DMARC einrichten: Schritt-für-Schritt-Anleitung zur Konfiguration

Nur 53,8 % der Unternehmen weltweit haben DMARC in ihrer Domäne konfiguriert, was bedeutet, dass fast die Hälfte ohne eine wichtige Schutzschicht gegen E-Mail-basierte Angriffe arbeitet. Viele Unternehmen suchen immer noch nach Möglichkeiten, DMARC einzurichten, ohne zu wissen, dass das Fehlen dieses Protokolls einen einfachen Einstiegspunkt für Spoofing- und Phishing-Versuche darstellt.

Die E-Mail-Authentifizierung ist das Herzstück der Domänensicherheit. SPF, DKIM und DMARC arbeiten zusammen, um zu überprüfen, wer E-Mails von Ihrer Domäne senden darf und wie verdächtige Nachrichten behandelt werden sollten. SPF autorisiert bestimmte IP-Adressen für den Versand, DKIM wendet eine kryptografische Signatur an, die die Integrität der Nachricht nachweist, und DMARC verwendet beides, um Richtlinien durchzusetzen und die empfangenden Server anzuweisen, was zu tun ist, wenn eine Nachricht die Authentifizierung nicht besteht. Selbst mit SPF und DKIM bleibt eine Domäne ohne DMARC ungeschützt, da es keine Anweisung gibt, wie fehlgeschlagene Nachrichten behandelt werden sollen.

Voraussetzungen für die DMARC-Einrichtung

Bevor wir mit der DMARC-Einrichtung beginnen, sollten Sie sicherstellen, dass Sie die folgenden Voraussetzungen erfüllt haben:

1. Zugriff auf Ihre DNS-Verwaltungskonsole: Dies ist unerlässlich für das Erstellen und Veröffentlichen von DNS-Einträgen, insbesondere wenn Sie die Authentifizierung für einen in Ihrem Konto verfügbaren Domainnamen einrichten.
2. Liste der autorisierten E-Mail-Absender: Identifizieren Sie alle Dienste und Server, die E-Mails in Ihrem Namen versenden, um unbeabsichtigte Blockierungen zu vermeiden.
3. Vorhandener SPF- und/oder DKIM-Eintrag in Ihrem DNS: Mindestens einer dieser Einträge sollte bereits in Ihrem DNS konfiguriert sein, da DMARC auf diese Einträge für die E-Mail-Authentifizierung angewiesen ist. SPF (Sender Policy Framework) teilt dem empfangenden Server mit, von welcher Domäne die E-Mail stammen soll, während DKIM (DomainKeys Identified Mail) ist eine Methode zur digitalen Signierung Ihrer E-Mails, um die Authentizität des Absenders zu überprüfen.

Warnung: Wenn Sie SPF/DKIM auslassen, wird DMARC nicht funktionieren. Vergewissern Sie sich, dass Sie eines oder vorzugsweise beide richtig konfiguriert haben, bevor Sie mit den nächsten Schritten fortfahren.

DMARC einrichten - Schritt für Schritt

Um diesen Datensatz kostenlos zu erstellen, verwenden Sie unser DMARC-Generator-Tool, wie im Screenshot oben gezeigt. Sobald Sie das Tool öffnen, sehen Sie Pflichtfelder, die Sie ausfüllen müssen, bevor der Datensatz erstellt werden kann.

Um mit der Einrichtung des DMARC-DNS zu beginnen, befolgen Sie die unten aufgeführten Schritte.

Schritt 1: Erstellen des DMARC-Eintrags

Sie beginnen mit der Erstellung eines DNS-TXT-Eintrag der Ihre DMARC-Richtlinie enthält und das Protokoll in Ihrer Domäne aktiviert. Ein DNS-TXT-Eintrag ist ein einfacher Texteintrag in den DNS-Einstellungen Ihrer Domäne, der wichtige Informationen für externe Server speichert, z. B. Anweisungen zur E-Mail-Authentifizierung. Wenn er zur DNS-Zonendatei Ihrer Domäne hinzugefügt wird, teilt er den empfangenden E-Mail-Servern mit, wie sie Nachrichten behandeln sollen, die behaupten, von Ihrer Domäne zu stammen.

Um diesen Datensatz kostenlos zu erstellen, verwenden Sie unser DMARC-Generator-Tool, wie im Screenshot oben gezeigt. Sobald Sie das Tool öffnen, sehen Sie die erforderlichen Felder, die Sie ausfüllen müssen, bevor der Datensatz erstellt werden kann.

Lesen Sie, wie Jordi Altimira (Leiter Technische Implementierung & Kundenerfolg bei Pablo Herreros) mit PowerDMARC eine Domain-Sicherheitsbewertung von 100 %erreicht hat.

