Was ist eine DMARC-Richtlinie? Keine, Quarantäne und Ablehnung

Anfang 2024 haben Google und Yahoo klargestellt, dass dass alle Massenversender eine DMARC Richtlinie einrichten müssen. Diese Anforderung machte die DMARC-Richtlinienkonfiguration von einem technischen Routineschritt zu einer dringenden Priorität für Unternehmen jeder Größe. Nach der Ankündigung begannen Teams damit, ihre DMARC-Richtlinien zu überprüfen, zu aktualisieren und durchzusetzen, um die neuen Standards zu erfüllen, Zustellbarkeitsprobleme zu verhindern und das Risiko des Domain-Missbrauchs zu verringern, da die E-Mail-Bedrohungen weiter zunehmen.

Die richtige Richtlinie hilft Unternehmen, ihre Marke, ihre Mitarbeiter und ihre Kunden vor Imitationsversuchen zu schützen. Und obwohl eine DMARC-Richtlinie allein nicht alle Herausforderungen im Bereich der E-Mail-Sicherheit lösen kann, bleibt sie eine der effektivsten Abwehrmaßnahmen gegen Phishing und Spoofing-Angriffe.

In diesem Artikel erfahren Sie mehr über DMARC-Richtlinien, ihre Implementierung, die Herausforderungen und Vorteile und warum Sie sich für unsere gehostete DMARC-Lösung zur Implementierung von Richtlinien entscheiden sollten.

Was ist eine DMARC-Richtlinie?

Die DMARC-Richtlinie ist ein E-Mail-Validierungssystem, das das Domain Name System (DNS) verwendet, um den empfangenden E-Mail-Servern mitzuteilen, wie sie mit E-Mails umgehen sollen, die vorgeben, von Ihrer eigenen Domain zu stammen, aber die Authentifizierungsprüfung nicht bestehen. Sie wird durch das "p"-Tag im DMARC-Datensatz gekennzeichnet, das angibt, welche Maßnahmen Mailserver ergreifen sollen, wenn eine E-Mail die DMARC-Validierung nicht besteht.

Mit einer richtig implementierten Richtlinie können Sie entscheiden, wie streng E-Mail-Anbieter Nachrichten behandeln sollen, die die Authentifizierung nicht bestehen. Einfach ausgedrückt: Sie wählen den Grad der Durchsetzung, den Sie auf verdächtige oder nicht autorisierte E-Mails anwenden möchten.

Sie können Ihre Richtlinie so einstellen:

• Trotzdem durchlassen (p=none)
• Als verdächtig kennzeichnen(p=Quarantäne)
• Vollständig blockieren (p=ablehnen)

Das p=-Tag in Ihrem DMARC-Datensatz steuert dieses Verhalten. Es teilt den empfangenden Servern mit, welche Durchsetzungsstufe sie anwenden sollen, und ist damit einer der wichtigsten Bestandteile einer DMARC-Einrichtung. Eine strengere Richtlinie wie p=reject bietet Ihnen den stärksten Schutz, da sie verhindert, dass gefälschte oder nicht autorisierte E-Mails zugestellt werden.

Die 3 DMARC-Richtlinienoptionen

Bevor Sie sich für eine Police entscheiden, sollten Sie wissen, was die einzelnen Optionen bewirken und wie sie sich auf die Art und Weise auswirken, wie Ihre Domain geschützt wird.

Zu den drei DMARC-Richtlinientypen gehören:

1. DMARC-Richtlinie: Keine (p=none)

Die DMARC-Richtlinie none (p=none) ist ein entspannter Modus, der auf der Empfängerseite keine Aktion auslöst. Diese Richtlinie kann zur Überwachung von E-Mail-Aktivitäten verwendet werden und wird in der Regel während der anfänglichen DMARC-Implementierungsphase zur Überwachung und Datensammlung eingesetzt.

Sie bietet keinen Schutz vor Cyberangriffen und ermöglicht die Zustellung aller Nachrichten, unabhängig von den Authentifizierungsergebnissen. Diese Option wird im DMARC-Datensatz mit dem Tag "p=none" angegeben.

Beispiel: v=DMARC1; p=none; rua= mailto:(E-Mail-Adresse);

Wann ist p=none zu verwenden?

• Verwenden Sie diese Richtlinie, wenn Sie Ihren E-Mail-Verkehr überwachen möchten, bevor Sie DMARC erzwingen.
• Ideal für Domänen, die noch alle legitimen Sendequellen identifizieren.
• Die empfangenden Mailserver ergreifen keine Maßnahmen bei fehlgeschlagenen Nachrichten; die E-Mails werden trotzdem zugestellt.
• Sie erhalten weiterhin aggregierte DMARC-Berichte, die Ihnen helfen, Authentifizierungsprobleme zu verstehen, bevor Sie zu strengeren Richtlinien übergehen.

