Skip to main content
Neu KI-gestutzte DMARC-Analyse + offene REST-API Mehr erfahren →
DMARC-Richtlinien

Wählen Sie die richtige DMARC-Richtlinie
für Ihre Domain

Die DMARC-Richtlinie (p=-Tag) teilt empfangenden Mailservern mit, was mit Nachrichten zu tun ist, die die DMARC-Authentifizierung nicht bestehen. Es gibt drei Optionen — none, quarantine und reject — und jede Domain sollte dem gleichen Weg von der Überwachung zur vollständigen Durchsetzung folgen.

Gemäß RFC 7489 gilt die Richtlinie nur, wenn SOWOHL SPF-Ausrichtung als auch DKIM-Ausrichtung fehlschlagen. Wenn eine von beiden besteht und ausgerichtet ist, besteht die Nachricht DMARC unabhängig von der Richtlinie.

DMARC-Richtlinie prüfen Zeitplan anzeigen
Die drei Richtlinien

none, quarantine, reject

Jede Richtlinie ist ein Schritt auf dem Durchsetzungsweg. Beginnen Sie mit Sichtbarkeit, bauen Sie Vertrauen auf, dann setzen Sie durch.

p=none Nur überwachen

Alles sehen. Nichts blockieren.

Empfangende Mailserver ergreifen keine Durchsetzungsmaßnahme bei Nachrichten, die DMARC nicht bestehen. Sie senden trotzdem aggregierte Berichte an den Domain-Inhaber zurück und bieten volle Sichtbarkeit über jede Quelle, die E-Mails von der Domain versendet.

Beispiel-Eintrag
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
Vorteile
  • Kein Risiko für die legitime E-Mail-Zustellung
  • Volle Sichtbarkeit aller Sendequellen über aggregierte Berichte
  • Erforderlicher erster Schritt — Sie müssen überwachen, bevor Sie durchsetzen
  • Erfüllt die Google/Yahoo-Mindestanforderung für Massenversender
Einschränkungen
  • Bietet keinen Schutz gegen Spoofing oder Phishing
  • Angreifer können weiterhin E-Mails als Ihre Domain senden und sie werden zugestellt
  • Verbessert die Domain-Reputation bei Empfängern nicht
Wann verwenden

Beginnen Sie immer hier. Veröffentlichen Sie p=none mit rua=-Berichterstattung und überwachen Sie mindestens 90 Tage. Nutzen Sie diese Phase, um jeden legitimen Absender zu identifizieren, ihre SPF/DKIM-Konfiguration zu korrigieren und die Ausrichtung zu bestätigen, bevor Sie zur Durchsetzung übergehen.

Was mit einer fehlgeschlagenen E-Mail passiert
1

E-Mail besteht SPF + DKIM-Ausrichtung nicht

2

Empfänger prüft DMARC-Richtlinie: p=none

3

E-Mail wird normal im Posteingang zugestellt

4

Aggregierter Bericht an Domain-Inhaber gesendet

p=quarantine In Spam verschieben

Verdächtige E-Mails landen im Spam. Legitime E-Mails fließen weiter.

Nachrichten, die DMARC nicht bestehen, werden in den Spam- oder Junk-Ordner des Empfängers verschoben. Die Nachricht existiert weiterhin — Empfänger können sie bei Bedarf finden — aber sie ist klar als verdächtig markiert. Dies ist der Sicherheitsnetz-Durchsetzungsschritt.

Beispiel-Eintrag
v=DMARC1; p=quarantine; rua=mailto:dmarc@beispiel.de
Vorteile
  • Aktiver Schutz — gefälschte Nachrichten verlassen den Posteingang
  • Sicherheitsnetz für fehlkonfigurierte Absender (Nachrichten gehen nicht verloren)
  • Signalisiert Empfängern, dass Sie E-Mail-Sicherheit ernst nehmen
  • Guter Mittelweg während des Durchsetzungsübergangs
Einschränkungen
  • Legitime Absender mit fehlerhafter Authentifizierung landen im Spam
  • Empfänger prüfen möglicherweise nicht den Spam-Ordner, was zu verpassten E-Mails führt
  • Einige Empfänger behandeln quarantine in der Praxis wie reject
Wann verwenden

Nach 90+ Tagen bei p=none mit allen identifizierten legitimen Absendern, die die Authentifizierung bestehen. Wechseln Sie erst hierher, wenn Ihre aggregierten Berichte konsistente SPF/DKIM-Ausrichtung für jede autorisierte Quelle zeigen.