Fallstudie lesen 15-tägige Testversion starten

Schritt 2: Wählen Sie eine geeignete DMARC-Richtlinie für Ihre E-Mails

Das p=-Policy-Tag ist ein obligatorischer Bestandteil jedes DMARC-Eintrags. Es teilt den empfangenden E-Mail-Servern mit, was mit E-Mails geschehen soll, die SPF- und DKIM-Prüfungen nicht bestehen. Wenn dieses Tag fehlt, wird Ihr DMARC-Eintrag ungültig und kann nicht durchgesetzt werden.

Schritt 3: Aktivieren Sie die Berichterstattung und klicken Sie auf "Generieren". 

Um Ihren E-Mail-Verkehr und die Authentifizierungsergebnisse zu verfolgen, aktivieren Sie die DMARC-Aggregatberichte (rua), indem Sie die E-Mail-Adresse angeben, an die Sie diese Berichte erhalten möchten. DMARC-Aggregatberichte sind tägliche XML-Zusammenfassungen, die von Posteingangsanbietern gesendet werden und die zeigen, welche Server in Ihrem Namen E-Mails senden, wie diese Nachrichten mit SPF und DKIM übereinstimmen und ob nicht autorisierte Quellen versucht haben, Ihre Domäne zu verwenden. Nachdem Sie Ihre Berichtsadresse eingegeben haben, klicken Sie auf "Generieren", um Ihren Eintrag zu erstellen.

Schritt 4: Veröffentlichen und Validieren der Datensatzeinrichtung

Nachdem Sie den TXT-Eintrag erstellt haben, klicken Sie auf die Schaltfläche „Kopieren“, um die vollständige Syntax zu kopieren, und öffnen Sie dann Ihre DNS-Verwaltungskonsole.

Erstellen Sie einen neuen TXT-Datensatz.

Geben Sie in das Feld Host/Name _dmarc (oder _dmarc.yourdomain.com, je nach DNS-Anbieter) ein.

Fügen Sie in das Feld Wert/Daten die von Ihnen erstellte DMARC-Datensatzsyntax ein.

Speichern Sie den Datensatz, um ihn zu veröffentlichen und Ihre DMARC-Einrichtung abzuschließen.

Weitere Details finden Sie in unserer vollständigen Anleitung zur Veröffentlichung eines DMARC-Eintrag im DNS. Denken Sie daran, dass es bis zu 48 Stunden dauern kann, bis DNS-Updates vollständig übertragen sind.

Überprüfen Ihrer DMARC-Einrichtung

Nachdem Sie DMARC eingerichtet haben, müssen Sie Ihre Konfigurationen überprüfen, um sicherzustellen, dass der sehr häufige Fehler „Kein DMARC-Eintrag gefunden“ nicht auftritt .

Um Ihr Setup zu überprüfen, können Sie das kostenlose DMARC-Checker- Tool von PowerDMARC verwenden. So verwenden Sie es:

1. Geben Sie Ihren Domänennamen in das Zielfeld ein (wenn die URL Ihrer Website beispielsweise https://company.com lautet, lautet Ihr Domänenname company.com ).
2. Klicken Sie auf die Schaltfläche "Nachschlagen".
3. Sehen Sie sich Ihre Ergebnisse auf dem Bildschirm an

Wir empfehlen diese Verifizierungsmethode als Alternative zur manuellen Verifizierung, da sie schneller, genauer und problemloser abläuft.

Erweiterte Tipps zur DAMRC-Konfiguration

Nachdem Sie die Grundeinrichtung abgeschlossen haben, finden Sie hier einige erweiterte Tipps zur Verbesserung Ihrer Implementierung:

DMARC-Richtlinien erklärt (Welche soll ich wählen?)

Um zu verhindern, dass Ihre E-Mails gefälscht werden, müssen Sie eine DMARC-Richtlinie konfigurieren . Sie können zwischen drei Hauptrichtlinien wählen:

• Keine (p=keine): Bei E-Mails, die die DMARC-Authentifizierung nicht bestehen, wird keine Aktion ausgeführt. Dies ist ideal für die Überwachung des E-Mail-Verkehrs während der Ersteinrichtung.
• Quarantäne(p=quarantine): Abgelehnte E-Mails werden als verdächtig markiert und in den Spam-/Junk-Ordner verschoben.
• Ablehnen (p=reject): Fehlgeschlagene E-Mails werden blockiert und überhaupt nicht zugestellt.

Hinweis: Wählen Sie eine "Keine"-Richtlinie, um Ihre E-Mails zu überwachen, bevor Sie sich für eine vollständige Durchsetzung entscheiden (p=Quarantäne oder p=Ablehnung).

