Was ist DMARC? Policies, Reporting und Einrichtung erklärt
DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein E-Mail-Sicherheitsprotokoll, das deine Domain vor Missbrauch durch Spammer und Phisher schützt. Es fungiert als Türsteher für deine E-Mails – und liefert dir dabei tägliche Berichte darüber, wer in deinem Namen sendet.
Warum brauchst du DMARC? Die Briefumschlag-Analogie
Stell dir vor, jemand verschickt einen echten Brief und schreibt einfach deinen Namen und deine Adresse als Absender auf den Umschlag. Der Empfänger denkt natürlich, der Brief kommt von dir – auch wenn du ihn nie geschrieben hast.
Genau das passiert bei E-Mails täglich in Form von “Spoofing”. Kriminelle fälschen die Absenderadresse (z. B. rechnung@deine-firma.de), um Phishing-Mails im Namen vertrauenswürdiger Unternehmen zu versenden. Ohne Schutz glauben die empfangenden Mail-Server, dass diese gefälschten E-Mails echt sind.
DMARC schiebt diesem Betrug einen Riegel vor. Es sagt dem Empfänger (z. B. Gmail oder Outlook) genau, wie er E-Mails behandeln soll, die vorgeben, von dir zu kommen – es aber in Wirklichkeit nicht sind. Gleichzeitig schickt es dir regelmäßige Reports, damit du weißt, was mit deiner Domain im Umlauf ist.
Wie funktioniert DMARC technisch?
DMARC arbeitet nicht alleine. Es ist der Manager, der sich auf die Ergebnisse von zwei anderen Protokollen stützt:
- SPF (Sender Policy Framework): Definiert, welche Server berechtigt sind, E-Mails für deine Domain zu senden.
- DKIM (DomainKeys Identified Mail): Fügt deinen E-Mails eine kryptografische Signatur hinzu, um zu beweisen, dass sie nicht verändert wurden.
DMARC überprüft, ob SPF und/oder DKIM erfolgreich waren und ob der geprüfte Absender mit dem sichtbaren Absender übereinstimmt (sogenanntes Alignment). Wenn beides fehlschlägt, greift die DMARC-Policy.
Ein DMARC-Eintrag ist ein einfacher TXT-Record im DNS deiner Domain, abgelegt unter _dmarc.deinedomain.de. Ein typischer Eintrag sieht so aus:
Large Rectangle (336x280)
Die 3 DMARC-Policies: Wie streng möchtest du sein?
Als Domain-Inhaber legst du fest, wie Empfänger mit gefälschten E-Mails umgehen sollen:
Es passiert nichts mit betroffenen E-Mails – sie werden normal zugestellt. Aber du erhältst tägliche Reports (rua) darüber, wer in deinem Namen sendet. Dies ist der perfekte Startpunkt, ohne legitime E-Mails zu riskieren. Setze diesen Modus zuerst und werte die Reports aus, bevor du strikter wirst.
Verdächtige E-Mails werden nicht abgewiesen, landen aber im Spam- oder Junk-Ordner. Nutze diesen Modus, wenn du die Reports ausgewertet hast und sicher bist, dass alle legitimen Absender in SPF und DKIM korrekt konfiguriert sind.
Das finale Ziel: Jede E-Mail, die die DMARC-Prüfung nicht besteht, wird direkt blockiert und niemals zugestellt. Maximaler Schutz – aber nur aktivieren, wenn du sicher bist, dass kein legitimer Versand durchfällt.
Reporting: rua und ruf verstehen
DMARC bietet zwei Arten von Reports, die du per E-Mail erhältst:
rua – Aggregate Reports (Zusammenfassungen)
Die rua-Adresse (Reporting URI for Aggregate) empfängt tägliche XML-Berichte, die zusammenfassen, welche IP-Adressen E-Mails im Namen deiner Domain gesendet haben und wie viele davon SPF/DKIM bestanden haben.
Diese Reports sind das wichtigste Werkzeug, um zu verstehen, wer mit deiner Domain sendet. Dienste wie Google Postmaster Tools, Mailchimp oder CRM-Systeme tauchen hier auf – und du siehst sofort, wenn ein unbekannter Absender deine Domain missbraucht.
ruf – Forensic Reports (Einzelnachrichten)
Die ruf-Adresse (Reporting URI for Forensic) empfängt Berichte über individuelle E-Mails, die die DMARC-Prüfung nicht bestanden haben. Diese enthalten oft sensible Informationen (Betreffzeile, Empfänger) und werden aus Datenschutzgründen von vielen Providern (u.a. Gmail) nicht mehr gesendet. In der Praxis ist rua meist ausreichend.
Medium Rectangle (300x250)
Weitere DMARC-Tags im Überblick
Neben p, rua und ruf gibt es weitere nützliche Tags:
| Tag | Bedeutung | Beispiel |
|---|---|---|
| p | Policy für die Domain | p=reject |
| sp | Policy für Subdomains (falls abweichend) | sp=quarantine |
| pct | Prozentsatz der E-Mails, auf die die Policy angewendet wird | pct=10 |
| adkim | Alignment-Modus für DKIM (r=relaxed, s=strict) | adkim=r |
| aspf | Alignment-Modus für SPF (r=relaxed, s=strict) | aspf=r |
pct=10 ist nützlich beim stufenweisen Rollout: Du aktivierst p=quarantine für zunächst nur 10% der verdächtigen E-Mails, beobachtest die Auswirkungen und erhöhst dann schrittweise bis 100%.
Typische Fehler bei DMARC
1. Direkt auf p=reject springen
Der häufigste und gefährlichste Fehler: Ohne vorherige Analyse per p=none und ohne sauber konfiguriertes SPF und DKIM auf p=reject zu wechseln. Das kann dazu führen, dass legitime E-Mails (z. B. vom CRM, Newsletter-Tool oder Partner-Hosting) blockiert werden.
2. Alignment-Probleme
DMARC verlangt Alignment: Der in SPF geprüfte Absender oder die in DKIM verwendete Domain müssen mit der sichtbaren Absender-Domain übereinstimmen. Wenn dein Newsletter-Dienst E-Mails über eine eigene Domain sendet, aber From: newsletter@deinedomain.de zeigt, kann DMARC trotz bestandenem SPF fehlschlagen.
3. Kein DMARC für Subdomains
Subdomains erben die DMARC-Policy der Hauptdomain nur bei p, nicht automatisch. Wenn du shop.deinedomain.de oder mail.deinedomain.de absicherst, nutze den sp-Tag oder setze eigene DMARC-Records für die Subdomains.
4. Reports nicht auswerten
p=none ohne Auswertung der rua-Reports bringt keinen Schutz. Nutze Tools wie Postmark DMARC oder dmarcian um die XML-Reports lesbar aufzubereiten.
Empfohlener Rollout-Plan
- Woche 1–2: DMARC mit
p=none; rua=mailto:deine@adresse.deeinrichten und Reports sammeln. - Woche 3–4: Reports auswerten, alle legitimen Absender identifizieren, SPF und DKIM für alle fertigstellen.
- Woche 5–6: Auf
p=quarantine; pct=10wechseln, Auswirkungen beobachten. - Woche 7–8:
pctschrittweise auf 100 erhöhen. - Ab Woche 9: Auf
p=rejectwechseln – deine Domain ist jetzt maximal geschützt.
Bist du bereits geschützt?Nutze unseren kostenlosen DMARC-Checker, um sofort zu sehen, ob deine Domain richtig abgesichert ist. Du siehst in Sekunden, welche Policy aktiv ist und ob rua/ruf konfiguriert sind.