--- title: "Was ist ein DMARC-Eintrag? Struktur, Tags und Beispiele | DMARC Report" description: "Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, veröffentlicht bei _dmarc.ihredomain.de, der Ihre E-Mail-Authentifizierungsrichtlinie, den Ausrichtungsmodus und die Zieladressen für aggregierte und forensische Berichte festlegt. Lernen Sie jeden DMARC-Tag kennen, sehen Sie Beispieleinträge und validieren Sie Ihren eigenen." image: "https://dmarcreport.com/images/og-default.png" canonical: "https://dmarcreport.com/de/dmarc-eintrag/" --- E-Mail-Authentifizierung # Was ist ein DMARC-Eintrag? **Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, veröffentlicht bei `_dmarc.ihredomain.de`, der empfangenden Mailservern mitteilt, was zu tun ist, wenn die SPF- oder DKIM-Authentifizierung fehlschlägt.** Er legt Ihre Richtlinie (none, quarantine oder reject), Ausrichtungsanforderungen und die Zieladressen für aggregierte und forensische Berichte fest. Definiert in [RFC 7489](https://datatracker.ietf.org/doc/html/rfc7489) \- vorgeschrieben von Google, Yahoo, Microsoft und PCI DSS v4.0. [ DMARC-Eintrag prüfen → ](/tools/dmarc-checker/) [Alle Tags ansehen](#dmarc-tags) Aufbau ## Wie sieht ein DMARC-Eintrag aus? Ein vollständiger DMARC-Eintrag mit allen gängigen Tags, Tag für Tag aufgeschlüsselt. \_dmarc.beispiel.de TXT v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; ruf=mailto:forensik@beispiel.de; adkim=s; aspf=r; pct=100; sp=reject `v=DMARC1` Version (erforderlich) `p=reject` Richtlinie: Fehler blockieren `rua=` Aggregierte Berichtsadresse `ruf=` Forensische Berichtsadresse `adkim=s` Strikte DKIM-Ausrichtung `aspf=r` Relaxed SPF-Ausrichtung `pct=100` Auf 100% der Fehler anwenden `sp=reject` Subdomain-Richtlinie: Ablehnen Referenz ## Alle DMARC-Eintrag-Tags Jeder Tag aus der DMARC-Spezifikation mit akzeptierten Werten, Beschreibungen und häufigen Fehlern, die vermieden werden sollten. `v=` Erforderlich ### Version Protokollversions-Bezeichner. Muss der erste Tag in jedem DMARC-Eintrag sein. Der einzig gültige Wert ist DMARC1. Werte `DMARC1` Beispiel `v=DMARC1` Wenn v= an einer anderen Stelle als am Anfang des Eintrags steht, wird ein PermError ausgelöst. `p=` Erforderlich ### Richtlinie Teilt Empfängern mit, was mit Nachrichten geschehen soll, die die DMARC-Authentifizierung nicht bestehen. Beginnen Sie mit none zur Überwachung, gehen Sie dann über quarantine zu reject. Werte `none | quarantine | reject` Beispiel `p=reject` Direkt zu p=reject zu springen, ohne vorher zu überwachen, führt dazu, dass legitime E-Mails blockiert werden. `rua=` Optional ### Aggregierte Bericht-URI Wohin Empfänger tägliche aggregierte (XML-)Berichte senden, die Authentifizierungsergebnisse für alle Nachrichten Ihrer Domain zusammenfassen. Werte `mailto:adresse` Beispiel `rua=mailto:dmarc@beispiel.de` Wenn rua= weggelassen wird, haben Sie keine Sichtbarkeit. Setzen Sie immer eine Berichtsadresse. `ruf=` Optional ### Forensische Bericht-URI Wohin Empfänger forensische Berichte pro Nachricht mit Fehlerdetails senden. Nicht alle Empfänger unterstützen RUF. Werte `mailto:adresse` Beispiel `ruf=mailto:forensik@beispiel.de` Zu erwarten, dass alle Empfänger forensische Berichte senden. Viele (Google, Microsoft) tun dies nicht. `sp=` Optional ### Subdomain-Richtlinie Überschreibt die Hauptrichtlinie für Subdomains. Wenn weggelassen, erben Subdomains den p=-Wert. Werte `none | quarantine | reject` Beispiel `sp=reject` sp= zu vergessen, wenn Subdomains eine andere Richtlinie als die Hauptdomain