DMARC-Setup-Anleitung: So konfigurieren Sie DMARC im Jahr 2025 (ohne E-Mails zu beschädigen)
von
Lesezeit: 8 min
Nur 53,8 % der Unternehmen weltweit verfügen über ein DMARC-Setup in ihrer Domäne, wodurch der Rest anfällig für E-Mail-basierte Bedrohungen ist.
E-Mail-Authentifizierung ist Ihre erste Verteidigungslinie. DMARC, SPF und DKIM sind E-Mail-Authentifizierungsprotokolle, die Spoofing und Phishing-Angriffe verhindern. SPF stellt sicher, dass nur autorisierte IP-Adressen in Ihrem Namen senden können. DKIM fügt eine digitale Signatur hinzu, um die Nachrichtenintegrität zu überprüfen. DMARC baut auf beiden Protokollen auf und weist empfangende Server an, wie mit E-Mails umzugehen ist, die diese Prüfungen nicht bestehen. Ohne DMARC können selbst Domänen mit SPF und DKIM gefälscht werden.
Sparen Sie sich den Aufwand, richten Sie DMARC in wenigen Minuten mit PowerDMARC ein und schützen Sie Ihre Domain noch heute!
Wichtigste Erkenntnisse
- Die DMARC-Einrichtung, die sich auf SPF/DKIM stützt, schützt vor E-Mail-Spoofing und Phishing und sichert den Ruf der Domäne.
- Ein DMARC-Eintrag im DNS definiert Behandlungsrichtlinien (`none`, `quarantine`, `reject`) für nicht autorisierte E-Mails.
- Das korrekte Format des DMARC-Datensatzes (z. B. die obligatorischen Tags "v=DMARC1" und "p=policy") ist entscheidend für einen effektiven Betrieb und die Vermeidung von Zustellungsproblemen.
- Die Aktivierung der DMARC-Berichterstellung (`rua`, `ruf`) bietet wertvolle Einblicke in E-Mail-Flüsse und Authentifizierungsergebnisse für die Überwachung.
- Eine regelmäßige Überprüfung mit Hilfe von Tools gewährleistet eine korrekte Konfiguration, während `p=reject` maximalen Schutz bietet.
Voraussetzungen für die DMARC-Einrichtung
Bevor wir mit der DMARC-Einrichtung beginnen, sollten Sie sicherstellen, dass Sie die folgenden Voraussetzungen erfüllt haben:
- Zugriff auf Ihre DNS-Verwaltungskonsole : Dies ist für die Erstellung und Veröffentlichung von DNS-Einträgen unerlässlich.
- Liste autorisierter E-Mail-Absender : Identifizieren Sie alle Dienste und Server, die in Ihrem Namen E-Mails senden, um eine unbeabsichtigte Blockierung zu vermeiden.
- Vorhandener SPF- und/oder DKIM-Eintrag in Ihrem DNS: Mindestens einer dieser Einträge sollte bereits in Ihrem DNS konfiguriert sein, da DMARC ihn zur E-Mail-Authentifizierung benötigt. SPF (Sender Policy Framework) teilt dem empfangenden Server mit, von welcher Domain die E-Mail zu erwarten ist. DKIM (DomainKeys Identified Mail) hingegen ist eine Methode zur digitalen Signatur Ihrer E-Mails, um die Authentizität des Absenders zu überprüfen.
Achtung : Wenn Sie SPF/DKIM überspringen, funktioniert DMARC nicht. Stellen Sie sicher, dass Sie eines oder vorzugsweise beide ordnungsgemäß konfiguriert haben, bevor Sie mit den nächsten Schritten fortfahren.
Schrittweise DMARC-Einrichtung
Um mit der Einrichtung von DMARC DNS zu beginnen, folgen Sie den unten aufgeführten Schritten:
Schritt 1: Erstellen des DMARC-Eintrags
Sie beginnen mit der Erstellung eines DNS-TXT-Eintrags, der Ihre Richtlinie definiert und die Implementierung festlegt. Dieser Eintrag wird der DNS-Zonendatei Ihrer Domäne hinzugefügt.
