Was ist DMARC? Definition, Funktionsweise und Bedeutung

von

Zuletzt aktualisiert:
12 Lesezeit: 12 Minuten
Was ist DMARC? Definition, Funktionsweise und Bedeutung

Wichtigste Erkenntnisse

  • DMARC schützt Domains vor Phishing und Spoofing, indem es die SPF- und DKIM-Authentifizierung in Verbindung mit der Durchsetzung von Richtlinien und der Berichterstellung nutzt.
  • DMARC unterliegt nun dem RFC 9989 (2026), der den RFC 7489 ersetzt; bestehende gültige DMARC-Einträge müssen jedoch nicht migriert werden.
  • Die Veröffentlichung eines DMARC-Eintrags reicht nicht mehr aus. Durchsetzungsrichtlinien (Quarantäne oder Ablehnung) werden zunehmend von Gmail, Yahoo, Microsoft, PCI DSS und anderen Compliance-Rahmenwerken gefordert.
  • DMARC-Berichte bieten Einblick in alle E-Mail-Quellen, die Ihre Domain nutzen, und helfen dabei, unbefugte Absender zu identifizieren und sicher Maßnahmen zur Durchsetzung zu ergreifen.
  • Die weltweite Verbreitung ist hoch, doch die Durchsetzung hinkt noch hinterher, sodass viele Organisationen trotz vorhandener DMARC-Einträge weiterhin anfällig für Domain-Spoofing sind.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein E-Mail-Authentifizierungsprotokoll, mit dem Domaininhaber steuern können, was mit E-Mails geschieht, die die SPF- und DKIM-Prüfungen nicht bestehen. Es schützt Ihre Domain vor Phishing, Spoofing und Business E-Mail Compromise, indem es empfangende Mailserver anweist, nicht authentifizierte E-Mails zu überwachen, unter Quarantäne zu stellen oder zurückzuweisen.

DMARC unterliegt nun dem RFC 9989 (Mai 2026), der den ursprünglichen RFC 7489 ersetzt hat. Es ist wichtig zu beachten, dass bestehende Einträge, die vor der Aktualisierung des RFC korrekt konfiguriert waren, weiterhin gültig bleiben, sodass keine Migration erforderlich ist.

Wofür steht DMARC? Vollständige Bezeichnung

DMARC steht für „Domain-based Message Authentication, Reporting, and Conformance“. Jeder Teil des Namens entspricht einer Funktion, die das Protokoll tatsächlich erfüllt:

  • Domänenbasiert: DMARC funktioniert auf Domänenebene und nicht auf der Ebene einzelner E-Mails. Sie veröffentlichen eine einzige DNS-Richtlinie, die für alle E-Mails gilt, die vorgeben, von Ihrer Domäne zu stammen.
  • E-Mail-Authentifizierung: Dabei wird überprüft, ob eine E-Mail tatsächlich von Ihrer Domain stammt, indem die SPF- und DKIM-Ergebnisse kontrolliert werden und geprüft wird, ob diese mit der angezeigten „Von:“-Adresse übereinstimmen.
  • Berichterstellung: Die Empfangsserver senden Ihnen Berichte zurück, aus denen hervorgeht, wer E-Mails unter Ihrer Domain versendet und wie diese bei der Authentifizierung abgeschnitten haben.
  • Einhaltung: Sie veröffentlichen eine Richtlinie (keine, Quarantäne oder Ablehnung), in der Sie den Empfängern mitteilen, wie sie mit E-Mails umgehen sollen, die die Überprüfung nicht bestehen, und diese halten sich daran.

Wie funktioniert DMARC?

DMARC prüft, ob eine eingehende E-Mail die SPF- oder DKIM-Prüfung besteht, und stellt sicher, dass das Ergebnis mit der im „Von:“-Feld angegebenen Domain übereinstimmt. Anschließend wendet es die Richtlinie an, die Sie im DNS veröffentlicht haben. Es baut auf SPF und DKIM auf und ergänzt die beiden Protokolle um die Funktionen, die ihnen allein fehlen.