2. DMARC-Richtlinie: Quarantäne (p=quarantine)

Diese Option wird im DMARC-Datensatz mit dem Tag "p=quarantine" angegeben. p=quarantine bietet einen gewissen Schutz, da der Domäneninhaber den Empfänger auffordern kann, E-Mails in den Spam- oder Quarantäneordner zurückzuschieben, um sie später zu überprüfen, fallsDMARC fehlschlägt.

Diese Richtlinie weist den empfangenden E-Mail-Server an, Nachrichten, die die DMARC-Authentifizierung nicht bestehen, mit Misstrauen zu behandeln. Sie wird oft als Zwischenschritt zwischen "keine" und "ablehnen" implementiert.

Beispiel: v=DMARC1; p=quarantine; rua=mailto:(E-Mail Adresse);

Wann ist p=Quarantäne zu verwenden?

• Verwenden Sie diese Richtlinie, wenn Sie einen stärkeren Schutz wünschen, aber dennoch verdächtige E-Mails überprüfen müssen, bevor Sie sie vollständig blockieren.
• Fehlerhafte Nachrichten werden an den Spam/Junk-Ordner gesendet, so dass Sie die Möglichkeit haben, sie zu überprüfen, ohne dass legitime Nachrichten verloren gehen.
• Dient als mittlere Durchsetzungsstufe, die einen reibungslosen Übergang zu p=reject ermöglicht.
• Ermöglicht es Ihnen, die Auswirkungen von DMARC zu bewerten und zu entscheiden, ob markierte E-Mails legitim sind oder verworfen werden sollten.
• Reduziert das Durcheinander im Posteingang, indem fragwürdige E-Mails aus dem Hauptposteingang ferngehalten werden, aber dennoch sichtbar bleiben.

3. DMARC-Richtlinie: Ablehnen (p=reject)

Diese Option wird im DMARC-Eintrag mit "p=reject" angegeben. Dies ist die strengste Richtlinie, die den Empfängern vorschreibt, nicht authentifizierte Nachrichten zurückzuweisen.

Die Ablehnung der DMARC-Richtlinie sorgt für maximale Durchsetzung und stellt sicher, dass Nachrichten, die die DMARC-Prüfungen nicht bestehen, überhaupt nicht zugestellt werden. Die Richtlinie wird implementiert, wenn die Domäneneigentümer von ihrer E-Mail-Authentifizierungseinrichtung überzeugt sind.

Beispiel: v=DMARC1; p=reject; rua= mailto:(E-Mail Adresse);

Wann ist p=reject zu verwenden?

• Wählen Sie diese Richtlinie, wenn Sie den höchsten Grad an Schutz gegen Phishing, Spoofing und jede nicht autorisierte Nutzung Ihrer Domain wünschen.
• E-Mails, die die Authentifizierung nicht bestehen, werden vollständig blockiert, so dass verdächtige Nachrichten den Empfänger nicht erreichen.
• Am besten geeignet für Domänen, die bereits vollständig über alle sendenden Dienste authentifiziert sind und keine Grenzfälle mehr unter Quarantäne stellen müssen.

Das sollten Sie:

• Testen Sie gründlich und vergewissern Sie sich, dass alle legitimen Absender SPF und DKIM bestehen, bevor Sie zu p=reject wechseln.
• Lassen Sie die DMARC-Berichterstattung aktiviert, damit Sie alle verbleibenden Fehler überwachen und sicherstellen können, dass alles weiterhin reibungslos funktioniert.
• Um eine sichere Einführung zu gewährleisten, sollten Sie mit p=none beginnen, zu p=quarantine wechseln und dann zu p=reject übergehen, sobald Ihre Berichte eine einheitliche Ausrichtung aufweisen.

Andere DMARC-Richtlinien

DMARC bietet zusätzliche Richtlinienparameter zur Feinabstimmung der Implementierung.

