentifizierung bestehen oder nicht bestehen, und helfen Ihnen so, Spoofing- oder Phishing-Versuche, die auf Ihre Domain abzielen, zu erkennen und zu stoppen.

2. Wie oft werden DMARC-Berichte erstellt?

Auf der PowerDMARC-Plattform werden DMARC-Berichte je nach Wunsch täglich, wöchentlich oder monatlich erstellt und organisiert Ihrer Präferenz

3. Wie kann ich meinen DMARC-Score verbessern?

Sie können Ihr DMARC-Ergebnis verbessern, indem Sie Authentifizierungsprobleme beheben, Ihr SPF und DKIM abgleichen und schrittweise strengere DMARC-Richtlinien durchsetzen.

4. Welche Maßnahmen kann ich auf Grundlage von DMARC-Berichten ergreifen?

Sie können nicht autorisierte Absender identifizieren, Ihre E-Mail-Einstellungen anpassen und betrügerische E-Mails blockieren.

5. Was bedeutet es, wenn ich einen DMARC-Bericht erhalte?

Es bedeutet, dass ein Empfänger Details darüber mitteilt, wie Ihre E-Mails authentifiziert werden und ob fehlgeschlagene Prüfungen aufgetreten sind.

6. Warum erhalte ich DMARC-Sammelberichte?

Sie erhalten DMARC-Sammelberichte, weil Sie einen DMARC-Eintrag mit einem rua-Tag veröffentlicht haben. Diese Berichte werden von E-Mail-Anbietern versendet, damit Sie überwachen können, wie Ihre Domain für die E-Mail-Authentifizierung verwendet wird.

7. Wie kann ich meinen DMARC-Bericht überprüfen?

Sie können Ihre DMARC-Berichte einsehen, indem Sie auf die in Ihrem rua-Tag angegebene E-Mail-Adresse zugreifen oder ein DMARC-Analysetool verwenden, das die XML-Daten automatisch verarbeitet und visualisiert, um die Interpretation zu erleichtern.

8. Wer erstellt DMARC-Berichte?

DMARC-Berichte werden von empfangenden E-Mail-Servern und großen E-Mail-Anbietern wie Gmail, Yahoo, Outlook und anderen E-Mail-Diensten, die E-Mails von Ihrer Domain verarbeiten, erstellt und versendet.

9. Wohin sollen DMARC-Berichte gesendet werden?

DMARC-Berichte können an die E-Mail-Adresse gesendet werden, die im rua-Tag Ihres Ihrem DMARC-Eintrag

Hierfür haben Sie zwei Möglichkeiten:

1. Ein dediziertes Postfach die Sie erstellen (z. B. [email protected]).
2. Ein DMARC-Analysedienst eines Drittanbieters. Dies ist die empfohlene Option, da sie die komplexen XML-Berichte zu benutzerfreundlichen Dashboards verarbeiten.

10. Wer versendet DMARC-Berichte?

DMARC-Berichte werden von empfangenden Mail-Servern und Mailbox-Anbietern gesendet.

• Über
• Neueste Beiträge

Maitham Al Lawati

Cybersecurity-Experte, CEO bei PowerDMARC

Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)

• E-Mail-Phishing und DMARC-Statistiken: E-Mail-Sicherheitstrends für 2026 – 6. Januar 2026
• So beheben Sie „Kein SPF-Eintrag gefunden“ im Jahr 2026 – 3. Januar 2026
• SPF Permerror: So beheben Sie zu viele DNS-Lookups – 24. Dezember 2025