Wenn eine E-Mail eintrifft, die angeblich von Ihrer Domain stammt, führt der empfangende Server beide Prüfungen durch, stellt fest, ob eine der beiden mit Ihrer „From:“-Domain übereinstimmt, und wendet dann die von Ihnen im DNS veröffentlichte Richtlinie an. Abschließend sendet er Ihnen einen Bericht, damit Sie genau nachvollziehen können, was passiert ist.

Der Ablauf der E-Mail-Authentifizierung: SPF, DKIM und DMARC

Hier ist der gesamte Ablauf, vom Versand einer E-Mail bis hin zum Bericht, der wieder in Ihrem Posteingang landet:

  1. E-Mail wird versendet: Ein Server versendet eine Nachricht, wobei Ihre Domain in der Absenderadresse („Von:“) angegeben ist.
  2. SPF-Prüfung: Der empfangende Server prüft, ob die Absender-IP-Adresse im SPF-Eintrag Ihrer Domain autorisiert ist.
  3. DKIM-Prüfung: Der Empfänger überprüft die DKIM-Signatur der Nachricht anhand des in Ihrem DNS veröffentlichten öffentlichen Schlüssels und stellt so sicher, dass die Nachricht während der Übertragung nicht verändert wurde.
  4. DMARC-Prüfung und Übereinstimmung: DMARC wertet beide Ergebnisse aus und überprüft, ob die durch SPF oder DKIM authentifizierte Domain mit der Domain im sichtbaren „From:“-Header übereinstimmt. Mindestens eine der beiden Prüfungen muss bestanden werden und die Domains müssen übereinstimmen.
  5. Richtlinie wird angewendet: Basierend auf Ihrer veröffentlichten Richtlinie wird die Nachricht entweder wie gewohnt zugestellt (keine), in den Spam-Ordner verschoben (Quarantäne) oder blockiert (abgelehnt).
  6. Bericht wurde gesendet: Der Empfänger sendet Ihnen in der Regel innerhalb von 24 Stunden einen zusammenfassenden Bericht zurück, in dem die erfassten Daten zusammengefasst sind.

Was ist DMARC-Alignment?

Die Zuordnung ist der Mechanismus, der eine erfolgreiche SPF- oder DKIM-Prüfung mit der Domain verknüpft, die Ihr Empfänger tatsächlich im „Von:“-Feld sieht. Eine Nachricht kann die SPF- oder DKIM-Prüfung für eine bestimmte Domain bestehen, während im „Von:“-Header weiterhin Ihre Domain angezeigt wird. Die Zuordnung schließt diese Lücke, indem sie verlangt, dass die authentifizierte Domain mit der „Von:“-Domain übereinstimmt.

Es gibt zwei Ausrichtungsmodi:

  • Bei der lockeren Zuordnung (Standardeinstellung) wird eine Übereinstimmung auf der Ebene der Unternehmensdomain akzeptiert, sodass mail.example.com mit example.com abgeglichen wird.
  • Eine strikte Ausrichtung erfordert eine exakte Übereinstimmung.

Ohne diese Abstimmung könnte ein Angreifer die SPF-Prüfung mithilfe einer von ihm kontrollierten Domain umgehen und dennoch Ihre „From:“-Adresse fälschen – genau diese Lücke sollte durch DMARC geschlossen werden.

Weitere Informationen zu den beiden Alignment-Typen, den erforderlichen Konfigurationen und den jeweiligen Anwendungsfällen finden Sie in unserem DMARC-Alignment-Leitfaden.

DMARC, SPF und DKIM: Wie sie zusammenwirken

DMARC ist kein Ersatz für SPF und DKIM, sondern stützt sich auf diese. Die drei Protokolle befassen sich jeweils mit einem anderen Aspekt des Authentifizierungsproblems, und DMARC verbindet sie miteinander.

Weitere Informationen zu den einzelnen Protokollen finden Sie in unserem Leitfaden zu DMARC, SPF und DKIM.

Was SPF bewirkt

SPF (Sender Policy Framework) legt fest, welche IP-Adressen und Server berechtigt sind, E-Mails für Ihre Domain zu versenden. Der empfangende Server gleicht die „Envelope-From“-Adresse (Return-Path) mit Ihrem veröffentlichten SPF-Eintrag ab. Die Einschränkung dabei: SPF schützt nicht den sichtbaren „From:“-Header, den die Empfänger tatsächlich lesen. Daher kann eine Nachricht die SPF-Prüfung bestehen, obwohl sie eine gefälschte „From:“-Domain anzeigt.