Ausrichtungsmodi (Streng vs. Entspannt)

Entspannte Ausrichtung

• SPF entspannter Abgleich (aspf=r):
  Der Abgleich ist erfolgreich, wenn die Domäne im Return-Path (SPF-authentifizierte Domäne) dieselbe Organisationsdomäne wie die Domäne in der Absenderadresse hat.
  Die Organisationsdomäne ist in der Regel die Basisdomäne (z. B. example.com), ohne Subdomänen.

  Beispiel:
  From: [email protected]
  Return-Path: [email protected]
  ✔ Besteht den entspannten SPF-Abgleich, da beide Domänen die gleiche Organisationsdomäne (example.com) teilen.

• DKIM entspannter Abgleich (adkim=r):
  Der Abgleich ist erfolgreich, wenn die d=-Domäne in der DKIM-Signatur die gleiche organisatorische Domäne wie die Domäne in der Absenderadresse hat.

  Beispiel:
  From: [email protected]
  DKIM-Signatur: d=alerts.example.com
  ✔ Passiert entspannten DKIM-Abgleich, da beide die gleiche Organisationsdomäne (example.com) haben.

Strenge Ausrichtung

• SPF Strict Alignment (aspf=s):
  Die Ausrichtung ist nur dann erfolgreich, wenn die Domäne des Rücksendepfads genau mit der Domäne der Absenderadresse übereinstimmt.

  Beispiel:
  From: [email protected]
  Return-Path: [email protected]
  ✔ Besteht die strenge Ausrichtung.

  Wäre der Return-Path [email protected] oder bounce.mail.example.com, würde die strikte Ausrichtung fehlschlagen.

• DKIM Strict Alignment (adkim=s):
  Der Abgleich ist nur erfolgreich, wenn die d=-Domäne in der DKIM-Signatur genau mit der Domäne in der Absenderadresse übereinstimmt.

  Beispiel:
  Absender: [email protected]
  DKIM-Signatur:[email protected]
  ✔ Besteht den strengen Abgleich.

  Wenn d=alerts.example.com oder bounce.mail.example.com, würde die strenge Ausrichtung fehlschlagen.

Beispiel für die DMARC-Einrichtung

Hier ist ein Beispiel für eine einfache DMARC-Einrichtung:

v=DMARC1; p=ablehnen; rua=mailto:[email protected];

Hinweis : Wenn Sie mit der E-Mail-Authentifizierung beginnen, können Sie Ihre DMARC-Richtlinie (p) auf „Keine“ statt auf „Ablehnen“ belassen, um Ihren E-Mail-Fluss zu überwachen und Probleme zu lösen, bevor Sie zu einer strengen Richtlinie wechseln.

DMARC-Datensatzsyntax und optionale Tags

Die Syntax Ihres DMARC-Setups bestimmt, wie Ihre E-Mails authentifiziert werden und welche Aktionen nach der Verifizierung ausgeführt werden. Sehen wir uns einige grundlegende Mechanismen an:

• v (obligatorisch): Gibt die DMARC-Version an. Muss DMARC1 sein und im Datensatz an erster Stelle stehen.
• p (obligatorisch): Legt die Richtlinie für DMARC-Fehlschläge fest (keine, Quarantäne oder Zurückweisung).
• rua (optional): Gibt die E-Mail-Adresse(n) an, die aggregierte Berichte im Format mailto: erhalten sollen.
• ruf (optional):Gibt die E-Mail-Adresse(n) an, die forensische Fehlerberichte im Format mailto: erhalten sollen.
• adkim (optional): Setzt den DKIM-Ausrichtungsmodus auf r (relaxed) oder s (strict). Standardmodus ist relaxed, wenn nicht definiert. 
• aspf (optional): Setzt den SPF-Ausrichtungsmodus auf r (relaxed) oder s (strict). Standardmodus ist relaxed, wenn nicht definiert. 
• pct (optional): Legt den Prozentsatz der fehlgeschlagenen E-Mails fest, die der DMARC-Richtlinie unterliegen (Standard ist 100).
• fo (optional): Legt fest, wann forensische Berichte gesendet werden. Die Optionen umfassen 0, 1, d und s.

Weitere Informationen finden Sie in unserem ausführlichen Blog zu DMARC-Tags . Stellen Sie sicher, dass die Tags durch Semikolons getrennt sind und keine überflüssigen Leerzeichen enthalten, um die korrekte Formatierung sicherzustellen.

