Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) ist ein E-Mail-Authentifizierungsprotokoll, das empfangenden Mailservern mitteilt, was zu tun ist, wenn SPF- oder DKIM-Prüfungen fehlschlagen. Ohne DMARC weiß ein Empfänger, dass eine E-Mail die Authentifizierung nicht bestanden hat, hat aber keine Anweisung, ob sie abgelehnt, in Quarantäne gestellt oder durchgelassen werden soll. DMARC schließt diese Lücke.
Definiert in RFC 7489 und vorgeschrieben von Google, Yahoo und PCI DSS v4.0 für Massenversender und kundenorientierte Domains.
Wer erfordert DMARC?
DMARC hat sich von einer optionalen Best Practice zur verpflichtenden Compliance in den Bereichen Regierung, Finanzen, Gesundheitswesen und kritische Infrastrukturen weltweit entwickelt.
Regierungsvorschriften
Alle Domains der US-Bundesbehörden müssen DMARC mit p=reject implementieren
Erweitert E-Mail-Authentifizierungs-Baselines, stimmt mit Microsoft/Google/Yahoo-Absenderanforderungen überein
Zentralregierungs-Domains müssen DMARC, SPF, DKIM und TLS implementieren. Alle Domains einschließlich geparkter Domains benötigen DMARC-Einträge
Das Australian Signals Directorate erklärt DMARC als kritisch — sofort implementieren, unabhängig von bestehenden Kontrollen
Bundesbehörden müssen DMARC, SPF und DKIM implementieren. Mindestens p=none mit schrittweiser Progression zu p=reject
Branchenstandards
Anti-Phishing-Mechanismen einschließlich DMARC seit dem 31. März 2025 für alle Organisationen, die Zahlungskartendaten verarbeiten, erforderlich
Empfiehlt DMARC mit p=reject als Zielrichtlinie. Einträge auf allen Domains veröffentlichen, einschließlich nicht-sendender Domains
DMARC implementieren, um die Wahrscheinlichkeit gefälschter oder modifizierter E-Mails von gültigen Domains zu senken
Erfordert robuste Cybersicherheitsmaßnahmen einschließlich E-Mail-Sicherheitskontrollen. DMARC stärkt die NIS2-Compliance neben DSGVO und PCI DSS
Standard für Informationssicherheits-Management — DMARC-Implementierung unterstützt Annex-A-Kontrollen für Kommunikationssicherheit
E-Mail-Anbieter-Anforderungen
Massenversender (5.000+ Nachrichten/Tag an Gmail) müssen seit Februar 2024 DMARC mit mindestens p=none haben
Massenversender müssen sich seit Februar 2024 mit DMARC neben SPF und DKIM authentifizieren
Ab dem 5. Mai 2025 lehnt Microsoft E-Mails ab, die DMARC nicht bestehen, von Massenversendern an Outlook.com, Hotmail und Live.com
Apple setzt DMARC-Richtlinien auf iCloud-Mail-Domains durch und lehnt Nachrichten ab, die bei p=reject die Authentifizierung nicht bestehen
60% der BEC-Schäden stammen von Domains ohne Durchsetzung. Versicherer verlangen zunehmend SPF, DKIM und DMARC als Zeichnungsbedingungen
E-Mail wurde ohne Absenderverifizierung entwickelt
Das SMTP-Protokoll hat keine eingebaute Möglichkeit zu überprüfen, ob die Person im „Von"-Feld die Nachricht tatsächlich gesendet hat. Jeder kann E-Mails versenden und dabei vorgeben, jemand anders zu sein. DMARC behebt dies.
Ohne DMARC
Mit DMARC (p=reject)
Drei Schritte, jede E-Mail
DMARC baut auf SPF und DKIM auf, indem es Richtliniendurchsetzung und Berichterstattung hinzufügt. So funktioniert es, wenn eine DMARC-geschützte E-Mail bei einem empfangenden Server ankommt.
Absender veröffentlicht einen DMARC-Eintrag
Der Domain-Inhaber fügt einen TXT-Eintrag unter _dmarc.domain.com im DNS hinzu. Dieser Eintrag enthält die Richtlinie (none, quarantine oder reject) und die Berichtsadresse.
Empfänger prüft SPF + DKIM-Ausrichtung
Wenn eine E-Mail ankommt, prüft der empfangende Server, ob SPF oder DKIM besteht UND ob die authentifizierte Domain mit der From-Header-Domain übereinstimmt. Diese Ausrichtungsprüfung unterscheidet DMARC von SPF oder DKIM allein.
Richtlinie angewendet, Bericht gesendet
Wenn die Ausrichtung fehlschlägt, wendet der Empfänger die veröffentlichte Richtlinie an — normal zustellen (none), in Spam verschieben (quarantine) oder vollständig ablehnen. In jedem Fall sendet der Empfänger einen aggregierten Bericht an den Domain-Inhaber.
Aufbau eines DMARC-Eintrags
Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, veröffentlicht unter _dmarc.ihredomain.com. Jedes Tag steuert ein bestimmtes Verhalten.