• Der Parameter Prozentsatz (pct=) ermöglicht eine schrittweise Einführung der Richtlinie, indem der Anteil der Nachrichten, die DMARC unterliegen, angegeben wird. Zum Beispiel: pct=50 wendet die Richtlinie auf 50 % der Nachrichten an.
  • Wann es zu verwenden ist:
    • Verwenden Sie pct=, wenn Sie von p=none → p=quarantine → p=reject übergehen und die Durchsetzung schrittweise testen wollen, ohne alle ausgehenden Nachrichten zu beeinträchtigen.
  • Zeitliche Orientierung:
    • Beginnen Sie bei den ersten Tests mit pct=20.
    • Erhöhen Sie auf pct=50-70, wenn die meisten rechtmäßigen Absender die Authentifizierung bestehen.
    • Gehen Sie zu pct=100 über, sobald Sie sicher sind, dass Ihre Einrichtung stabil ist.
• Die Subdomain-Politik (sp=) ist ein Richtliniendatensatz, der separate Regeln für Subdomänen festlegt. Er ist nützlich, wenn Subdomains unterschiedlich behandelt werden müssen. Zum Beispiel: v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected].
  • Wann es zu verwenden ist:
    • Verwenden Sie sp=, wenn Ihre Subdomains ein unterschiedliches Sendeverhalten haben oder wenn Sie eine strengere oder weniger strenge Durchsetzung im Vergleich zu Ihrer Hauptdomain wünschen.
  • Zeitliche Orientierung:
    • Wenden Sie sp=none bei der Auswertung von Subdomain-Absendern an.
    • Wechseln Sie zu sp=quarantine, sobald Sie die Authentifizierung überprüft haben.
    • Wechseln Sie zu sp=reject, wenn Sie nicht mehr wollen, dass Subdomains für Spoofing missbraucht werden.

DMARC-Richtlinie richtig einrichten mit PowerDMARC!

Warum DMARC wichtig ist

E-Mails können leicht gefälscht werden, so dass es schwierig ist, die echte von einer gefährlichen Fälschung zu unterscheiden. An dieser Stelle kommt DMARC ins Spiel. DMARC ist wie ein E-Mail-Sicherheitskontrollpunkt, der die Identität des Absenders überprüft, bevor er die Nachrichten durchlässt. DMARC spielt eine entscheidende Rolle bei der Einhaltung von Vorschriften wie GDPR, HIPAA und PCI-DSS.

Die weltweiten Verluste durch Cyberkriminalität werden voraussichtlich auf über 10,5 Billionen US-Dollar im Jahr 2025was das Ausmaß der Bedrohung verdeutlicht. Inzwischen hat der Verizon 2025 Data Breach Investigations Report zeigt, dass Phishing- und auf Anmeldeinformationen basierende Angriffe nach wie vor vorherrschend sind, wobei etwa 15 % aller Sicherheitsverletzungen mit Phishing beginnen.

Gemäß RFC 7489 der IETF hat DMARC die einzigartige Fähigkeit, E-Mail-Versendern die Möglichkeit zu geben, Präferenzen für die Authentifizierung festzulegen. Wenn Sie es aktivieren, können Sie auch Berichte über die E-Mail-Behandlung und potenziellen Domänenmissbrauch erhalten. Dadurch hebt sich DMARC in Bezug auf die Domänenvalidierung ab.

Wie unsere neuesten DMARC-Statistiken zeigen, ist eine beträchtliche Anzahl von Domains immer noch anfällig für Phishing-Angriffe, weil DMARC nicht implementiert ist.

Um den Einrichtungsprozess für DMARC zu starten, muss ein ordnungsgemäßer DNS geändert und DNS-TXT-Einträge für die Protokolle hinzugefügt werden. Die manuelle Implementierung des DMARC-Protokolls kann jedoch für technisch nicht versierte Benutzer recht komplex sein. Es kann sogar recht kostspielig werden, wenn Sie einen externen CISO mit der Verwaltung des Protokolls für Ihr Unternehmen beauftragen. Deshalb ist der Einsatz einer Lösung wie dem DMARC-Analyzer von PowerDMARC sinnvoll: Er automatisiert die Einrichtung, rationalisiert Ihre Konfiguration und spart Zeit und Geld. Lassen Sie sich von uns durch die Einrichtung führen und schützen Sie Ihre Marke noch heute.

DMARC-Berichtsoptionen

Zu den Berichtsoptionen für DMARC gehören:

• Aggregierte Berichte (rua=): Sie werden täglich versandt und bieten einen Überblick über die Ergebnisse Ihrer E-Mail-Authentifizierung, einschließlich der IPs, die in Ihrem Namen E-Mails versenden, und der Anzahl der bestandenen oder fehlgeschlagenen Nachrichten.
• Forensische Berichte (ruf=): Werden in Echtzeit gesendet und enthalten detailliertere Fehlerinformationen für einzelne Nachrichten, die nicht authentifiziert wurden.

