Skip to main content
New AI-powered DMARC analysis + open REST API See how → →
E-Mail-Authentifizierung

Was ist ein DMARC-Eintrag?

Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, veröffentlicht bei _dmarc.ihredomain.de, der empfangenden Mailservern mitteilt, was zu tun ist, wenn die SPF- oder DKIM-Authentifizierung fehlschlägt. Er legt Ihre Richtlinie (none, quarantine oder reject), Ausrichtungsanforderungen und die Zieladressen für aggregierte und forensische Berichte fest.

Definiert in RFC 7489 — vorgeschrieben von Google, Yahoo, Microsoft und PCI DSS v4.0.

DMARC-Eintrag prüfen Alle Tags ansehen
Aufbau

Wie sieht ein DMARC-Eintrag aus?

Ein vollständiger DMARC-Eintrag mit allen gängigen Tags, Tag für Tag aufgeschlüsselt.

_dmarc.beispiel.de TXT 
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; ruf=mailto:forensik@beispiel.de; adkim=s; aspf=r; pct=100; sp=reject
v=DMARC1 Version (erforderlich)
p=reject Richtlinie: Fehler blockieren
rua= Aggregierte Berichtsadresse
ruf= Forensische Berichtsadresse
adkim=s Strikte DKIM-Ausrichtung
aspf=r Relaxed SPF-Ausrichtung
pct=100 Auf 100% der Fehler anwenden
sp=reject Subdomain-Richtlinie: Ablehnen
Referenz

Alle DMARC-Eintrag-Tags

Jeder Tag aus der DMARC-Spezifikation mit akzeptierten Werten, Beschreibungen und häufigen Fehlern, die vermieden werden sollten.

v= Erforderlich

Version

Protokollversions-Bezeichner. Muss der erste Tag in jedem DMARC-Eintrag sein. Der einzig gültige Wert ist DMARC1.

Werte
DMARC1
Beispiel
v=DMARC1
Wenn v= an einer anderen Stelle als am Anfang des Eintrags steht, wird ein PermError ausgelöst.
p= Erforderlich

Richtlinie

Teilt Empfängern mit, was mit Nachrichten geschehen soll, die die DMARC-Authentifizierung nicht bestehen. Beginnen Sie mit none zur Überwachung, gehen Sie dann über quarantine zu reject.

Werte
none | quarantine | reject
Beispiel
p=reject
Direkt zu p=reject zu springen, ohne vorher zu überwachen, führt dazu, dass legitime E-Mails blockiert werden.
rua= Optional

Aggregierte Bericht-URI

Wohin Empfänger tägliche aggregierte (XML-)Berichte senden, die Authentifizierungsergebnisse für alle Nachrichten Ihrer Domain zusammenfassen.

Werte
mailto:adresse
Beispiel
rua=mailto:dmarc@beispiel.de
Wenn rua= weggelassen wird, haben Sie keine Sichtbarkeit. Setzen Sie immer eine Berichtsadresse.
ruf= Optional

Forensische Bericht-URI

Wohin Empfänger forensische Berichte pro Nachricht mit Fehlerdetails senden. Nicht alle Empfänger unterstützen RUF.

Werte
mailto:adresse
Beispiel
ruf=mailto:forensik@beispiel.de
Zu erwarten, dass alle Empfänger forensische Berichte senden. Viele (Google, Microsoft) tun dies nicht.
sp= Optional

Subdomain-Richtlinie

Überschreibt die Hauptrichtlinie für Subdomains. Wenn weggelassen, erben Subdomains den p=-Wert.

Werte
none | quarantine | reject
Beispiel
sp=reject
sp= zu vergessen, wenn Subdomains eine andere Richtlinie als die Hauptdomain benötigen.
adkim= Optional

DKIM-Ausrichtung

Steuert, ob die DKIM-Signierungsdomain genau übereinstimmen (strict) oder eine Subdomain der (relaxed) From-Header-Domain sein kann. Standard: relaxed.

Werte
r (relaxed) | s (strict)
Beispiel
adkim=r
Strikte Ausrichtung setzen, bevor bestätigt ist, dass alle Absender mit der Organisationsdomain signieren.
aspf= Optional

SPF-Ausrichtung

Steuert, ob die SPF-authentifizierte Domain genau übereinstimmen (strict) oder eine Subdomain der (relaxed) From-Header-Domain sein kann. Standard: relaxed.

Werte
r (relaxed) | s (strict)
Beispiel
aspf=r
aspf=s setzen, wenn Drittanbieter-Absender ihre eigene Return-Path-Subdomain verwenden.
pct= Optional

Prozentsatz

Prozentsatz der fehlschlagenden Nachrichten, auf die die Richtlinie angewendet wird. Verwenden Sie dies für eine schrittweise Durchsetzung. Standard: 100.