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; ruf=mailto:forensic@beispiel.de; adkim=s; aspf=r; pct=100; fo=1 v=DMARC1 Erforderlich Protokollversions-Kennzeichnung. Muss das erste Tag in jedem DMARC-Eintrag sein.
v=DMARC1 p= Erforderlich Richtlinie für die Domain: none (überwachen), quarantine (Spam-Ordner) oder reject (blockieren).
p=reject rua= Adresse für aggregierte Berichte — tägliche XML-Zusammenfassungen der Authentifizierungsergebnisse von Empfängern.
rua=mailto:dmarc@example.com ruf= Adresse für forensische Berichte — Fehlerdetails pro Nachricht zur Untersuchung von Spoofing-Versuchen.
ruf=mailto:forensic@example.com sp= Subdomain-Richtlinie. Überschreibt die Hauptrichtlinie für Subdomains. Standardmäßig wird der p=-Wert verwendet.
sp=reject adkim= DKIM-Ausrichtungsmodus: strict (s) erfordert exakte Domain-Übereinstimmung, relaxed (r) erlaubt Subdomain-Ausrichtung.
adkim=r aspf= SPF-Ausrichtungsmodus: strict (s) erfordert exakte Domain-Übereinstimmung, relaxed (r) erlaubt Subdomain-Ausrichtung.
aspf=r pct= Prozentsatz der fehlgeschlagenen Nachrichten, auf die die Richtlinie angewendet wird. Für schrittweise Einführung (z.B. pct=10, dann erhöhen).
pct=100 fo= Forensische Berichtsoptionen. Steuert, wann forensische Berichte generiert werden (0=beide fehlgeschlagen, 1=einer fehlgeschlagen, d=DKIM-Fehler, s=SPF-Fehler).
fo=1 Die drei DMARC-Richtlinien
Jede DMARC-Reise folgt dem gleichen Weg: überwachen, Quarantäne, ablehnen. Jede Richtlinie baut auf der vorherigen auf. Mehr über DMARC-Richtlinien erfahren.
p=none Empfänger ergreifen keine Maßnahmen bei fehlgeschlagenen Nachrichten. Berichte werden weiterhin gesendet und geben Einblick, wer E-Mails von Ihrer Domain versendet.
p=quarantine Fehlgeschlagene Nachrichten werden in den Spam- oder Junk-Ordner verschoben. Empfänger können sie noch finden, aber sie sind als verdächtig markiert.
p=reject Fehlgeschlagene Nachrichten werden auf SMTP-Ebene abgelehnt. Der Empfänger sieht sie nie. Dies ist die vollständige Durchsetzung.
Wie SPF, DKIM und DMARC
zusammenarbeiten
Jedes Protokoll löst einen anderen Teil des E-Mail-Authentifizierungs-Puzzles. SPF autorisiert sendende Server. DKIM garantiert die Nachrichtenintegrität. DMARC verbindet sie mit Ausrichtung und Richtlinie.
-
SPFÜberprüft, ob die sendende Server-IP durch den DNS-Eintrag der Domain autorisiert ist. Prüft den Envelope-Absender (Return-Path).
SPF-Eintrag prüfen → -
DKIMFügt eine kryptografische Signatur an die E-Mail-Header an. Der empfangende Server überprüft die Signatur gegen einen öffentlichen Schlüssel im DNS.
DKIM-Eintrag prüfen → -
DMARCErfordert, dass entweder SPF oder DKIM besteht UND mit der From-Header-Domain übereinstimmt. Veröffentlicht eine Richtlinie für Fehler und ermöglicht Berichterstattung.
DMARC-Eintrag prüfen →
So richten Sie DMARC ein
Die DMARC-Bereitstellung folgt einem phasenweisen Ansatz. Überstürztes Durchsetzen ohne Überwachung führt dazu, dass legitime E-Mails blockiert werden. Planen Sie 9 bis 18 Monate vom ersten Eintrag bis zum vollständigen p=reject.
SPF konfigurieren
Veröffentlichen Sie einen SPF-TXT-Eintrag, der jede IP-Adresse und jeden Dienst auflistet, der berechtigt ist, E-Mails für Ihre Domain zu versenden. Halten Sie ihn unter 10 DNS-Lookups.
SPF-Eintrag prüfen →DKIM konfigurieren
Aktivieren Sie DKIM-Signierung für jede Sendequelle — Ihren Mailserver, Google Workspace, Microsoft 365, Marketing-Plattformen — damit ausgehende Nachrichten eine kryptografische Signatur tragen.
DKIM-Selektoren entdecken →DMARC mit p=none veröffentlichen
Fügen Sie einen DMARC-TXT-Eintrag unter _dmarc.ihredomain.com mit p=none und einer rua=-Adresse für aggregierte Berichte hinzu.
DMARC-Eintrag validieren →Berichte 90+ Tage überwachen
Analysieren Sie aggregierte Berichte, um jeden Absender zu identifizieren, Authentifizierungsfehler zu beheben und zu bestätigen, dass alle legitimen E-Mails SPF- oder DKIM-Ausrichtung bestehen.
