DMARC-Reports lesen und verstehen: rua, ruf und XML erklärt
Du hast DMARC mit p=none aktiviert und erhältst nun tägliche Reports per E-Mail. Aber was bedeuten diese XML-Dateien? Und wie erkennst du darin echte Spoofing-Versuche? Dieser Artikel erklärt die wichtigsten Felder praxisnah.
rua vs. ruf: Die zwei Arten von DMARC-Reports
rua – Aggregate Reports (Zusammenfassungen)
Die rua-Berichte (Reporting URI for Aggregate) werden täglich als komprimierte XML-Datei (.gz) verschickt. Sie fassen zusammen, welche IP-Adressen E-Mails im Namen deiner Domain gesendet haben, und ob diese die SPF- und DKIM-Prüfung bestanden haben. Das ist der wichtigste Report für die laufende Überwachung.
ruf – Forensic Reports (Einzelnachrichten)
ruf-Berichte (Reporting URI for Forensic) werden für jede einzelne E-Mail erstellt, die die DMARC-Prüfung nicht besteht. Sie enthalten detaillierte Informationen, teils sogar Kopien der E-Mail-Header. Aus Datenschutzgründen senden viele große Anbieter (Google, Microsoft) keine ruf-Reports mehr. In der Praxis genügen rua-Reports für die meisten Zwecke.
Large Rectangle (336x280)
Aufbau eines DMARC XML-Reports
Die XML-Datei ist in einem einheitlichen Format definiert (RFC 7489). Sie wird dir per E-Mail von großen Anbietern wie Google, Microsoft, Yahoo oder Yahoo zugestellt. Hier ein vereinfachtes Beispiel:
Die wichtigsten Felder erklärt
| Feld | Bedeutung |
|---|---|
| org_name | Der empfangende Provider, der den Report sendet (z.B. google.com, yahoo.com) |
| date_range | Der Zeitraum des Reports (Unix-Timestamps). Meist 24 Stunden. |
| source_ip | Die IP-Adresse des Servers, der E-Mails mit deiner Domain als Absender gesendet hat. |
| count | Anzahl der E-Mails von dieser IP im Berichtszeitraum. |
| disposition | Was mit den E-Mails gemacht wurde: none, quarantine oder reject. |
| dkim (policy_evaluated) | Hat die DKIM-Prüfung mit Alignment bestanden? pass oder fail. |
| spf (policy_evaluated) | Hat die SPF-Prüfung mit Alignment bestanden? pass oder fail. |
| header_from | Die sichtbare Absender-Domain (aus dem From:-Header). |
Medium Rectangle (300x250)
Wie liest du einen Report praktisch aus?
Schritt 1: Bekannte IP-Adressen identifizieren
Suche nach den source_ip-Adressen in deinem Report. Bekannte legitime IPs könnten sein: Google Workspace Server (z. B. 209.85.x.x), Microsoft 365 Server (52.x.x.x, 40.x.x.x), oder der eigene Mailserver.
Eine schnelle Methode: Gib die IP in ein WHOIS-Tool ein, um zu sehen, welcher Anbieter dahintersteckt. Wenn du einen IP-Block von Google siehst und Google Workspace nutzt – das ist normal.
Schritt 2: Unbekannte IPs prüfen
Wenn du eine IP siehst, die du nicht kennst und die eine große Anzahl von E-Mails (count) zeigt, ist das ein Warnsignal. Prüfe:
- Handelt es sich um einen neuen legitimen Dienst (z. B. ein neues CRM-Tool), der noch nicht im SPF-Record steht?
- Zeigt der Report
dkim: failundspf: fail? Das ist ein starker Hinweis auf Spoofing. - Ist die IP einem verdächtigen Anbieter zuzuordnen (Hosting in Hochrisiko-Ländern, Bulletproof-Hoster)?
Schritt 3: Policy evaluieren
Schaue auf disposition: Wenn du noch p=none aktiv hast, siehst du dort none – die E-Mail wurde zugestellt, egal ob Spoofing oder nicht. Das ist der Zweck des Monitoring-Modus. Sobald du auf p=reject wechselst, sollten Spoofing-Versuche mit disposition: reject erscheinen.
XML-Reports leichter lesen: Tools und Dienste
Die rohen XML-Dateien sind schwer lesbar. Diese kostenlosen Tools helfen:
- Postmark DMARC – Kostenloses Tool, schickt wöchentliche Zusammenfassungen per E-Mail.
- dmarcian – Professionelles Dashboard für DMARC-Monitoring (kostenlose Testphase).
- MXToolbox DMARC Analyzer – Einfaches Online-Tool zum Hochladen und Lesen von XML-Reports.
Was tun, wenn DMARC-Reports ausbleiben?
Es gibt Situationen, in denen du keine oder kaum Reports erhältst, obwohl DMARC konfiguriert ist:
- Keine E-Mails werden gesendet: Reports kommen nur von Providern, die tatsächlich E-Mails mit deiner Domain als Absender gesehen haben. Wenn du selten sendest, gibt es auch wenige Reports.
- rua-Adresse falsch konfiguriert: Die E-Mail-Adresse im rua-Tag muss erreichbar sein. Prüfe, ob sie korrekt eingetragen ist und ob keine Tippfehler vorliegen.
- Reports an externe Domain: Wenn die rua-Adresse einer anderen Domain gehört (z. B. ein DMARC-Service-Provider), muss diese Domain einen speziellen TXT-Record anlegen, der die Annahme von Reports für deine Domain autorisiert. Ohne diesen Record werden Reports von manchen Providern nicht gesendet.
- Spam-Ordner: DMARC-Reports können fälschlicherweise als Spam klassifiziert werden. Prüfe den Spam-Ordner der rua-Adresse.
Von p=none zu p=reject: Wann ist der Zeitpunkt richtig?
Das Ziel der DMARC-Einrichtung ist p=reject – maximaler Schutz gegen Spoofing. Aber das Timing ist entscheidend. Hier sind die Signale, die zeigen, wann du bereit bist:
- Alle legitimen E-Mail-Quellen zeigen in den Reports
dkim: passundspf: pass - Keine unbekannten IPs mit hoher E-Mail-Anzahl (count) und pass-Ergebnissen
- Du hast alle Mailversand-Dienste (CRM, Newsletter, Buchungssystem) identifiziert und in SPF und DKIM eingetragen
- Mindestens 2–4 Wochen Reports im
p=none-Modus gesammelt und ausgewertet
Bist du noch unsicher? Beginne mit p=quarantine; pct=10 – dann betrifft die Policy zunächst nur 10% der verdächtigen E-Mails. Steigere schrittweise auf pct=100, bevor du auf p=reject wechselst.
Prüfe zunächst, ob deine Domain überhaupt einen DMARC-Record hat – und ob SPF und DKIM korrekt konfiguriert sind.
Jetzt Domain prüfen →