Werte
1-100
Beispiel
pct=25
Vergessen, pct= nach dem ersten Rollout zu erhöhen, wodurch der Großteil der E-Mails nicht durchgesetzt wird.
fo= Optional

Forensische Optionen

Steuert, wann forensische Berichte erzeugt werden. 0=SPF und DKIM fehlgeschlagen, 1=eines fehlgeschlagen, d=DKIM fehlgeschlagen, s=SPF fehlgeschlagen.

Werte
0 | 1 | d | s
Beispiel
fo=1
fo= auf Standard (0) belassen, was nur berichtet, wenn sowohl SPF als auch DKIM fehlschlagen.
Syntax

DMARC-Eintrag-Strukturregeln

Ein gültiger DMARC-Eintrag muss diesen Regeln folgen. Die Verletzung einer dieser Regeln führt dazu, dass Empfänger den Eintrag vollständig ignorieren.

1

Ein Eintrag pro Domain

Eine Domain muss genau einen DMARC-TXT-Eintrag haben. Mehrere Einträge verursachen einen PermError und Empfänger ignorieren alle.

2

Veröffentlicht bei _dmarc-Subdomain

Der Eintrag muss ein TXT-Eintrag bei _dmarc.ihredomain.de sein — nicht bei der Root-Domain, nicht bei _dmarc.www.ihredomain.de.

3

Muss mit v=DMARC1 beginnen

Der v=-Tag muss der erste Tag im Eintrag sein. Jeder andere Tag am Anfang macht den Eintrag ungültig.

4

Tags durch Semikolons getrennt

Jeder Tag wird durch ein Semikolon und optionale Leerzeichen getrennt: v=DMARC1; p=reject; rua=mailto:...

5

Tag-Namen nicht case-sensitiv

Tag-Namen (p=, rua=, adkim=) sind nicht case-sensitiv, aber Werte sind bei einigen Tags case-sensitiv.

Beispiele

DMARC-Eintrag-Beispiele nach Phase

Drei Einträge für die drei Phasen der DMARC-Implementierung. Jede Phase erfordert mindestens 90 Tage Überwachung. Der vollständige Weg zu p=reject dauert typischerweise 9 bis 18 Monate.

Nur Überwachung Phase 1 — Daten sammeln vor der Durchsetzung 
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de; fo=1

Beginnen Sie hier. Empfänger stellen alle E-Mails normal zu, senden Ihnen aber tägliche aggregierte Berichte. Der fo=1-Tag erzeugt forensische Berichte, wenn SPF oder DKIM fehlschlägt, und bietet maximale Sichtbarkeit.

Schrittweise Durchsetzung Phase 2 — 25% der Fehler in Quarantäne 
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de; ruf=mailto:forensik@beispiel.de; adkim=r; aspf=r

Nach 90+ Tagen Überwachung mit p=none wechseln Sie zu quarantine mit pct=25. Nur 25% der fehlschlagenden Nachrichten landen im Spam. Erhöhen Sie pct= schrittweise (50, 75, 100) über mehrere Wochen, während Sie bestätigen, dass legitime E-Mails bestehen.

Vollständige Ablehnung Phase 3 — Maximaler Schutz 
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; ruf=mailto:forensik@beispiel.de; adkim=s; aspf=s; sp=reject

Das Endziel. Alle Nachrichten, die DMARC nicht bestehen, werden auf SMTP-Ebene abgelehnt. Strikte Ausrichtung stellt eine exakte Domain-Übereinstimmung sicher. sp=reject erweitert den Schutz auf alle Subdomains. Diese Phase zu erreichen dauert typischerweise 9 bis 18 Monate.

Validieren

Wie prüft man einen DMARC-Eintrag?

Verwenden Sie ein DMARC-Checker-Tool, um den DNS-TXT-Eintrag bei _dmarc.ihredomain.de abzufragen und zu validieren, dass Syntax, Tags und Werte korrekt sind.

  • Validiert Eintragssyntax und Tag-Reihenfolge
  • Prüft auf mehrere widersprüchliche Einträge
  • Verifiziert, dass rua= und ruf=-Adressen erreichbar sind
  • Bestätigt Ausrichtungsmodus und Richtlinieneinstellungen
DMARC-Eintrag prüfen
DMARC Checker — beispiel.de
Eintrag gefunden
_dmarc.beispiel.de
Bestanden
Richtlinie
p=reject
Bestanden
Aggregierte Berichte
rua=mailto:dmarc@beispiel.de
Bestanden
DKIM-Ausrichtung
adkim=s (strikt)
Bestanden
SPF-Ausrichtung
aspf=r (relaxed)
Bestanden
Subdomain-Richtlinie
sp=reject
Bestanden
Erstellen

Wie erstellt man einen DMARC-Eintrag?