Überwachung mit DMARC Report starten →Mit quarantine, dann reject durchsetzen
Wechseln Sie zu p=quarantine, überwachen Sie weitere 90+ Tage und gehen Sie dann zu p=reject über. Nutzen Sie pct= für eine schrittweise Einführung. Der gesamte Prozess dauert 9-18 Monate.
Mehr über DMARC-Richtlinien erfahren →Häufig gestellte Fragen
Was ist DMARC in einfachen Worten?
DMARC ist ein E-Mail-Sicherheitsprotokoll, das Domain-Inhabern ermöglicht, empfangenden Mailservern mitzuteilen, was zu tun ist, wenn eine E-Mail die Authentifizierungsprüfungen nicht besteht. Es verhindert, dass Angreifer E-Mails senden, die scheinbar von Ihrer Domain stammen, und schützt so Ihre Marke und Ihre Empfänger vor Phishing.
Wie lange dauert die DMARC-Implementierung?
Die Veröffentlichung eines DMARC-Eintrags mit p=none dauert Minuten. Die vollständige Durchsetzung mit p=reject dauert jedoch typischerweise 9 bis 18 Monate. Jede Phase (none, quarantine, reject) erfordert mindestens 90 Tage Überwachung, um alle legitimen Sendequellen zu identifizieren und zu beheben.
Stoppt DMARC alle Phishing-Angriffe?
DMARC stoppt direktes Domain-Spoofing — Angreifer können keine E-Mails senden, die die Authentifizierung mit Ihrer exakten Domain bestehen. Es verhindert jedoch keine Angriffe mit ähnlichen Domains (z.B. beisp1el.com) oder Phishing von unverwandten Domains. DMARC ist eine Schicht in einer mehrstufigen E-Mail-Sicherheitsstrategie.
Was ist der Unterschied zwischen SPF, DKIM und DMARC?
SPF überprüft, ob ein sendender Server vom Domain-Inhaber autorisiert ist. DKIM fügt eine kryptografische Signatur hinzu, um zu beweisen, dass die Nachricht während der Übertragung nicht verändert wurde. DMARC verbindet beide, indem es erfordert, dass entweder SPF oder DKIM besteht UND mit der From-Header-Domain übereinstimmt, und teilt dann Empfängern mit, was bei Authentifizierungsfehlern zu tun ist.
Ist DMARC verpflichtend?
Ja — DMARC ist unter mehreren Rahmenwerken verpflichtend. US-Bundesbehörden müssen p=reject gemäß CISA BOD 18-01 implementieren. PCI DSS v4.0 erfordert DMARC seit März 2025. Google, Yahoo und Microsoft verlangen DMARC für Massenversender. Das UK NCSC, Australiens ASD und Kanadas CCCS schreiben DMARC für Regierungsdomains vor. Die EU NIS2-Richtlinie stärkt die Argumente für DMARC in kritischen Infrastrukturen. Viele Cyberversicherungen verlangen inzwischen SPF, DKIM und DMARC-Durchsetzung als Zeichnungsbedingungen.
Was ist ein aggregierter DMARC-Bericht?
Ein aggregierter Bericht (RUA) ist eine XML-Datei, die täglich von empfangenden Mailservern gesendet wird. Sie fasst die Authentifizierungsergebnisse aller Nachrichten zusammen, die vorgeben, von Ihrer Domain zu stammen — und zeigt, welche Absender SPF und DKIM bestanden oder nicht bestanden haben und welche Richtlinie angewendet wurde. DMARC Report wandelt diese XML-Dateien in visuelle Dashboards um.
Kann DMARC meine E-Mail-Zustellung beeinträchtigen?
Bei p=none kann DMARC die E-Mail-Zustellung nicht beeinflussen — es ist nur Überwachung. Bei p=quarantine oder p=reject werden Nachrichten von legitimen Absendern, die die Authentifizierung nicht bestehen, betroffen sein. Deshalb ist ein phasenweiser Ansatz mit 90+ Tagen Überwachung in jeder Phase vor der Durchsetzung unerlässlich.
Beginnen Sie noch heute mit der Überwachung Ihrer DMARC-Berichte
Kostenlose Testphase — keine Kreditkarte erforderlich. Sehen Sie in Minuten, wer E-Mails von Ihrer Domain versendet.
Kostenlos testenWeltweit von Sicherheitsteams vertraut
Rated 4.8/5 on G2 · 469 verified reviews
Verified User in Information Technology and Services
"Best security tool for your own domains"
The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.
Ryan C.
Director
"Control Centre for Email Security"
I like that we can see and check all reports on just 1 platform. We manage multiple domains, and monitoring them all in one place is essential.
eddy g.
Director
"A great solution to a common email problem."
I have been using them for the last month after my Google business email started giving DMARC errors. I didn't even know what it meant at that time. After a little googling I found that people can spoof it as well. So far so good — the best thing is it protects every email.