benötigen. `adkim=` Optional ### DKIM-Ausrichtung Steuert, ob die DKIM-Signierungsdomain genau übereinstimmen (strict) oder eine Subdomain der (relaxed) From-Header-Domain sein kann. Standard: relaxed. Werte `r (relaxed) | s (strict)` Beispiel `adkim=r` Strikte Ausrichtung setzen, bevor bestätigt ist, dass alle Absender mit der Organisationsdomain signieren. `aspf=` Optional ### SPF-Ausrichtung Steuert, ob die SPF-authentifizierte Domain genau übereinstimmen (strict) oder eine Subdomain der (relaxed) From-Header-Domain sein kann. Standard: relaxed. Werte `r (relaxed) | s (strict)` Beispiel `aspf=r` aspf=s setzen, wenn Drittanbieter-Absender ihre eigene Return-Path-Subdomain verwenden. `pct=` Optional ### Prozentsatz Prozentsatz der fehlschlagenden Nachrichten, auf die die Richtlinie angewendet wird. Verwenden Sie dies für eine schrittweise Durchsetzung. Standard: 100. Werte `1-100` Beispiel `pct=25` Vergessen, pct= nach dem ersten Rollout zu erhöhen, wodurch der Großteil der E-Mails nicht durchgesetzt wird. `fo=` Optional ### Forensische Optionen Steuert, wann forensische Berichte erzeugt werden. 0=SPF und DKIM fehlgeschlagen, 1=eines fehlgeschlagen, d=DKIM fehlgeschlagen, s=SPF fehlgeschlagen. Werte `0 | 1 | d | s` Beispiel `fo=1` fo= auf Standard (0) belassen, was nur berichtet, wenn sowohl SPF als auch DKIM fehlschlagen. Syntax ## DMARC-Eintrag-Strukturregeln Ein gültiger DMARC-Eintrag muss diesen Regeln folgen. Die Verletzung einer dieser Regeln führt dazu, dass Empfänger den Eintrag vollständig ignorieren. 1 ### Ein Eintrag pro Domain Eine Domain muss genau einen DMARC-TXT-Eintrag haben. Mehrere Einträge verursachen einen PermError und Empfänger ignorieren alle. 2 ### Veröffentlicht bei \_dmarc-Subdomain Der Eintrag muss ein TXT-Eintrag bei \_dmarc.ihredomain.de sein - nicht bei der Root-Domain, nicht bei \_dmarc.www.ihredomain.de. 3 ### Muss mit v=DMARC1 beginnen Der v=-Tag muss der erste Tag im Eintrag sein. Jeder andere Tag am Anfang macht den Eintrag ungültig. 4 ### Tags durch Semikolons getrennt Jeder Tag wird durch ein Semikolon und optionale Leerzeichen getrennt: v=DMARC1; p=reject; rua=mailto:... 5 ### Tag-Namen nicht case-sensitiv Tag-Namen (p=, rua=, adkim=) sind nicht case-sensitiv, aber Werte sind bei einigen Tags case-sensitiv. Beispiele ## DMARC-Eintrag-Beispiele nach Phase Drei Einträge für die drei Phasen der DMARC-Implementierung. Jede Phase erfordert mindestens 90 Tage Überwachung. Der vollständige Weg zu p=reject dauert typischerweise 9 bis 18 Monate. Nur Überwachung Phase 1 - Daten sammeln vor der Durchsetzung v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de; fo=1 Beginnen Sie hier. Empfänger stellen alle E-Mails normal zu, senden Ihnen aber tägliche aggregierte Berichte. Der fo=1-Tag erzeugt forensische Berichte, wenn SPF oder DKIM fehlschlägt, und bietet maximale Sichtbarkeit. Schrittweise Durchsetzung Phase 2 - 25% der Fehler in Quarantäne v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de; ruf=mailto:forensik@beispiel.de; adkim=r; aspf=r Nach 90+ Tagen Überwachung mit p=none wechseln Sie zu quarantine mit pct=25\. Nur 25% der fehlschlagenden Nachrichten landen im Spam. Erhöhen Sie pct= schrittweise (50, 75, 100) über mehrere Wochen, während Sie bestätigen, dass legitime E-Mails bestehen. Vollständige Ablehnung Phase 3 - Maximaler Schutz v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; ruf=mailto:forensik@beispiel.de; adkim=s; aspf=s; sp=reject Das Endziel. Alle Nachrichten, die DMARC nicht bestehen, werden auf SMTP-Ebene