Diese Parameter ermöglichen es Unternehmen, wertvolle Erkenntnisse über die Ergebnisse der DMARC-Authentifizierung zu gewinnen, indem sie Aufschluss über die Anzahl der E-Mails geben, die die DMARC-Authentifizierung nicht bestehen oder bestehen. Ein DMARC-Bericht ist ebenfalls hilfreich:

1. für die Identifizierung potenzieller Probleme und Missbrauchsmuster
2. für das Erkennen von Fehlkonfigurationen in ihrer E-Mail-Einrichtung
3. um Einblicke in das E-Mail-Verhalten und den Postverkehr zu gewinnen
4. Überprüfen Sie die Authentifizierungsergebnisse für SPF- und DKIM-Protokolle

Gemeinsame Vorteile und Herausforderungen

DMARC bietet starken Schutz und wertvolle Transparenz, aber die richtige Implementierung bringt auch betriebliche und technische Überlegungen mit sich. Wenn Sie die Vorteile und Herausforderungen verstehen, können Sie realistische Erwartungen an die Implementierung stellen.

Vorteile

• Verhinderung vonDomain-Spoofing und Schutz vor Phishing: Blockiert nicht autorisierte Absender und reduziert das Risiko von Imitationsangriffen.
• Verbesserung der Zustellbarkeit von E-Mails (10-15 %): Authentifizierte Domains werden von Posteingangsanbietern als vertrauenswürdig eingestuft, was die Platzierung im Posteingang verbessert.
• Sichtbarkeit durch Berichte über Sendequellen: DMARC-Berichte geben Aufschluss darüber, wer E-Mails in Ihrem Namen versendet und wie Nachrichten authentifiziert werden.
• Einhaltung der GDPR-, HIPAA- und Google/Yahoo 2024-Anforderungen: Hilft bei der Erfüllung von Sicherheits- und Authentifizierungsanforderungen, die von Regulierungsbehörden und großen Mailbox-Anbietern festgelegt wurden.

Herausforderungen

• Zeitplan für die Umsetzung (3-6 Monate für eine sichere Einführung): Der Übergang von der Überwachung zur vollständigen Durchsetzung erfordert Zeit und eine sorgfältige Überprüfung.
• Erkennungspflicht für alle rechtmäßigen E-Mail-Quellen: Jedes sendende System muss identifiziert und authentifiziert werden, bevor strenge Richtlinien angewendet werden können.
• Erforderliche technische Kenntnisse (DNS, SPF, DKIM): Für eine ordnungsgemäße Einrichtung sind Kenntnisse über E-Mail-Authentifizierung und DNS-Verwaltung erforderlich.
• Einschränkungen bei der Authentifizierung von Diensten Dritter: Einige Tools oder Plattformen haben eine eingeschränkte SPF/DKIM-Unterstützung, was die Konfiguration erschwert.

Fehler in der DMARC-Richtlinie beheben

Bei der Verwendung von DMARC kann eine Fehlermeldung auftreten. Nachfolgend sind einige häufige DMARC-Richtlinienfehler aufgeführt:

• Syntaxfehler: Achten Sie beim Einrichten Ihres Datensatzes auf Syntaxfehler, um sicherzustellen, dass Ihr Protokoll korrekt funktioniert.
• Konfigurationsfehler: Fehler bei der Konfiguration der DMARC-Richtlinie sind keine Seltenheit und können durch den Einsatz eines DMARC-Checkers vermieden werden.
• DMARC sp-Richtlinie: Wenn Sie eine DMARC-Ablehnungsrichtlinie konfigurieren, aber Ihre Subdomänenrichtlinien auf "keine" einstellen, können Sie die Konformität nicht erreichen. Dies liegt an einer Richtlinienüberschreibung für Ihre ausgehenden E-Mails.
• Fehler "DMARC-Richtlinie nicht aktiviert": Wenn Ihre Domäne diesen Fehler meldet, deutet dies auf eine fehlende DMARC-Domänenrichtlinie in Ihrem DNS oder eine, die auf "none" eingestellt ist. Bearbeiten Sie Ihren Eintrag so, dass er p=reject/quarantine enthält, und das Problem sollte behoben sein.

DMARC-Richtlinien-Durchsetzung mit PowerDMARC

DMARC ist nach wie vor eine der effektivsten Methoden, um Ihre Domain vor Spoofing, Phishing und unerlaubter E-Mail-Nutzung zu schützen. Durch die Wahl des richtigen Richtlinienmodus (keine, Quarantäne oder Ablehnung) steuern Sie, wie die Empfangsserver verdächtige Nachrichten behandeln und wie stark Ihre Domain geschützt ist. Zusätzliche Parameter wie pct= und sp= helfen bei der Feinabstimmung Ihrer Bereitstellung, während Berichtsoptionen wie rua und ruf Ihnen einen klaren Einblick in Authentifizierungsergebnisse, Sendequellen, Fehlkonfigurationen und potenziellen Missbrauch geben.