Um einen kostenlosen Datensatz zu erstellen, verwenden Sie unser DMARC-Generator -Tool, wie im Screenshot oben gezeigt. Sobald Sie den Tool-Bildschirm öffnen, werden einige obligatorische Kriterien angezeigt, die Sie ausfüllen müssen.
Vereinfachen Sie die DMARC-Einrichtung mit PowerDMARC!
Schritt 2: Wählen Sie eine geeignete DMARC-Richtlinie für Ihre E-Mails
Das p= policy-Tag ist ein obligatorisches Tag, das in Ihrer DMARC-Einrichtung konfiguriert werden muss. Wenn Sie dies weglassen, wird Ihr Datensatz ungültig.
Schritt 3: Aktivieren Sie die Berichterstattung und klicken Sie auf "Generieren".
Um Ihren Mailflow und Ihre Authentifizierungsergebnisse zu überwachen, konfigurieren Sie DMARC-Aggregatberichte (rua), indem Sie eine E-Mail-Adresse angeben, an die Sie Ihre Berichte erhalten möchten. Klicken Sie abschließend auf „Generieren“.
Schritt 4: Veröffentlichen und Validieren der Datensatzeinrichtung
Wenn Sie mit der Erstellung des TXT-Eintrags fertig sind, kopieren Sie die Syntax mit der Schaltfläche „Kopieren“ direkt und wechseln Sie dann zu Ihrer DNS-Verwaltungskonsole.
- Erstellen Sie einen neuen TXT-Datensatz.
- Geben Sie im Feld Host/Name „_dmarc“ (oder „_dmarc.yourdomain.com“, abhängig von Ihrem DNS-Anbieter) ein.
- Fügen Sie in das Feld „Wert/Daten“ die von Ihnen generierte DMARC-Datensatzsyntax ein.
- Speichern Sie den Datensatz, um ihn auf Ihrem DNS zu veröffentlichen und Ihre DMARC-Einrichtung abzuschließen.
Lesen Sie unsere ausführliche Anleitung zum Veröffentlichen eines DMARC-Eintrags in Ihrem DNS, um mehr zu erfahren. Die Verbreitung von DNS-Änderungen kann je nach Anbieter bis zu 48 Stunden dauern.
Überprüfen Ihrer DMARC-Einrichtung
Nachdem Sie DMARC eingerichtet haben, müssen Sie Ihre Konfigurationen überprüfen, um sicherzustellen, dass der sehr häufige Fehler „Kein DMARC-Eintrag gefunden“ nicht auftritt .
Um Ihr Setup zu überprüfen, können Sie das kostenlose DMARC-Checker- Tool von PowerDMARC verwenden. So verwenden Sie es:
- Geben Sie Ihren Domänennamen in das Zielfeld ein (wenn die URL Ihrer Website beispielsweise https://company.com lautet, lautet Ihr Domänenname company.com ).
- Klicken Sie auf die Schaltfläche "Nachschlagen".
- Sehen Sie sich Ihre Ergebnisse auf dem Bildschirm an
Wir empfehlen diese Verifizierungsmethode als Alternative zur manuellen Verifizierung, da sie schneller, genauer und problemloser abläuft.
Erweiterte Tipps zur DAMRC-Konfiguration
Nachdem Sie die Grundeinrichtung abgeschlossen haben, finden Sie hier einige erweiterte Tipps zur Verbesserung Ihrer Implementierung:
DMARC-Richtlinien erklärt (Welche soll ich wählen?)
Um zu verhindern, dass Ihre E-Mails gefälscht werden, müssen Sie eine DMARC-Richtlinie konfigurieren . Sie können zwischen drei Hauptrichtlinien wählen:
- Keine (p=keine): Bei E-Mails, die die DMARC-Authentifizierung nicht bestehen, wird keine Aktion ausgeführt. Dies ist ideal für die Überwachung des E-Mail-Verkehrs während der Ersteinrichtung.