Was DKIM leistet

DKIM (DomainKeys Identified Mail) versieht jede Nachricht mit einer kryptografischen Signatur. Empfänger überprüfen diese Signatur anhand eines öffentlichen Schlüssels in Ihrem DNS, um sicherzustellen, dass die Nachricht während der Übertragung nicht manipuliert wurde, und um die signierende Domain zu identifizieren. Die Einschränkung dabei: Wie SPF kann auch DKIM für eine Domain gelten, die sich von der im „From:“-Header angegebenen unterscheidet, sodass es allein nicht ausreicht, um „From:“-Spoofing zu verhindern.

Warum DMARC so wichtig ist

SPF und DKIM dienen der Authentifizierung einzelner Mechanismen, doch keines der beiden Verfahren gibt dem Empfänger vor, wie er bei einer fehlgeschlagenen Überprüfung vorgehen soll, und keines verknüpft das Ergebnis mit der sichtbaren „From:“-Domäne. DMARC füllt diese Lücken: Es verknüpft SPF und DKIM miteinander, verlangt die Übereinstimmung mit der „From:“-Domäne, veröffentlicht eine Durchsetzungsrichtlinie und aktiviert die Berichterstellung. Ohne DMARC kann Spoofing auch dann noch erfolgreich sein, wenn sowohl SPF als auch DKIM implementiert sind.

Vergleichstabelle: SPF vs. DKIM vs. DMARC

ProtokollWas dabei überprüft wirdWo es aussieht, als obWas es schütztWas es allein nicht leisten kann
SPFOb die Absender-IP autorisiert istAbsender-E-Mail-Adresse / Rückantwort-E-Mail-AdresseAutorisiert legitime AbsenderserverSchützt den sichtbaren „From:“-Header nicht
DKIMEine kryptografische Signatur der NachrichtDKIM-Signature-Header + öffentlicher DNS-SchlüsselIntegrität der Nachricht und Identität der SignaturdomäneKann auch dann durchgehen, wenn die „From:“-Domäne gefälscht ist
DMARCSPF/DKIM-Ergebnisse + Übereinstimmung mit dem „Von:“-Feld:DNS-Richtlinie unter _dmarc.yourdomain.comVerbindet beides miteinander, legt Richtlinien fest und ermöglicht die BerichterstattungOhne SPF und DKIM gibt es nichts zu bewerten.

DMARC-Richtlinien: Keine, Quarantäne und Ablehnen

Ihre DMARC-Richtlinie legt fest, wie empfangende Server mit E-Mails umgehen sollen, die die Authentifizierung und die Übereinstimmungsprüfung nicht bestehen. Es gibt drei DMARC-Richtlinien, wobei jede eine strengere Durchsetzung vorsieht als die vorherige.

p=keine (Monitor)

Es werden keine Zwangsmaßnahmen ergriffen; unzustellbare E-Mails werden weiterhin zugestellt, und es werden Berichte versendet, damit Sie sehen können, wer in Ihrem Namen E-Mails versendet. Dies ist der richtige erste Schritt für jede neue Bereitstellung.

Hinweis zur Einhaltung von Vorschriften: „p=none“ erfüllt weder die Anforderungen von Gmail und Yahoo für Massenversender noch die Anti-Phishing-Anforderungen gemäß PCI DSS v4.0, deren Einhaltung erwartet wird.

p = Quarantäne (weiche Durchsetzung)

E-Mails, die die Überprüfung nicht bestehen, werden in den Spam- oder Junk-Ordner statt in den Posteingang weitergeleitet. Legitime, authentifizierte E-Mails sind davon nicht betroffen. Hinweis zur Compliance: Die Quarantäne entspricht den Anforderungen von Gmail, Yahoo, Microsoft und PCI DSS v4.0.

p = Ablehnung (vollständige Durchsetzung)

E-Mails, deren Zustellung fehlschlägt, werden sofort abgelehnt und gelangen weder in den Posteingang noch in den Spam-Ordner. Dies ist die höchste Schutzstufe. Hinweis zur Compliance: Die Einstellung „reject“ erfüllt alle aktuellen Anforderungen. Ein Vorbehalt gemäß RFC 9989: Für Domänen, deren Nutzer Beiträge in Mailinglisten veröffentlichen, kann „p=quarantine“ eine sicherere dauerhafte Richtlinie sein, da Mailinglisten häufig die Authentifizierung in einer Weise unterlaufen, die dazu führt, dass legitime E-Mails abgelehnt werden.