Obwohl die Einrichtung von DMARC komplex sein kann, insbesondere wenn man mit mehreren Drittanbietern arbeitet oder einen vollständigen Durchsetzungszeitplan verwaltet, sind die langfristigen Vorteile beträchtlich: bessere Zustellbarkeit, verbesserte Compliance und stärkerer Markenschutz.

Der DMARC-Analyzer von PowerDMARC vereinfacht diesen Prozess, indem er die Konfiguration automatisiert, die Richtlinienverwaltung rationalisiert und XML-Rohberichte in verwertbare Erkenntnisse umwandelt. Wenn Sie einen einfacheren und sichereren Weg zur Durchsetzung von DMARC wünschen, unterstützt Sie unsere Plattform bei jedem Schritt.

Kontaktieren Sie uns um eine DMARC-Richtlinie zu implementieren und Ihre Ergebnisse einfach zu überwachen!

Häufig gestellte Fragen (FAQs)

Was ist die Standard-DMARC-Richtlinie?

Sie können die DMARC-Konformität überprüfen, indem Sie Ihre DMARC-Berichte einsehen und bestätigen, dass Ihre E-Mails den SPF- und DKIM-Abgleich bestehen. Wenn Sie eine Plattform mit einem Reporting-Dashboard wie PowerDMARC verwenden, können Sie den Authentifizierungsstatus Ihrer Domain einsehen und sehen, ob Ihre Nachrichten die DMARC-Anforderungen erfüllen.

Welche DMARC-Richtlinie ist die beste?

Die beste Richtlinie für maximale Sicherheit ist p=reject, da sie alle nicht autorisierten E-Mails blockiert.

Die beste Strategie ist jedoch eine schrittweise Umsetzung:

1. Beginnen Sie mit p=none, um Berichte zu überwachen, ohne die Zustellbarkeit zu beeinträchtigen.
2. Wechseln Sie zu p=quarantine, um fehlgeschlagene E-Mails an Spam zu senden.
3. Beenden Sie den Vorgang mit p=reject erst, wenn Sie bereit sind (d. h. erst, wenn Sie sicher sind, dass alle legitimen E-Mails korrekt konfiguriert sind).

Wie kann ich meine DMARC-Richtlinie ändern?

Sie können Ihre Richtlinie manuell ändern, indem Sie Ihre DNS-Verwaltung aufrufen. Dort müssen Sie Ihren DMARC-TXT-Eintrag bearbeiten. Eine einfachere Lösung ist die Verwendung unserer gehosteten Lösung, mit der Sie Änderungen an Ihrer Richtlinie mit einem einzigen Klick vornehmen können.

Welche DMARC-Richtlinie würden Sie verwenden, um eine E-Mail nicht anzunehmen, wenn die Nachricht die DMARC-Prüfung nicht besteht?

Um eine E-Mail abzulehnen, die die DMARC-Prüfung nicht besteht, würden Sie die Richtlinie p=reject verwenden.

Diese Richtlinie weist die empfangenden E-Mail-Server ausdrücklich an, alle Nachrichten, die die DMARC-Authentifizierung nicht bestehen, vollständig zu blockieren und die Zustellung zu verweigern. Die E-Mail wird nicht im Posteingang des Empfängers oder gar in seinem Spam-Ordner erscheinen. Wenn Sie die E-Mail dennoch an den Spam- oder Junk-Ordner senden möchten, können Sie p=quarantine verwenden.

• Über
• Neueste Beiträge

Maitham Al Lawati

Cybersecurity-Experte, CEO bei PowerDMARC

Maitham ist ein Tech-Unternehmer, Cybersecurity-Experte, CEO und Gründer von PowerDMARC mit mehr als 15 Jahren Branchenerfahrung. Maitham hat einen Global MBA von der University of Manchester und verschiedene berufliche Zertifizierungen, darunter CISSP, CISM, CRISC und ISC2 CCSP.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)

• Was ist DMARC? Wie es funktioniert, Richtlinien und Konfigurationstipps - 28. November 2025
• Was ist eine DMARC-Richtlinie? Keine, Quarantäne und Zurückweisung - 27. November 2025
• DMARC einrichten: Schritt-für-Schritt-Anleitung zur Konfiguration - 25. November 2025