abgelehnt. Strikte Ausrichtung stellt eine exakte Domain-Übereinstimmung sicher. sp=reject erweitert den Schutz auf alle Subdomains. Diese Phase zu erreichen dauert typischerweise 9 bis 18 Monate. Validieren ## Wie prüft man einen DMARC-Eintrag? Verwenden Sie ein DMARC-Checker-Tool, um den DNS-TXT-Eintrag bei \_dmarc.ihredomain.de abzufragen und zu validieren, dass Syntax, Tags und Werte korrekt sind. - Validiert Eintragssyntax und Tag-Reihenfolge - Prüft auf mehrere widersprüchliche Einträge - Verifiziert, dass rua= und ruf=-Adressen erreichbar sind - Bestätigt Ausrichtungsmodus und Richtlinieneinstellungen [ DMARC-Eintrag prüfen → ](/tools/dmarc-checker/) DMARC Checker - beispiel.de Eintrag gefunden \_dmarc.beispiel.de Bestanden Richtlinie p=reject Bestanden Aggregierte Berichte rua=mailto:dmarc@beispiel.de Bestanden DKIM-Ausrichtung adkim=s (strikt) Bestanden SPF-Ausrichtung aspf=r (relaxed) Bestanden Subdomain-Richtlinie sp=reject Bestanden Erstellen ## Wie erstellt man einen DMARC-Eintrag? Verwenden Sie unseren kostenlosen DMARC-Eintrag-Generator, um in Sekunden einen gültigen Eintrag zu erstellen - wählen Sie Ihre Richtlinie, geben Sie Ihre Berichtsadresse ein und kopieren Sie den TXT-Eintrag in Ihr DNS. [ DMARC-Eintrag generieren → ](/tools/dmarc-record-generator/) [Oder folgen Sie unserer Schritt-für-Schritt-Anleitung →](/de/dmarc-eintrag-erstellen/) FAQ ## Häufig gestellte Fragen zu DMARC-Einträgen ### Kann ich mehrere DMARC-Einträge für eine Domain haben? Nein. Eine Domain muss genau einen DMARC-TXT-Eintrag bei \_dmarc.ihredomain.de haben. Wenn mehrere Einträge existieren, geben Empfänger einen PermError zurück und ignorieren alle. Um Berichte an mehrere Adressen zu senden, listen Sie sie kommagetrennt im rua=-Tag auf: rua=mailto:adr1@beispiel.de,mailto:adr2@beispiel.de. ### Wo füge ich meinen DMARC-Eintrag im DNS hinzu? Fügen Sie einen TXT-Eintrag mit dem Host/Namen \_dmarc hinzu (Ihr DNS-Anbieter fügt die Domain automatisch hinzu). Der Eintragstyp ist TXT und der Wert ist Ihr DMARC-Richtlinienstring, der mit v=DMARC1 beginnt. Änderungen werden innerhalb von Minuten bis 48 Stunden propagiert, abhängig von den TTL-Einstellungen. ### Was ist der minimal gültige DMARC-Eintrag? Der minimal gültige DMARC-Eintrag ist v=DMARC1; p=none - nur die Version- und Richtlinien-Tags. Ohne rua= erhalten Sie jedoch keine Berichte und haben keine Sichtbarkeit. Das praktische Minimum ist v=DMARC1; p=none; rua=mailto:ihre-adresse@beispiel.de. ### Was passiert, wenn mein DMARC-Eintrag einen Syntaxfehler hat? Empfänger, die einen Syntaxfehler erkennen, behandeln den Eintrag so, als existiere kein DMARC-Eintrag. Nachrichten werden allein basierend auf SPF- und DKIM-Ergebnissen zugestellt, ohne DMARC-Richtliniendurchsetzung. Verwenden Sie einen DMARC-Checker, um die Syntax Ihres Eintrags vor der Veröffentlichung zu validieren. ### Wie lange dauert es, bis ein DMARC-Eintrag wirksam wird? DMARC-Einträge werden wirksam, sobald die DNS-Propagierung abgeschlossen ist, typischerweise innerhalb von Minuten bis 48 Stunden. Aggregierte Berichte treffen jedoch erst 24 bis 72 Stunden nach der Veröffentlichung ein, da Empfänger Berichte täglich bündeln. Warten Sie eine volle Woche, bevor Sie schlussfolgern, dass keine Berichte generiert werden. ### Benötigen Subdomains eigene DMARC-Einträge? Subdomains erben die DMARC-Richtlinie der übergeordneten Domain automatisch. Sie benötigen nur dann einen separaten Subdomain-DMARC-Eintrag, wenn die Subdomain eine andere Richtlinie erfordert. Der sp=-Tag im