DMARC-Richtlinie - MetricSpot Docs

Q: Was ist der Unterschied zwischen `p=quarantine` und `p=reject`?

- quarantine — scheiternde Mail geht in Spam. Wiederherstellbar; vorsichtig. - reject — scheiternde Mail wird am empfangenden Server zurückgewiesen. Der Absender (echt oder gefälscht) bekommt einen Hard-Bounce. Stärkster Schutz, aber wenn dein SPF/DKIM für einen legitimen Dienst falsch konfiguriert ist, bekommen deine Kund:innen keine Mail mehr von dir. Erreiche p=reject immer nach einer Phase in quarantine mit sauberen Reports.

Q: Brauche ich SPF und DKIM auch?

Ja. DMARC ist die Richtlinien-Ebene; SPF und DKIM sind die Authentifizierungs-Ebenen. SPF sagt „diese IP darf für meine Domain senden"; DKIM signiert die Nachricht kryptografisch. DMARC sagt „wenn keines aligned ist, weise die Mail ab". Alle drei sind erforderlich, damit das System funktioniert.

Was diese Prüfung macht

Fragt DNS nach dem TXT-Eintrag _dmarc.<deinedomain> ab und parst dessen Richtlinie. Meldet den p=-Wert (none, quarantine, reject), den Prozentsatz, die Reporting-Adressen und ob die Richtlinie durchgesetzt wird (alles jenseits von p=none).

Warum es zählt

DMARC (Domain-based Message Authentication, Reporting, and Conformance) sagt empfangenden Postfächern — Gmail, Outlook, Yahoo, Apple iCloud —, was mit einer E-Mail zu tun ist, die vorgibt, von deiner Domain zu kommen, aber SPF- oder DKIM-Prüfungen nicht besteht. Ohne DMARC-Richtlinie lautet die Antwort „durchlassen” — und deine Domain wird zur freien Spielwiese für Phishing-Kampagnen.

Seit Februar 2024 verlangen Google und Yahoo DMARC von jedem Absender, der mehr als 5.000 Mails pro Tag an ihre Nutzer:innen schickt. Microsoft hat mit zunehmend strikterer Durchsetzung nachgezogen. Seiten ohne DMARC sehen Zustellbarkeit sinken, Kund:innen erhalten Phishing-Mails unter ihrer Marke, und das Markenvertrauen bröckelt eine gefälschte Rechnung nach der anderen.

Ein reales Beispiel: Ein SaaS-Unternehmen, das wir prüften, hatte kein DMARC. Innerhalb von drei Monaten spooften Angreifer billing@theirdomain.com in einer Phishing-Kampagne, die ~40.000 ihrer Kunden-Postfächer traf. Die Aufräumkosten überstiegen ein Jahrzehnt „wir kümmern uns später um DMARC”.

So behebst du es

Veröffentliche einen _dmarc-TXT-Eintrag beim DNS-Provider deiner Domain. Die Progression:

1. Im Monitoring-Modus starten (p=none) — sammelt Daten, ohne die Zustellbarkeit zu beeinflussen.

_dmarc.yourdomain.com.   IN   TXT   "v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; pct=100"

Die rua=-Adresse erhält aggregierte XML-Reports von jedem empfangenden Postfach. Leite sie an ein Tool weiter, das sie parst — wir empfehlen Postmarks kostenloses DMARC-Monitoring oder Valimail Monitor.

2. Prüfen, was legitim sendet.

Die Reports sagen dir, welche IPs und Dienste Mail „als” deine Domain senden. Erwartet: dein transaktionaler E-Mail-Provider (Resend, Postmark, SendGrid), deine Marketing-Plattform, möglicherweise Google Workspace oder Microsoft 365 und dein Helpdesk-Tool. Alles andere ist entweder ein unautorisierter Sender oder eine vergessene Integration.

Für jeden legitimen Sender richtest du SPF und DKIM ein — DMARC verlangt, dass eines davon besteht und mit dem From-Header aligned ist.

3. Auf Quarantine wechseln, sobald deine Reports sauber sind (kein legitimer Sender scheitert).

_dmarc.yourdomain.com.   IN   TXT   "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com; pct=25"

pct=25 wendet die Richtlinie nur auf 25 % der scheiternden Mail an — schrittweiser Rollout. Beobachte Reports, erhöhe dann auf 100, wechsle dann auf p=reject.

4. Endstand: p=reject.

_dmarc.yourdomain.com.   IN   TXT   "v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-forensics@yourdomain.com; adkim=s; aspf=s"

adkim=s und aspf=s verlangen strikte Ausrichtung zwischen From-Header und SPF/DKIM-Domain — stoppt Angreifer, die mit Subdomain-Tricks arbeiten.

Häufige Konfigurationen:

Marketing-Mails von noreply@email.yourdomain.com — richte eine separate DMARC-Richtlinie auf der Subdomain ein, wenn deine Marketing-Plattform sich nicht voll auf die Apex aligned.
Google Workspace — Googles eigener DKIM-Schlüssel muss im DNS sein; aktiviere DKIM in der Admin-Konsole.
Resend / Postmark / SendGrid — jeder liefert eine DNS-Vorlage zum Einfügen; DMARC funktioniert, sobald deren DKIM eingerichtet ist.

Eintrag prüfen:

dig +short TXT _dmarc.yourdomain.com
# v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; adkim=s; aspf=s

Oder nutze Mail Testers DMARC-Checker für eine Ein-Klick-Plausibilitätsprüfung.

Kombiniere das mit HTTPS-Basics — HTTPS, HSTS aktivieren — für eine vollständige E-Mail- + Transport-Security-Baseline.

Häufig gestellte Fragen

Was ist der Unterschied zwischen `p=quarantine` und `p=reject`?

quarantine — scheiternde Mail geht in Spam. Wiederherstellbar; vorsichtig.
reject — scheiternde Mail wird am empfangenden Server zurückgewiesen. Der Absender (echt oder gefälscht) bekommt einen Hard-Bounce. Stärkster Schutz, aber wenn dein SPF/DKIM für einen legitimen Dienst falsch konfiguriert ist, bekommen deine Kund:innen keine Mail mehr von dir. Erreiche p=reject immer nach einer Phase in quarantine mit sauberen Reports.

Brauche ich SPF und DKIM auch?

Ja. DMARC ist die Richtlinien-Ebene; SPF und DKIM sind die Authentifizierungs-Ebenen. SPF sagt „diese IP darf für meine Domain senden”; DKIM signiert die Nachricht kryptografisch. DMARC sagt „wenn keines aligned ist, weise die Mail ab”. Alle drei sind erforderlich, damit das System funktioniert.

Meine Domain sendet gar keine E-Mails. Brauche ich trotzdem DMARC?

Ja — eine „geparkte” DMARC-Richtlinie stoppt Angreifer, die deine ungenutzte Domain spoofen:

_dmarc.yourdomain.com.   IN   TXT   "v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com"

Kombiniere mit einem SPF-Eintrag, der nichts erlaubt:

yourdomain.com.   IN   TXT   "v=spf1 -all"

Jetzt kann keine IP der Welt Mail verschicken, die behauptet, von deiner Domain zu sein.