Verwenden Sie unseren kostenlosen DMARC-Eintrag-Generator, um in Sekunden einen gültigen Eintrag zu erstellen — wählen Sie Ihre Richtlinie, geben Sie Ihre Berichtsadresse ein und kopieren Sie den TXT-Eintrag in Ihr DNS.

DMARC-Eintrag generieren
Oder folgen Sie unserer Schritt-für-Schritt-Anleitung →
FAQ

Häufig gestellte Fragen zu DMARC-Einträgen

Kann ich mehrere DMARC-Einträge für eine Domain haben?

Nein. Eine Domain muss genau einen DMARC-TXT-Eintrag bei _dmarc.ihredomain.de haben. Wenn mehrere Einträge existieren, geben Empfänger einen PermError zurück und ignorieren alle. Um Berichte an mehrere Adressen zu senden, listen Sie sie kommagetrennt im rua=-Tag auf: rua=mailto:adr1@beispiel.de,mailto:adr2@beispiel.de.

Wo füge ich meinen DMARC-Eintrag im DNS hinzu?

Fügen Sie einen TXT-Eintrag mit dem Host/Namen _dmarc hinzu (Ihr DNS-Anbieter fügt die Domain automatisch hinzu). Der Eintragstyp ist TXT und der Wert ist Ihr DMARC-Richtlinienstring, der mit v=DMARC1 beginnt. Änderungen werden innerhalb von Minuten bis 48 Stunden propagiert, abhängig von den TTL-Einstellungen.

Was ist der minimal gültige DMARC-Eintrag?

Der minimal gültige DMARC-Eintrag ist v=DMARC1; p=none — nur die Version- und Richtlinien-Tags. Ohne rua= erhalten Sie jedoch keine Berichte und haben keine Sichtbarkeit. Das praktische Minimum ist v=DMARC1; p=none; rua=mailto:ihre-adresse@beispiel.de.

Was passiert, wenn mein DMARC-Eintrag einen Syntaxfehler hat?

Empfänger, die einen Syntaxfehler erkennen, behandeln den Eintrag so, als existiere kein DMARC-Eintrag. Nachrichten werden allein basierend auf SPF- und DKIM-Ergebnissen zugestellt, ohne DMARC-Richtliniendurchsetzung. Verwenden Sie einen DMARC-Checker, um die Syntax Ihres Eintrags vor der Veröffentlichung zu validieren.

Wie lange dauert es, bis ein DMARC-Eintrag wirksam wird?

DMARC-Einträge werden wirksam, sobald die DNS-Propagierung abgeschlossen ist, typischerweise innerhalb von Minuten bis 48 Stunden. Aggregierte Berichte treffen jedoch erst 24 bis 72 Stunden nach der Veröffentlichung ein, da Empfänger Berichte täglich bündeln. Warten Sie eine volle Woche, bevor Sie schlussfolgern, dass keine Berichte generiert werden.

Benötigen Subdomains eigene DMARC-Einträge?

Subdomains erben die DMARC-Richtlinie der übergeordneten Domain automatisch. Sie benötigen nur dann einen separaten Subdomain-DMARC-Eintrag, wenn die Subdomain eine andere Richtlinie erfordert. Der sp=-Tag im übergeordneten Eintrag kann auch eine subdomain-spezifische Richtlinie setzen, ohne separate Einträge zu erstellen.

Prüfen Sie jetzt Ihren DMARC-Eintrag

Validieren Sie Syntax, Tags und Berichtskonfiguration Ihres Eintrags in Sekunden mit unserem kostenlosen DMARC-Checker.

DMARC-Eintrag prüfen

Vertraut von Sicherheitsteams weltweit

G2 Leader — DMARC

Rated 4.8/5 on G2 · 469 verified reviews

G2 Momentum Leader — DMARC
DG

Dave G.

Owner

5/5

"DMARC Report has been invaluable in fixing email deliverability issues for our clients"

DMARC Report dashboard allows us to see easily what is compliant and what isn't compliant so we can quickly fix issues.

9/27/2022 Verified on G2
ZK

Zunaid K.

Director

5/5

"Essential tool for email delivery"

This tool helps us to implement DMARC reporting for our domains in an easy to use manner.

8/8/2024 Verified on G2
VU

Verified User in Information Technology and Services

5/5

"Best security tool for your own domains"

The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.

8/31/2022 Verified on G2
Read all 469 reviews on G2 →