- Quarantäne (p=Quarantäne): Fehlgeschlagene E-Mails werden als verdächtig markiert und in den Spam-/Junk-Ordner verschoben.
- Ablehnen (p=reject): Fehlgeschlagene E-Mails werden blockiert und überhaupt nicht zugestellt.
Hinweis : Wählen Sie zur Überwachung Ihrer E-Mails die Richtlinie „Keine“, bevor Sie die vollständige Durchsetzung (p=Quarantäne oder p=Ablehnen) festlegen.
Ausrichtungsmodi (streng vs. entspannt)
- Entspannte Ausrichtung
SPF Relaxed Alignment: Erfolgreich, wenn die Domäne im Return-Path (SPF-authentifizierte Domäne) dieselbe Organisationsdomäne hat wie die Domäne in der Absenderadresse.
Beispiel:
aspf=r;
Von: [email protected]
Rückweg: [email protected]
Besteht die entspannte SPF-Ausrichtung, da beide die Organisationsdomäne example.com gemeinsam nutzen.
DKIM Relaxed Alignment: Erfolgreich, wenn die d=-Domäne in der DKIM-Signatur dieselbe Organisationsdomäne hat wie die Domäne in der Absenderadresse.
Beispiel:
adkim=r;
Von: [email protected]
DKIM-Signatur: d=alerts.example.com
Besteht die entspannte DKIM-Ausrichtung (dieselbe Organisationsdomäne: example.com ).
- Strikte Ausrichtung
SPF Relaxed Alignment: Erfolgreich, wenn die Domäne im Rückgabepfad (SPF-authentifizierte Domäne) genau mit der Domäne in der Absenderadresse übereinstimmt (nicht nur eine organisatorische Übereinstimmung).
Beispiel:
aspf=s;
Von: [email protected]
Rückweg: [email protected]
Die strikte SPF-Ausrichtung wird bestanden, da beide die Domäne example.com verwenden. Wäre der Rückgabepfad bounce.mail.example.com, würde die strikte Ausrichtung fehlschlagen.
DKIM Relaxed Alignment: Erfolgreich, wenn die d=-Domäne in der DKIM-Signatur genau mit der Domäne in der Absenderadresse übereinstimmt.
Beispiel:
adkim=s;
Von: [email protected]
DKIM-Signatur: d=alerts.example.com
Besteht die strikte DKIM-Ausrichtung (gleiche Domäne: example.com ). Wenn d=Domäne bounce.mail.example.com wäre, würde die strikte Ausrichtung fehlschlagen.
Beispiel für die DMARC-Einrichtung
Hier ist ein Beispiel für eine einfache DMARC-Einrichtung:
v=DMARC1; p=ablehnen; rua=mailto:[email protected];
Hinweis : Wenn Sie mit der E-Mail-Authentifizierung beginnen, können Sie Ihre DMARC-Richtlinie (p) auf „Keine“ statt auf „Ablehnen“ belassen, um Ihren E-Mail-Fluss zu überwachen und Probleme zu lösen, bevor Sie zu einer strengen Richtlinie wechseln.
DMARC-Datensatzsyntax und optionale Tags
Die Syntax Ihres DMARC-Setups bestimmt, wie Ihre E-Mails authentifiziert werden und welche Aktionen nach der Verifizierung ausgeführt werden. Sehen wir uns einige grundlegende Mechanismen an:
- v (obligatorisch): Gibt die DMARC-Version an. Muss DMARC1 sein und zuerst im Datensatz erscheinen.
- p (obligatorisch): Definiert die Richtlinie für DMARC-Fehler (keine, Quarantäne oder Ablehnung).
- rua (optional): Gibt die E-Mail-Adresse(n) an, an die aggregierte Berichte im Format „mailto:“ gesendet werden sollen.
- ruf (optional): Gibt die E-Mail-Adresse(n) an, an die forensische Fehlerberichte im Format „mailto:“ gesendet werden sollen.
- adkim (optional): Legt den DKIM-Ausrichtungsmodus auf r (relaxed) oder s (strict) fest. Der Standardmodus ist entspannt, sofern nicht definiert.