Was mit einer fehlgeschlagenen E-Mail passiert
1

E-Mail besteht SPF + DKIM-Ausrichtung nicht

2

Empfänger prüft DMARC-Richtlinie: p=quarantine

3

E-Mail in Spam-/Junk-Ordner verschoben

4

Aggregierter Bericht an Domain-Inhaber gesendet

p=reject Vollständig blockieren

Vollständige Durchsetzung. Gefälschte E-Mails kommen nie an.

Nachrichten, die DMARC nicht bestehen, werden auf SMTP-Ebene abgelehnt — der Empfänger sieht sie nie und der sendende Server erhält einen Bounce. Dies ist der stärkste Schutz und das ultimative Ziel für jede Domain.

Beispiel-Eintrag
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
Vorteile
  • Maximaler Schutz gegen Domain-Spoofing und Phishing
  • Angreifer können keine E-Mails zustellen, die Ihre Domain imitieren
  • Höchstes Domain-Reputationssignal bei empfangenden Mailservern
  • Qualifiziert für BIMI (Brand Indicators for Message Identification)
Einschränkungen
  • Fehlkonfigurierte legitime Absender werden vollständig blockiert — nicht einmal Spam
  • E-Mail-Weiterleitungsketten, die die Ausrichtung brechen, scheitern
  • Erfordert gründliche Überwachung vor der Bereitstellung
Wann verwenden

Nach 90+ Tagen bei p=quarantine mit sauberen aggregierten Berichten. Alle legitimen Absender müssen konsistent SPF- oder DKIM-Ausrichtung bestehen. Der gesamte Weg von p=none zu p=reject dauert typischerweise 9 bis 18 Monate.

Was mit einer fehlgeschlagenen E-Mail passiert
1

E-Mail besteht SPF + DKIM-Ausrichtung nicht

2

Empfänger prüft DMARC-Richtlinie: p=reject

3

E-Mail auf SMTP-Ebene abgelehnt — nie zugestellt

4

Aggregierter Bericht an Domain-Inhaber gesendet

Der Weg

Der Weg zur vollständigen Durchsetzung

Jede Domain folgt dem gleichen Verlauf. Der Zeitrahmen hängt von der Komplexität ab — mehr Absender bedeuten mehr Zeit zur Konfiguration. Planen Sie 9 bis 18 Monate vom ersten Eintrag bis zum vollständigen p=reject.

p=none

Phase 1: Überwachen

Mindestens 90 Tage

DMARC-Eintrag mit p=none und rua=-Berichterstattung veröffentlichen. Aggregierte Berichte analysieren, um jede Quelle zu identifizieren, die E-Mails von Ihrer Domain versendet. SPF und DKIM für alle legitimen Absender korrigieren.

p=quarantine

Phase 2: Quarantäne

Mindestens 90 Tage

Zu p=quarantine wechseln. Mit pct=10 beginnen und schrittweise erhöhen. Berichte auf neu betroffene Absender überwachen. Verbleibende Authentifizierungsprobleme beheben.

p=reject

Phase 3: Ablehnen

Fortlaufend

Zu p=reject übergehen mit vollem Vertrauen, dass alle legitimen E-Mails bestehen. Weiter überwachen — neue Absender, IP-Änderungen und Anbieter-Updates können die Authentifizierung jederzeit brechen.

Gesamtzeitrahmen: 9-18 Monate

Organisationen mit wenigen Absendern erreichen p=reject möglicherweise schneller. Komplexe Umgebungen mit Dutzenden von Drittanbieter-Diensten brauchen länger. Der Schlüssel sind datengestützte Entscheidungen — überspringen Sie nie die Überwachungsphasen.

Schrittweise Einführung

Das pct=-Tag:
Durchsetzung mit Sicherheitsnetz

Das pct=-Tag steuert, welcher Prozentsatz der fehlgeschlagenen Nachrichten die Durchsetzungsmaßnahme erhält. Nachrichten außerhalb des Prozentsatzes werden behandelt, als wäre die Richtlinie p=none. Dies ermöglicht eine schrittweise Einführung der Durchsetzung bei gleichzeitiger Überwachung auf Probleme.