übergeordneten Eintrag kann auch eine subdomain-spezifische Richtlinie setzen, ohne separate Einträge zu erstellen. ## Prüfen Sie jetzt Ihren DMARC-Eintrag Validieren Sie Syntax, Tags und Berichtskonfiguration Ihres Eintrags in Sekunden mit unserem kostenlosen DMARC-Checker. [DMARC-Eintrag prüfen](/tools/dmarc-checker/) ## Vertraut von Sicherheitsteams weltweit ![G2 Leader - DMARC](https://media.mailhop.org/dmarcreport/images/g2-badges/DMARC_Leader_Leader.png) Rated 4.8/5 on G2 · 469 verified reviews ![G2 Momentum Leader - DMARC](https://media.mailhop.org/dmarcreport/images/g2-badges/DMARC_MomentumLeader_Leader.png) DG Dave G. Owner 5/5 ### "DMARC Report has been invaluable in fixing email deliverability issues for our clients" DMARC Report dashboard allows us to see easily what is compliant and what isn't compliant so we can quickly fix issues. 9/27/2022Verified on G2 ZK Zunaid K. Director 5/5 ### "Essential tool for email delivery" This tool helps us to implement DMARC reporting for our domains in an easy to use manner. 8/8/2024Verified on G2 VU Verified User in Information Technology and Services 5/5 ### "Best security tool for your own domains" The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind. 8/31/2022Verified on G2 [Read all 469 reviews on G2 →](https://www.g2.com/products/dmarc-report/reviews) ```json {"@context":"https://schema.org","@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com","logo":{"@type":"ImageObject","url":"https://dmarcreport.com/images/dmarcreport-logo.png"},"description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","parentOrganization":{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138883901","name":"DuoCircle LLC","url":"https://www.duocircle.com","sameAs":["https://www.wikidata.org/wiki/Q138883901","https://www.crunchbase.com/organization/duocircle-llc","https://www.linkedin.com/company/duocircle","https://github.com/duocircle"],"subOrganization":[{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897474","name":"AutoSPF","url":"https://autospf.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897912","name":"Phish Protection","url":"https://www.phishprotection.com"}]},"sameAs":["https://www.wikidata.org/wiki/Q138898167","https://www.linkedin.com/company/duocircle","https://x.com/duocirclellc","https://www.g2.com/products/dmarc-report/reviews","https://github.com/duocircle","https://www.crunchbase.com/organization/duocircle-llc","https://www.trustradius.com/products/duocircle/reviews"],"aggregateRating":{"@type":"AggregateRating","ratingValue":"4.8","reviewCount":"470","bestRating":"5","worstRating":"1","url":"https://www.g2.com/products/dmarc-report/reviews"},"contactPoint":{"@type":"ContactPoint","contactType":"customer support","url":"https://dmarcreport.com/support/"},"knowsAbout":["DMARC","DMARC Reporting","DMARC Aggregate Reports","DMARC Forensic Reports","Sender Policy Framework","DKIM","Email Authentication","Email Security","DNS Management","Email Deliverability"]} ``` ```json {"@context":"https://schema.org","@type":"WebSite","name":"DMARC Report","url":"https://dmarcreport.com","description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","publisher":{"@type":"Organization","name":"DMARC Report","url":"https://dmarcreport.com","logo":{"@type":"ImageObject","url":"https://dmarcreport.com/images/dmarcreport-logo.png"},"description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","parentOrganization":{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138883901","name":"DuoCircle LLC","url":"https://www.duocircle.com","sameAs":["https://www.wikidata.org/wiki/Q138883901","https://www.crunchbase.com/organization/duocircle-llc","https://www.linkedin.com/company/duocircle","https://github.com/duocircle"],"subOrganization":[{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897474","name":"AutoSPF","url":"https://autospf.