Häufig zu vermeidende Fehler bei der DMARC-Einrichtung

Fehlkonfigurationen bei DMARC sind oft auf Ausrichtungsprobleme, Syntaxfehler oder Lücken in der laufenden Überwachung zurückzuführen. Ein häufiges Problem ist falsch ausgerichtetes SPF oder DKIM. DMARC verlangt, dass mindestens eine der beiden Domänen mit der "Von"-Domäne übereinstimmt. Wenn die Domänen nicht übereinstimmen, können legitime E-Mails nicht authentifiziert werden, obwohl die Einträge vorhanden sind. Dies ist besonders häufig der Fall, wenn Dienste von Drittanbietern ohne ordnungsgemäße Konfiguration in Ihrem Namen senden.

Eine weitere Quelle von Problemen ist falsche Syntax in DMARC-Tags. Selbst ein kleiner Formatierungsfehler, wie ein fehlendes Semikolon, ein nicht unterstütztes Tag oder ein ungültiger Wert, kann den gesamten Datensatz unbrauchbar machen. Da DMARC-Datensätze von Maschinen gelesen werden, kommt es auf Präzision an.

Ein weiteres Problem tritt auf, wenn Organisationen strenge Richtlinien zu früh durchsetzen. Wenn Sie sofort zu p=Quarantäne oder p=Ablehnung übergehen, ohne vorher Ihre aggregierten Berichte zu studieren, kann dies dazu führen, dass legitime E-Mails blockiert werden. Die Berichte geben einen Überblick über alle Absender, die Ihre Domäne benutzen, so dass eine Überprüfung dieser Berichte vor der Verschärfung der Richtlinien dazu beiträgt, versehentliche Störungen zu vermeiden.

Außerdem scheitern viele Einrichtungsversuche, weil RUA- und RUF-E-Mail-Adressen veraltet sind. Diese Berichtsadressen müssen aktiv und zugänglich bleiben, sonst verlieren Sie den Überblick über Ihre Authentifizierungsergebnisse. Wenn der für Berichte verwendete Posteingang deaktiviert oder geändert wird, ohne den DMARC-Eintrag zu aktualisieren, wird die Überwachung unterbrochen und Probleme bleiben unbemerkt.

Die Quintessenz

DMARC ist unerlässlich, um Ihre Domäne, Ihre Kunden und den Ruf Ihrer Marke zu schützen. Mit der richtigen Einrichtung und regelmäßiger Überwachung verhindert es Imitationen, verringert Phishing-Risiken und sorgt dafür, dass Ihre E-Mails vertrauenswürdig bleiben.

Und in einer Landschaft, in der Betrug allgegenwärtig ist, bewirkt eine starke DMARC-Richtlinie mehr als nur die Abwehr von Bedrohungen. Sie sendet ein klares Signal, dass Ihre Domäne die Sicherheit ernst nimmt, dass Sie Angreifern keine Tür offen lassen, durch die sie schlüpfen können.

Wenn Sie DMARC schneller, einfacher und genauer verwalten möchten, sollten Sie PowerDMARC kennenlernen. Unsere Plattform vereinfacht die Einrichtung, liefert klare Berichte und hilft Ihnen, einen starken Schutz für alle Ihre Sendequellen aufrechtzuerhalten. Starten Sie Ihre kostenlose Testversion oder buchen Sie eine Demo, um Ihre Domain noch heute zu sichern.

Häufig gestellte Fragen (FAQs)

Wie lange dauert es, bis DMARC nach der Einrichtung funktioniert?

DMARC beginnt zu funktionieren, sobald Ihre DNS-Änderungen übertragen werden. Dies kann je nach Anbieter zwischen einigen Minuten und 48 Stunden dauern.

Kann ich DMARC ohne DKIM oder SPF einrichten?

Damit DMARC funktioniert, müssen Sie mindestens eines von beiden (SPF oder DKIM) einrichten. Ohne eines der beiden Systeme hat DMARC keine Möglichkeit, Ihre E-Mails zu validieren.

Was passiert, wenn ich eine DMARC-Richtlinie zu früh auf "ablehnen" stelle?

Legitime E-Mails können blockiert werden. Übergang zu einer Ablehnungsrichtlinie vor der Überprüfung von DMARC-Berichte kann dazu führen, dass autorisierte Absender nicht authentifiziert werden.

• Über
• Neueste Beiträge

Maitham Al Lawati

Cybersecurity-Experte, CEO bei PowerDMARC

Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)

• E-Mail-Phishing und DMARC-Statistiken: E-Mail-Sicherheitstrends für 2026 – 6. Januar 2026
• So beheben Sie „Kein SPF-Eintrag gefunden“ im Jahr 2026 – 3. Januar 2026
• SPF Permerror: So beheben Sie zu viele DNS-Lookups – 24. Dezember 2025