- aspf (optional): Setzt den SPF-Ausrichtungsmodus auf r (relaxed) oder s (strict). Der Standardmodus ist „relaxed“, sofern nicht anders definiert.
- pct (optional): Definiert den Prozentsatz der fehlgeschlagenen E-Mails, die der DMARC-Richtlinie unterliegen (Standard ist 100).
- fo (optional): Steuert, wann forensische Berichte gesendet werden. Mögliche Optionen sind 0, 1, d und s.
Weitere Informationen finden Sie in unserem ausführlichen Blog zu DMARC-Tags . Stellen Sie sicher, dass die Tags durch Semikolons getrennt sind und keine überflüssigen Leerzeichen enthalten, um die korrekte Formatierung sicherzustellen.
Nach der DMARC-Einrichtung: Was ist als Nächstes zu tun?
Nach einer erfolgreichen DMARC-Einrichtung ist es wichtig, Ihre Berichte kontinuierlich zu überwachen, schrittweise zur Durchsetzung überzugehen und dabei Fehler zu beheben.
Wie liest man DMARC-Berichte?
Oben sehen Sie einen kleinen Ausschnitt aus einem DMARC-RUA-Bericht. So analysieren Sie ihn manuell:
- Examine the <domain> and <source_ip> fields to verify your sending sources
- Check the <adkim> and <aspf> fields to confirm the alignment mode configured for your domain.
- Check your DMARC policy in the <p> field
- Check your email authentication results (pass/fail) by checking the <policy_evaluated> sections of the report.
Verwenden Sie einen DMARC-Berichtsanalysator
Melden Sie sich bei PowerDMARC an , um Ihre DMARC-Berichte einfach anzuzeigen und zu analysieren, ohne komplexe XML-Dateien lesen zu müssen . Unser DMARC-Berichtsanalysator hilft Ihnen, Berichte in einem menschenlesbaren Format für detaillierte Transparenz zu visualisieren.
Sicherer Übergang zu p=reject
Beim Einrichten von DMARC ist es wichtig, sicher zur ap=reject -Richtlinie zu wechseln, um Zustellbarkeitsprobleme zu vermeiden. Gehen Sie dazu wie folgt vor:
- Beginnen Sie mit p=none und aktivieren Sie die DMARC-Berichterstattung, um den E-Mail-Verkehr zu überwachen.
- Wechseln Sie nach einigen Wochen zu p=quarantine und erzwingen Sie dies für 50 % Ihres E-Mail-Volumens (mit dem Tag pct=50).
- Setzen Sie es langsam für 100 % Ihres E-Mail-Volumens durch, indem Sie pct=100 konfigurieren (oder die Standardeinstellung beibehalten).
- Erst wenn Sie mit Ihrem Setup zufrieden sind, wechseln Sie für 50 % Ihres E-Mail-Volumens (pct=50) zu p=reject.
- Wenn Sie mit Ihrer Konfiguration zufrieden sind, erzwingen Sie p=reject für 100 % Ihres E-Mail-Volumens (pct=100).
Profi-Tipp : Verwenden Sie unsere gehostete DMARC -Lösung, um sicher zu erzwungenen Richtlinien mit Expertenunterstützung zu wechseln.