Was sind DMARC-Berichte?

DMARC ist das einzige E-Mail-Authentifizierungsprotokoll, das Ihnen Transparenzdaten liefert. Diese Berichte sind der ausschlaggebende Grund dafür, DMARC zunächst mit „p=none“ zu veröffentlichen, bevor Sie zur Durchsetzung übergehen: Sie zeigen Ihnen alle Absender, die E-Mails unter Ihrer Domain versenden, sodass Sie sich vergewissern können, dass alle legitimen Absender die Überprüfung bestehen, bevor Sie mit dem Blockieren beginnen.

Aggregierte Berichte (RUA)

Aggregierte Berichte sind tägliche XML-Zusammenfassungen, die von jedem empfangenden Mailserver gesendet werden, der E-Mails aus Ihrer Domain verarbeitet hat. Jeder Bericht listet die sendenden IP-Adressen, das Nachrichtenvolumen, den SPF-Erfolg/Misserfolg, den DKIM-Erfolg/Misserfolg, das Gesamt-DMARC-Ergebnis und die angewandte Maßnahme auf. Sie sind wichtig, da Sie Ihre Richtlinie ohne sie nicht sicher weiterentwickeln können: Sie müssen sicherstellen, dass jeder legitime Absender die Prüfung besteht, bevor Sie E-Mails in Quarantäne verschieben oder ablehnen. Das manuelle Auswerten von Roh-XML ist nicht skalierbar, daher nutzen die meisten Teams unseren DMARC Report Analyzer, um Berichte in übersichtliche Dashboards umzuwandeln.

Wenn Sie noch keine Erfahrung mit Berichten haben, sehen Sie sich unsere Schritt-für-Schritt-Anleitung zum Lesen von DMARC-Berichten an, um eine vereinfachte Anleitung zu erhalten.

Fehlerberichte (RUF)

Fehlerberichte (früher als „Forensikberichte“ bezeichnet) sind Benachrichtigungen auf Nachrichtenebene, die versendet werden, wenn eine einzelne E-Mail die DMARC-Prüfung nicht besteht. Sie sind detaillierter als aggregierte Berichte. Hinweis zum Datenschutz: Google, Microsoft und Yahoo versenden keine Fehlerberichte mehr; sollten Sie also welche für Ihre Domain erhalten, stammen diese von kleineren Anbietern. Fügen Sie das „ruf=“-Tag nur dann in Ihren Eintrag ein, wenn Sie einen Prozessor eingerichtet haben, der diese Berichte verarbeiten kann.

Wovor schützt DMARC?

Die Hauptaufgabe von DMARC besteht darin, Angreifer daran zu hindern, E-Mails zu versenden, die den Anschein erwecken, als stammten sie direkt von Ihrer Domain. Damit werden drei der schädlichsten Arten von E-Mail-basierten Angriffen abgedeckt.

E-Mail-Spoofing

Bei einem Spoofing-Angriff versendet jemand eine E-Mail, die scheinbar genau von Ihrer Domain stammt, zum Beispiel [email protected]. DMARC mit der Einstellung „p=reject“ blockiert diese Nachrichten, bevor sie einen Posteingang erreichen, da sie die Authentifizierung und Übereinstimmungsprüfung für Ihre Domain nicht bestehen.

Phishing-Angriffe

Phishing-E-Mails geben sich als Ihre Marke aus, um Kunden oder Mitarbeiter dazu zu verleiten, Zugangsdaten oder Geld preiszugeben. Wenn DMARC durchgesetzt wird, können Angreifer Ihre Domain nicht als Absender verwenden, wodurch die überzeugendste Variante einer Phishing-E-Mail verhindert wird: eine, die tatsächlich so aussieht, als stamme sie von Ihnen.