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897912","name":"Phish Protection","url":"https://www.phishprotection.com"}]}}} ``` ```json [{"@context":"https://schema.org","@type":"FAQPage","mainEntity":[{"@type":"Question","name":"Kann ich mehrere DMARC-Einträge für eine Domain haben?","acceptedAnswer":{"@type":"Answer","text":"Nein. Eine Domain muss genau einen DMARC-TXT-Eintrag bei _dmarc.ihredomain.de haben. Wenn mehrere Einträge existieren, geben Empfänger einen PermError zurück und ignorieren alle. Um Berichte an mehrere Adressen zu senden, listen Sie sie kommagetrennt im rua=-Tag auf: rua=mailto:adr1@beispiel.de,mailto:adr2@beispiel.de."}},{"@type":"Question","name":"Wo füge ich meinen DMARC-Eintrag im DNS hinzu?","acceptedAnswer":{"@type":"Answer","text":"Fügen Sie einen TXT-Eintrag mit dem Host/Namen _dmarc hinzu (Ihr DNS-Anbieter fügt die Domain automatisch hinzu). Der Eintragstyp ist TXT und der Wert ist Ihr DMARC-Richtlinienstring, der mit v=DMARC1 beginnt. Änderungen werden innerhalb von Minuten bis 48 Stunden propagiert, abhängig von den TTL-Einstellungen."}},{"@type":"Question","name":"Was ist der minimal gültige DMARC-Eintrag?","acceptedAnswer":{"@type":"Answer","text":"Der minimal gültige DMARC-Eintrag ist v=DMARC1; p=none - nur die Version- und Richtlinien-Tags. Ohne rua= erhalten Sie jedoch keine Berichte und haben keine Sichtbarkeit. Das praktische Minimum ist v=DMARC1; p=none; rua=mailto:ihre-adresse@beispiel.de."}},{"@type":"Question","name":"Was passiert, wenn mein DMARC-Eintrag einen Syntaxfehler hat?","acceptedAnswer":{"@type":"Answer","text":"Empfänger, die einen Syntaxfehler erkennen, behandeln den Eintrag so, als existiere kein DMARC-Eintrag. Nachrichten werden allein basierend auf SPF- und DKIM-Ergebnissen zugestellt, ohne DMARC-Richtliniendurchsetzung. Verwenden Sie einen DMARC-Checker, um die Syntax Ihres Eintrags vor der Veröffentlichung zu validieren."}},{"@type":"Question","name":"Wie lange dauert es, bis ein DMARC-Eintrag wirksam wird?","acceptedAnswer":{"@type":"Answer","text":"DMARC-Einträge werden wirksam, sobald die DNS-Propagierung abgeschlossen ist, typischerweise innerhalb von Minuten bis 48 Stunden. Aggregierte Berichte treffen jedoch erst 24 bis 72 Stunden nach der Veröffentlichung ein, da Empfänger Berichte täglich bündeln. Warten Sie eine volle Woche, bevor Sie schlussfolgern, dass keine Berichte generiert werden."}},{"@type":"Question","name":"Benötigen Subdomains eigene DMARC-Einträge?","acceptedAnswer":{"@type":"Answer","text":"Subdomains erben die DMARC-Richtlinie der übergeordneten Domain automatisch. Sie benötigen nur dann einen separaten Subdomain-DMARC-Eintrag, wenn die Subdomain eine andere Richtlinie erfordert. Der sp=-Tag im übergeordneten Eintrag kann auch eine subdomain-spezifische Richtlinie setzen, ohne separate Einträge zu erstellen."}}]}] ``` ```json {"@context":"https://schema.org","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https://dmarcreport.com/"},{"@type":"ListItem","position":2,"name":"Lernen","item":"https://dmarcreport.com/de/was-ist-dmarc/"},{"@type":"ListItem","position":3,"name":"DMARC-Eintrag","item":"https://dmarcreport.com/de/dmarc-eintrag/"}]} ```