Beispiel
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de

25% der fehlgeschlagenen Nachrichten werden in Quarantäne gestellt. Die restlichen 75% werden normal zugestellt.

pct=10

Durchsetzung auf 10% der fehlgeschlagenen Nachrichten anwenden. Die restlichen 90% werden wie p=none behandelt. Gut für erste Tests.

2-4 Wochen
pct=25

Auf 25% erhöhen. Aggregierte Berichte auf neu betroffene legitime Absender überwachen.

2-4 Wochen
pct=50

Die Hälfte der fehlgeschlagenen Nachrichten erhält jetzt die Durchsetzungsmaßnahme. Die meisten Probleme werden in dieser Phase aufgedeckt.

2-4 Wochen
pct=100

Vollständige Durchsetzung. Alle Nachrichten, die die DMARC-Ausrichtung nicht bestehen, erhalten die veröffentlichte Richtlinienmaßnahme. Dies ist der Standard, wenn pct= nicht angegeben ist.

Dauerhaft
DNS TXT-Einträge
_dmarc.beispiel.de
v=DMARC1; p=reject; sp=quarantine; rua=...
beispiel.de
p=reject
*.beispiel.de
sp=quarantine

Hauptdomain ist vollständig durchgesetzt. Subdomains werden in Quarantäne gestellt, während sie konfiguriert werden.

Subdomain-Richtlinie

Das sp=-Tag: Subdomain-Steuerung

Das sp=-Tag setzt eine separate DMARC-Richtlinie für Subdomains. Ohne es erben Subdomains die p=-Richtlinie der Hauptdomain. Dies ist nützlich, wenn Ihre Hauptdomain bereit für die Durchsetzung ist, aber Subdomains mehr Zeit benötigen.

  • sp=none — Subdomains werden überwacht, während sie konfiguriert werden
  • sp=quarantine — Subdomains erhalten zwischenzeitliche Durchsetzung
  • sp=reject — Subdomains sind vollständig durchgesetzt (gleich wie kein sp= bei p=reject)
  • sp= weglassen — Subdomains erben die p=-Richtlinie
Vermeiden Sie diese

Häufige DMARC-Richtlinien-Fehler

Dies sind die Fehler, die wir am häufigsten bei DMARC-Bereitstellungen sehen. Jeder einzelne ist mit ordnungsgemäßer Überwachung und einem phasenweisen Ansatz vermeidbar.

Zu schnell durchsetzen

Der Sprung zu p=reject ohne mindestens 90 Tage bei p=none führt dazu, dass legitime E-Mails blockiert werden. Marketing-Plattformen, CRM-Tools und Ticketing-Systeme scheitern oft bei DMARC, wenn sie nicht richtig konfiguriert sind.

Keine Überwachung nach der Durchsetzung

DMARC ist kein „einmal einrichten und vergessen". Neue Sendequellen, IP-Änderungen und Anbieter-Updates können die Authentifizierung jederzeit brechen. Kontinuierliche Überwachung erkennt Probleme, bevor sie die Zustellung beeinträchtigen.

Drittanbieter-Absender ignorieren

Jeder Dienst, der E-Mails in Ihrem Namen versendet — Mailchimp, HubSpot, Salesforce, Zendesk — muss SPF-Includes oder DKIM-Signierung konfiguriert haben. Das Fehlen eines einzigen verursacht Fehler bei der Durchsetzung.

Subdomains vergessen

Ohne ein sp=-Tag erben Subdomains die Richtlinie der Hauptdomain. Aber wenn Sie p=reject durchsetzen, ohne Subdomain-Absender zu prüfen, blockieren Sie möglicherweise legitime Subdomain-E-Mails. Setzen Sie sp= explizit.

Veröffentlichung ohne rua=

Ein DMARC-Eintrag ohne rua=-Berichterstattung ist ein Blindflug. Sie haben keine Sichtbarkeit der Authentifizierungsergebnisse, keine Möglichkeit, Spoofing zu erkennen, und keine Daten für Durchsetzungsentscheidungen.

Relaxed Alignment wenn strict nötig ist

Relaxed Alignment (Standard) lässt mail.beispiel.de sich an beispiel.de ausrichten. Für die meisten Organisationen ist dies korrekt, aber Hochsicherheits-Domains benötigen möglicherweise strict Alignment, um Subdomain-Missbrauch zu verhindern.