Business Email Compromise (BEC)

Bei BEC-Angriffen geben sich die Angreifer als CEO, CFO oder vertrauenswürdiger Lieferant aus, um Überweisungen oder sensible Daten anzufordern. DMARC verhindert BEC-Angriffe mit exakter Domain, bei denen der Angreifer Ihre echte Domain fälscht. Beachten Sie, dass das Fälschen des Anzeigenamens – bei dem der sichtbare Name zwar „Name des CEO“ lautet, die zugrunde liegende Domain jedoch in keinem Zusammenhang steht – von DMARC nicht verhindert wird, da der Angreifer Ihre Domain gar nicht verwendet.

Vorteile der Einführung von DMARC

  1. Verhindert Phishing und Spoofing mit exakten Domänen: Die Vortäuschung einer falschen Domäne wird blockiert, bevor sie die Empfänger erreicht, wodurch die überzeugendsten Angriffe auf Ihre Kunden und Mitarbeiter abgewehrt werden.
  2. Schützt den Ruf Ihrer Marke: Kunden erhalten keine betrügerischen E-Mails mehr, die scheinbar von Ihnen stammen, wodurch das Vertrauen in Ihre Marke gewahrt bleibt.
  3. Verbessert die Zustellbarkeit von E-Mails: Authentifizierte E-Mails genießen das Vertrauen der Empfänger und landen mit größerer Wahrscheinlichkeit im Posteingang, während nicht authentifizierte E-Mails als Spam markiert werden.
  4. Bietet vollständige Transparenz: In den zusammengefassten Berichten werden alle Quellen angezeigt, die E-Mails von Ihrer Domain versenden, einschließlich vergessener Dienste und nicht autorisierter Absender.
  5. BIMI aktivieren: Eine Richtlinie vom Typ „p=quarantine“ oder „p=reject“ ist Voraussetzung dafür, dass Ihr BIMI-Markenlogo in unterstützten Posteingängen neben Ihren Nachrichten angezeigt wird.
  6. Erfüllt Compliance-Anforderungen: DMARC auf Durchsetzungsebene trägt zur Einhaltung von PCI DSS v4.0, den Regeln für Massenversender von Google, Yahoo und Microsoft sowie der CISA-Richtlinie BOD 18-01 bei.

DMARC-Konformitätsanforderungen im Jahr 2026

Die Einhaltung gesetzlicher Vorschriften ist mittlerweile der Hauptgrund dafür, dass Unternehmen DMARC implementieren. In den letzten zwei Jahren haben die großen E-Mail-Anbieter und mehrere Aufsichtsbehörden DMARC von einer empfohlenen Vorgehensweise zu einer verbindlichen Vorschrift gemacht. Entscheidend ist, dass „p=none“ keine der unten aufgeführten Vorgaben erfüllt und dass die Behörden die Durchsetzung der Vorschriften (Quarantäne oder Ablehnung) erwarten.

Gmail und Yahoo (seit Februar 2024)

Seit Februar 2024 verlangen Gmail und Yahoo von Massenversendern – also solchen, die täglich 5.000 oder mehr Nachrichten versenden –, dass sie SPF, DKIM und einen veröffentlichten DMARC-Eintrag verwenden. Gmail hat im November 2025 damit begonnen, nicht konforme E-Mails dauerhaft zurückzuweisen. Ein Eintrag mit „p=none“ erfüllt zwar die Mindestanforderungen für die Veröffentlichung eines DMARC-Eintrags, doch erst die Durchsetzung (Quarantäne oder Zurückweisung) bietet echten Schutz.

Microsoft Outlook (seit Mai 2025)

Microsoft hat am 5. Mai 2025 damit begonnen, die Authentifizierungsanforderungen für Massenversender durchzusetzen. Dabei werden E-Mails mit hohem Versandvolumen, die die Authentifizierung nicht bestehen, direkt auf SMTP-Ebene zurückgewiesen, anstatt sie in den Spam-Ordner weiterzuleiten. DMARC ist Teil der Authentifizierungsanforderungen von Microsoft für Absender von mehr als 5.000 Nachrichten pro Tag.