Fehlerbehebung bei häufigen Problemen in DMARC-Konfigurationen
| Probleme | Ursachen | Fehlerbehebungen |
|---|---|---|
| E-Mails, bei denen DMARC fehlschlägt | - SPF/DKIM-Fehlausrichtung - E-Mail-Weiterleitung - Spoofing-Versuche - Syntaxfehler | - Verwenden Sie verwaltete DMARC-Lösungen - Konfigurieren Sie sowohl SPF als auch DKIM mit Ihrem DMARC-Setup - Überprüfen Sie Ihre DNS-Einträge mit Tools zur DNS-Eintragsprüfung - Überwachen Sie Ihre Berichte |
| Keine Berichte erhalten | - Ungültige RUA-E-Mail - Der E-Mail-Anbieter des Empfängers unterstützt keine RUF-Berichte | - Stellen Sie sicher, dass Ihre RUA-Mail gültig und aktiv ist |
| SPF Permerror | - Überschreiten des 10-DNS-Lookup-Limits - Überschreiten der Zeichenlängenbeschränkung im SPF-Record - SPF-Syntax und andere Konfigurationsfehler | - Verwendete gehostete SPF -Lösungen - Verwenden Sie SPF-Optimierungsdienste wie Flattening oder vorzugsweise Makros. |
Wie PowerDMARC die Einrichtung von DMARC vereinfacht
| Merkmal | PowerDMARC | DIY-Einrichtung |
|---|---|---|
| Automatisierte Berichte | ✅ Ja | ❌ Manuelles Parsen |
| MTA-STS -Überwachung | ✅ Inklusive | ❌ Zusätzliche Einrichtung |
| Gehostetes SPF, DKIM und DMARC | ✅ Vollständig gehostet | ❌ Selbstverwaltet |
| Hilfe zur DNS-Konfiguration | ✅ Integrierter Assistent | ❌ Manuelle Konfiguration |
| Aggregatberichtsanzeige | ✅ Visuelles Dashboard | ❌ Roh-XML-Berichte |
| Bearbeitung forensischer Berichte | ✅ PGP-Verschlüsselung | ❌ Benötigt einen benutzerdefinierten Parser |
| Warnungen | ✅ Echtzeitwarnungen | ❌ Keine native Alarmierung |
| BIMI -Unterstützung | ✅ Verfügbar | ❌ Komplexe manuelle Einrichtung |
| Domänengruppierung | ✅ Einfache Gruppierung | ❌ Nicht unterstützt |
| Benutzerzugriffsverwaltung | ✅ Rollenbasierte Steuerung | ❌ Manuelle Koordination |
Fallstudie: Wie die Fatty Liver Foundation die Enterprise-DMARC-Einrichtung mit PowerDMARC vereinfachte
„Das von PowerDMARC angebotene Toolset war benutzerfreundlich und übernahm die Konfigurationsaufgaben für Funktionen wie DMARC und DKIM auf sehr intuitive Weise.“ – Wayne Eskridge, CEO, Fatty Liver Foundation
Um die ganze Geschichte darüber zu lesen, wie dieses in den USA ansässige Non-Profit-Unternehmen die Einrichtung und Verwaltung von DMARC vereinfacht hat, sehen Sie sich unsere Fallstudie an .
Häufig gestellte Fragen zur DMARC-Einrichtung
- Kann ich DMARC ohne DKIM oder SPF einrichten?
Nein. DMARC basiert auf den Ergebnissen von SPF- oder DKIM-Authentifizierungsprüfungen (oder beiden). Sie müssen mindestens eines dieser Protokolle (SPF oder DKIM) für Ihre Domain konfigurieren, bevor Sie DMARC implementieren.
- Wie oft sollte ich DMARC-Berichte überprüfen?
Die Häufigkeit Ihrer Überwachung hängt von mehreren Faktoren ab:
- Wenn Sie ein großes Unternehmen oder ein MSSP sind, der die E-Mail-Sicherheit für Ihre Kunden verwaltet, sich in der Anfangsphase der Einführung befinden oder Ihre DMARC-Richtlinie erst kürzlich durchgesetzt haben, empfehlen wir Ihnen, Ihre Berichte regelmäßig zu überprüfen.
- Sobald alles stabil ist, können Sie die Berichte wöchentlich überprüfen und dabei besonders darauf achten, wenn neue Sendequellen hinzugefügt werden.
Cybersecurity-Experte, CEO bei PowerDMARC
Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.
Neueste Beiträge von Maitham Al Lawati (alle anzeigen)
- Erstellen und Veröffentlichen eines DMARC-Datensatzes - 3. März 2025
- Behebung von "Kein SPF-Eintrag gefunden" im Jahr 2025 - 21. Januar 2025
- Wie man einen DMARC-Bericht liest - 19. Januar 2025