FAQ

Fragen zur DMARC-Richtlinie

Was ist die beste DMARC-Richtlinie?

Die beste DMARC-Richtlinie ist p=reject, die maximalen Schutz gegen Domain-Spoofing bietet. Sie müssen p=reject jedoch über einen phasenweisen Ansatz erreichen: Beginnen Sie bei p=none (90+ Tage überwachen), wechseln Sie zu p=quarantine (90+ Tage), dann setzen Sie p=reject durch. Ein direkter Sprung zu reject führt dazu, dass legitime E-Mails blockiert werden.

Wie lange sollte ich bei p=none bleiben, bevor ich durchsetze?

Bleiben Sie mindestens 90 Tage bei p=none — ein volles Quartal. Dies gibt Ihnen genügend Daten aus aggregierten Berichten, um alle legitimen Sendequellen zu identifizieren und ihre Authentifizierung zu korrigieren. Einige Organisationen mit vielen Drittanbieter-Absendern benötigen möglicherweise länger. Der gesamte Weg zu p=reject dauert typischerweise 9 bis 18 Monate.

Bietet p=quarantine ausreichenden Schutz?

Quarantine ist ein bedeutender Schritt gegenüber p=none, da gefälschte Nachrichten den Posteingang verlassen. Sie existieren jedoch noch im Spam-Ordner. Für vollständigen Schutz ist p=reject das Ziel — es verhindert die Zustellung gefälschter Nachrichten vollständig. Einige Compliance-Rahmenwerke (wie PCI DSS v4.0) erfordern ausdrücklich p=reject.

Was passiert, wenn ich p=reject setze und ein legitimer Absender scheitert?

Die E-Mail des legitimen Absenders wird abgelehnt — der Empfänger erhält sie nicht. Deshalb ist die Überwachung bei p=none und p=quarantine vor der Durchsetzung unerlässlich. Verwenden Sie das pct=-Tag für eine schrittweise Einführung (beginnen Sie mit pct=10), damit Sie Fehlkonfigurationen erkennen, bevor sie alle E-Mails betreffen.

Kann ich verschiedene Richtlinien für meine Domain und Subdomains haben?

Ja. Das sp=-Tag (Subdomain-Richtlinie) ermöglicht es Ihnen, eine separate Richtlinie für Subdomains festzulegen. Sie könnten beispielsweise p=reject auf Ihrer Hauptdomain durchsetzen, während Sie sp=none auf Subdomains beibehalten, die noch konfiguriert werden. Wenn sp= nicht gesetzt ist, erben Subdomains die Richtlinie der Hauptdomain.

Was ist das pct=-Tag und wie sollte ich es verwenden?

Das pct=-Tag steuert, welcher Prozentsatz der fehlgeschlagenen Nachrichten die Durchsetzungsmaßnahme erhält. Bei pct=10 werden nur 10% der fehlgeschlagenen Nachrichten in Quarantäne gestellt oder abgelehnt — der Rest wird wie p=none behandelt. Erhöhen Sie schrittweise von 10 auf 25, 50 und 100 über mehrere Wochen, um sicher zur vollständigen Durchsetzung überzugehen.

Sehen Sie Ihre aktuelle DMARC-Richtlinie in Aktion

Kostenlose Testphase — aggregierte Berichte überwachen, Absender identifizieren und Ihren Durchsetzungsweg planen.

Kostenlos testen

Teams vertrauen DMARC Report für die Durchsetzung

G2 Leader — DMARC

Rated 4.8/5 on G2 · 469 verified reviews

G2 Momentum Leader — DMARC
ZK

Zunaid K.

Director

5/5

"Essential tool for email delivery"

This tool helps us to implement DMARC reporting for our domains in an easy to use manner.

8/8/2024 Verified on G2
VU

Verified User in Information Technology and Services

5/5

"Best security tool for your own domains"

The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.

8/31/2022 Verified on G2
LH

Larry H.

Research & Development Manager

5/5

"Good tool to buy"

I have used many tools for monitoring DMARC reports. But DMARC Report is a good tool to use. It helps avoid sending emails to spam.

8/30/2022 Verified on G2
Read all 469 reviews on G2 →