PCI DSS v4.0 (ab März 2025)

Anforderung 5.4.1 des PCI DSS v4.0.1 schreibt für Organisationen, die Zahlungskartendaten verarbeiten, automatisierte Anti-Phishing-Mechanismen vor, darunter DMARC sowie SPF und DKIM. Diese Anforderung trat am 31. März 2025 in Kraft. Ein reiner Überwachungs-Eintrag („p=none“) erfüllt diese Anforderung nicht; Auditoren erwarten eine Richtlinie zur Durchsetzung.

CISA BOD 18-01 (Domains der US-Bundesbehörden)

Die verbindliche Betriebsrichtlinie 18-01 (CISA BOD 18-01) der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) schreibt vor, dass alle Domains der Exekutive auf Bundesebene DMARC mit der Einstellung „p=reject“ implementieren müssen. Es handelte sich dabei um die erste behördliche Vorschrift, die eine Richtlinie auf Durchsetzungsebene vorschrieb und nicht nur deren Einführung.

Informationen zu den weltweiten Compliance-Anforderungen und -Empfehlungen finden Sie in unserem umfassenden Leitfaden zu den DMARC-Compliance-Anforderungen.

DMARC-Einführung im Jahr 2026: Wichtige Statistiken

Die E-Mail-Phishing- und DMARC-Statistiken von PowerDMARC für das Jahr 2026 zeigen ein klares globales Muster: Phishing nimmt weiter zu, die DMARC-Einführung breitet sich zwar aus, ist aber noch lange nicht flächendeckend, und die meisten Domains, die DMARC einsetzen, erreichen nie die Durchsetzungsstufe, die Spoofing tatsächlich blockiert.

  • Nur etwa 18 % der weltweit 10 Millionen meistbesuchten Domains veröffentlichen einen gültigen DMARC-Eintrag, und lediglich rund 4 % setzen eine Ablehnungsrichtlinie vollständig durch (Analyse aus dem 2. Quartal 2025), sodass die überwiegende Mehrheit der Domains dem Risiko von Spoofing und Markenmissbrauch ausgesetzt ist.
  • Von den Domains, die DMARC veröffentlichen, verzichten die meisten auf eine Durchsetzung: 68,2 % verwenden „p=none“, 12,1 % „p=quarantine“ und nur 19,6 % eine strenge „p=reject“-Richtlinie.
  • Auch die Bereitschaft zur Durchsetzung ist gering: Nur 25,5 % der Absender mit „p=none“ planen, ihre Richtlinien innerhalb eines Jahres zu verschärfen, während 61 % angeben, dass sie dies nur tun werden, wenn sie durch eine Vorschrift oder geschäftliche Erfordernisse dazu gezwungen werden.
  • Die Authentifizierungsvorschriften zeigen dort Wirkung, wo sie am meisten ins Gewicht fallen: Nachdem Google und Yahoo Anforderungen für Massenversender eingeführt hatten, verzeichnete Google einen Rückgang der nicht authentifizierten Nachrichten, die bei Gmail eintrafen, um 65 % – allein im Jahr 2024 waren es 265 Milliarden weniger nicht authentifizierte Nachrichten.
  • Es steht viel auf dem Spiel: Ein durch Phishing verursachter Sicherheitsvorfall kostet im Durchschnitt rund 4,88 Millionen Dollar, und durch „Business Email Compromise“ (BEC) entstanden gemeldete Verluste in Höhe von rund 2,9 Milliarden Dollar.

RFC 9989: Aktualisierung des DMARC-Standards für 2026

Im Mai 2026 löste RFC 9989 RFC 7489 als DMARC-Standard ab – dies war die erste größere Aktualisierung seit der ursprünglichen Spezifikation im Jahr 2015. Da bestehende Einträge weiterhin gültig bleiben, ist keine Migration erforderlich. Domain-Inhaber, die veraltete Tags verwenden, können jedoch in Erwägung ziehen, ihre Einträge anzupassen, um den neuen Präzisierungen Rechnung zu tragen.

Es handelt sich um eine Reihe kleinerer praktischer Verbesserungen an den Tags, die Sie in einem Datensatz veröffentlichen können. Hier sind einige der wichtigsten Änderungen:

  • pct= ist veraltet. Das alte Prozent-Tag, das Empfänger anwies, Ihre Richtlinie nur auf einen Teil der fehlerhaften E-Mails anzuwenden, wurde entfernt, da es sich je nach Anbieter unvorhersehbar verhielt.
  • „np=“ wurde hinzugefügt, um eine separate Richtlinie für nicht existierende Subdomains festzulegen, von denen überhaupt keine legitimen E-Mails versendet werden. Auf diese Weise können Sie E-Mails von Subdomains ablehnen, die Angreifer möglicherweise erfinden, ohne dass dies Auswirkungen auf Ihre aktiven, E-Mails versendenden Subdomains hat.
  • „t=“ wurde hinzugefügt, um einen Test oder eine schrittweise Einführung zu kennzeichnen. Damit steht Ihnen eine übersichtlichere und standardisierte Methode zur Verfügung, um die Durchsetzung voranzutreiben, als dies mit dem veralteten „pct=“-Tag der Fall war.

Eine vollständige Übersicht über die Änderungen finden Sie in unserem Leitfaden zu DMARC RFC 9989.

Einschränkungen von DMARC: Wovor es keinen Schutz bietet

DMARC ist äußerst wirksam gegen Spoofing mit exakter Domain, stellt jedoch keine vollständige Lösung zur Betrugsbekämpfung dar, und es lohnt sich, klar zu machen, was damit nicht abgedeckt wird:

  • Es schützt nicht vor Angriffen durch ähnlich klingende Domains, bei denen ein Angreifer eine ähnlich klingende Domain wie beispielsweise „paypa1.com“ oder „paypal-secure.com“ registriert, da DMARC für Ihre Domain keine Autorität über eine andere Domain hat.
  • Dies verhindert jedoch nicht den Missbrauch von Anzeigenamen, bei dem der sichtbare Absendername zwar wie Ihre Marke lautet, die zugrunde liegende E-Mail-Domain jedoch nichts damit zu tun hat.
  • Bei kompromittierten legitimen Konten hilft dies nicht weiter, da E-Mails, die von einem echten, gekaperten Konto gesendet werden, korrekt authentifiziert werden.

Für Bedrohungen, die über den Anwendungsbereich von DMARC hinausgehen, können Sie unseren „Lookalike Domain Checker“ nutzen, um mit der Untersuchung zu beginnen und Lookalike-Domains, Typosquatting sowie Homoglyphen-Angriffe aufzudecken.

Erste Schritte mit DMARC

Sie müssen keine komplizierten Einstellungen vornehmen, um loszulegen. Mit den folgenden Schritten kommen Sie gleich in Gang:

1. Überprüfen Sie Ihre SPF-, DKIM- und DMARC-Einträge: Wie bereits erläutert, benötigt DMARC entweder SPF oder DKIM (vorzugsweise beides), um zu funktionieren. Bevor Sie also loslegen, müssen Sie überprüfen, ob diese Einträge vorhanden sind. Führen Sie Ihre Domain durch unseren Domain-Analyzer, um auf einen Blick zu überprüfen, ob Sie über bestehende SPF-, DKIM- und DMARC-Einträge verfügen und wie Ihre aktuelle Eintragspolitik aussieht.

2. Erstellen Sie einen Eintrag, falls noch keiner vorhanden ist: Nutzen Sie unseren DMARC-Generator, um einen Eintrag mit gültiger Syntax zu erstellen, und veröffentlichen Sie diesen in Ihrem DNS, um das Protokoll zu aktivieren. Legen Sie Ihre Richtlinie zunächst immer auf „none“ fest und gehen Sie erst dann schrittweise zur Durchsetzung über, sobald Sie von Ihrer Zustellbarkeit überzeugt sind.

3. Fügen Sie den Eintrag zu Ihrem DNS hinzu: Öffnen Sie Ihre DNS-Verwaltungskonsole und veröffentlichen Sie den DMARC-Eintrag unter _dmarc.yourdomain.com als TXT-Eintrag.

4. Mit dem DMARC-Checker überprüfen: Führen Sie schließlich nach 24 Stunden eine Überprüfung Ihrer Domain mit unserem DMARC-Checker durch, um sicherzustellen, dass Ihr veröffentlichter Eintrag gültig und fehlerfrei ist.

Eine vollständige Anleitung zur Einrichtung von DMARC finden Sie im verlinkten Blogbeitrag, der eine detaillierte Schritt-für-Schritt-Anleitung enthält.

Abschließende Worte

DMARC hat sich von einer Sicherheitsempfehlung zu einer grundlegenden Erwartung entwickelt. Es signalisiert der Welt, dass E-Mails, die Ihre Domain tragen, tatsächlich von Ihnen stammen, und wird zunehmend von den E-Mail-Anbietern und Aufsichtsbehörden gefordert, denen Ihr Unternehmen bereits unterliegt. Das Protokoll selbst ist nicht kompliziert: Veröffentlichen Sie einen Eintrag, lesen Sie Ihre Berichte und verschärfen Sie Ihre Richtlinien, sobald sich Ihre legitimen Absender daran halten. Die eigentliche Arbeit besteht darin, den Schritt von der Überwachung zur Durchsetzung zu vollziehen.

PowerDMARC ist eine Full-Stack-DMARC-Management-Plattform, die den gesamten Prozess der Überwachung und Durchsetzung für Sie übernimmt, Rohdaten aus Berichten in aussagekräftige Erkenntnisse umwandelt und Ihnen dabei hilft, den Status „p=reject“ zu erreichen, ohne dabei legitime E-Mails zu blockieren.

Häufig gestellte Fragen

Was ist DMARC?

Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, der unter _dmarc.yourdomain.com veröffentlicht wird. Er enthält Ihre DMARC-Richtlinie sowie die E-Mail-Adressen, an die Berichte gesendet werden sollen. Das Erstellen und Veröffentlichen eines DMARC-Eintrags ist der erste Schritt bei der Implementierung von DMARC für Ihre Domain.

Ist DMARC im Jahr 2026 vorgeschrieben?

Ja, für Massenversender. Gmail und Yahoo verlangen seit Februar 2024 die DMARC-Konformität für Domains, die täglich 5.000 oder mehr E-Mails versenden, und Microsoft hat im Mai 2025 mit der Durchsetzung begonnen. PCI DSS v4.0 schreibt seit März 2025 die DMARC-Konformität für Verarbeiter von Zahlungskartendaten vor. Auch für Nicht-Massenversender wird DMARC dringend empfohlen, um Ihre Domain vor Spoofing zu schützen.

Was ist der Unterschied zwischen DMARC, SPF und DKIM?

SPF überprüft, welche IP-Adressen E-Mails für eine Domain versenden dürfen. DKIM überprüft die Integrität der Nachricht mithilfe einer kryptografischen Signatur. DMARC verbindet beide Verfahren miteinander, gleicht sie mit der sichtbaren „From:“-Domain ab, fügt eine Durchsetzungsrichtlinie hinzu und ermöglicht die Berichterstellung. Alle drei Verfahren sind für eine vollständige E-Mail-Authentifizierung erforderlich.

Was verhindert DMARC?

DMARC verhindert E-Mail-Spoofing mit identischer Domain, bei dem ein Angreifer E-Mails versendet, die scheinbar von Ihrer Domain stammen. Dies umfasst Phishing-E-Mails, Markenimitationen und Business-E-Mail-Compromise. Es verhindert jedoch keine Angriffe mit ähnlichen Domains oder das Fälschen des Anzeigenamens, bei denen eine andere Domain verwendet wird.

Was passiert, wenn ich kein DMARC habe?

Ohne DMARC erhalten empfangende Server keine Richtlinienanweisungen für E-Mails von Ihrer Domain, die die SPF- und DKIM-Prüfung nicht bestehen, sodass Ihre Domain bei Phishing-Angriffen beliebig gefälscht werden kann. Seit 2024 wirkt sich das Fehlen von DMARC auch auf die Zustellbarkeit für Massenversender aus, da Gmail und Yahoo Ihre legitimen E-Mails möglicherweise ablehnen oder herabstufen.

Verhindert DMARC alle Phishing-Angriffe?

Nein. DMARC verhindert zwar Phishing-Angriffe, bei denen genau Ihre Domain gefälscht wird, kann jedoch keine Angriffe durch ähnliche Domains, den Missbrauch von Anzeigenamen oder Angriffe über kompromittierte legitime Konten verhindern. DMARC sollte daher nur eine Komponente einer umfassenderen E-Mail-Sicherheitsstrategie sein und nicht die einzige.