Studien

28 % der öffentlich erreichbaren Domains haben kein DMARC

Q1-2026-Scan-Daten zeigen: 28 % der öffentlich erreichbaren Internet-Domains haben keinen DMARC-Record. Die Folgen und die Lösung in zwei DNS-Records.

Jack Zagorski
Mai 6, 2026

DMARC ist ein kleiner Eintrag im DNS, der Mailservern weltweit sagt, was sie tun sollen, wenn jemand eine Nachricht im Namen Ihrer Domain verschickt. Ohne DMARC kann jeder E-Mails verschicken und sich als Sie ausgeben, und Ihre Domain hat keine Möglichkeit, das zu verhindern. Wir haben Daten von tausenden öffentlich erreichbaren Internet-Domains analysiert und festgestellt, dass 28 % überhaupt keinen DMARC-Record haben. Wenn Sie eine Domain besitzen und nie DMARC eingerichtet haben, ist die Wahrscheinlichkeit etwa 1 von 4, dass Sie zu dieser Gruppe gehören.

Dieser Beitrag entpackt den Vergleich zwischen DMARC-aktiven Domains und dem öffentlichen Internet aus dem DMARCeye-Branchenbericht für Q1 2026. Der vollständige Bericht mit allen 12 Auswertungen und der Methodik liegt unten.

 

Die Adoption-Lücke

Der Q1-Bericht vergleicht zwei Gruppen. Die erste ist die DMARC-aktive Gruppe: Domains, die auf der DMARCeye-Plattform aktiv überwacht werden. Die zweite ist eine breite Scan-Stichprobe öffentlich erreichbarer Internet-Domains, die blind auf das Vorhandensein von DMARC-, SPF- und DKIM-Records geprüft wurden.

Der wichtigste Unterschied, in nackten Zahlen:

  • Öffentliches Internet (Scan-Stichprobe): 28 % haben keinen DMARC-Record, 32 % stehen auf p=none, 22 % auf p=quarantine, 18 % auf p=reject.
  • DMARC-aktive Organisationen: 0 % haben per Definition keinen DMARC-Record, 36,7 % stehen auf p=none, 36,8 % auf p=quarantine, 26,5 % auf p=reject.
Vergleich der DMARC-Haltung zwischen DMARC-aktiven Organisationen und einer Scan-Stichprobe des öffentlichen Internets, Q1 2026
Quelle: DMARCeye Q1 2026 Branchenbericht (research.dmarceye.com)

Strengere Durchsetzung kommt in der aktiven Gruppe häufiger vor: 27 % auf p=reject gegenüber 18 % im offenen Netz. Der aussagekräftigere Unterschied liegt am anderen Ende. Sobald ein Domain-Inhaber DMARC ernst genug nimmt, um zu monitoren, verschwindet die Stufe „kein Record veröffentlicht“ vollständig. Im offenen Netz macht diese Stufe mehr als ein Viertel aller Domains aus.

Was „kein DMARC“ konkret bedeutet

Ohne DMARC-Record bleibt Ihre Domain stumm. Wenn eine Nachricht ankommt, die angeblich von Ihnen stammt, hat der empfangende Mailserver (Gmail, Yahoo, Seznam, wer auch immer) keine Anweisung von Ihrer Seite, wie er damit umgehen soll. Er greift auf seine eigenen Filter zurück. Manche gefälschten Nachrichten kommen durch, manche landen im Spam, manche werden abgewiesen. Das Ergebnis schwankt, und Sie haben so oder so keinen Einblick.

Für den Domain-Inhaber sieht die praktische Lage so aus:

  • Jeder kann in Ihrem Namen Mails verschicken, ohne dass etwas dagegen unternommen wird. Eine gefälschte Nachricht wird vom Empfänger so behandelt, als könnte sie echt sein, weil keine Policy etwas anderes sagt.
  • Sie bekommen keinerlei Rückmeldung. Kein DMARC-Record bedeutet, dass keine Aggregate-Reports einlaufen. Sie wissen nicht, wer im Namen Ihrer Domain verschickt, ob legitim oder nicht.
  • Sie erfüllen die Bulk-Sender-Anforderungen nicht. Die Absenderregeln von Google und Yahoo vom Februar 2024 verlangen einen veröffentlichten DMARC-Record für Absender ab 5.000 Nachrichten pro Tag an Gmail- oder Yahoo-Adressen. Kein Record heißt keine Compliance, Punkt.

Der Weg von „kein DMARC“ zu „eingerichtet“ ist kürzer als der Weg von „auf p=none festgefahren“ zur Durchsetzung. Es sind zwei DNS-Records und ein paar Stunden Aufmerksamkeit.

Warum so viele Domains nichts veröffentlicht haben

Die Q1-Daten zeigen die Größe der Lücke, nicht ihre Ursachen. Die folgenden Gründe sind Muster, die wir bei Kunden sehen, keine Erkenntnisse aus dem Datensatz:

  • Der Domain-Inhaber hat noch nie von DMARC gehört. Der Standard existiert, die Tools sind ausgereift, aber der Domain-Inhaber ist ein kleines Unternehmen oder ein Hobbyist, der nie aufgefordert wurde, etwas zu veröffentlichen.
  • Die Domain verschickt nicht viele Mails, also kam DMARC nie zur Sprache. Persönliche Domains, Domains für Nebenprojekte, ruhende Geschäftsdomains. Das Volumen ist niedrig genug, dass der Inhaber bisher kein Zustellungs- oder Spoofing-Problem hatte.
  • Die Domain wurde aufgesetzt, bevor DMARC üblich war. Eine Domain, die 2008 registriert und damals für E-Mail eingerichtet wurde, dann nie wieder angefasst.
  • Der Hosting- oder E-Mail-Anbieter hat den Kunden nicht zur Einrichtung gedrängt. Manche Anbieter führen Kunden durch SPF und DKIM, hören aber vor DMARC auf. Der Kunde geht davon aus, dass er fertig ist.

Was das bedeutet, wenn Sie zu den 28 % gehören

Wenn Sie ein kleines Unternehmen, einen Online-Shop, eine freiberufliche Beratung oder ein Nebenprojekt betreiben und sich noch nie mit DMARC beschäftigt haben, liegt die Wahrscheinlichkeit bei etwa 1 von 4, dass Sie in der Gruppe ohne veröffentlichten Record sind. Die Folgen, wenn Sie dort bleiben:

Ihre Domain ist ein freies Ziel für Spoofing. Keine veröffentlichte Policy, keine Durchsetzung. Was auch immer der empfangende Server als Standard hat, das gilt. Bei einer Domain, die wenig Mails verschickt, können Spoofer lange unter dem Radar bleiben.

Sie haben keinen Einblick darin, was in Ihrem Namen verschickt wird. Ohne Aggregate-Reports erfahren Sie von einer Phishing-Kampagne in Ihrem Namen meist erst dann, wenn ein Kunde oder Partner Sie darauf anspricht.

Wenn Sie Ihren Versand jemals hochskalieren, müssen Sie DMARC unter Druck einrichten. Sobald Ihr monatliches Volumen die 5.000-pro-Tag-Schwelle von Google überschreitet, greifen die Bulk-Sender-Anforderungen, und Sie müssen einen DMARC-Record hinzufügen, während Sie eigentlich Ihr Geschäft skalieren wollen. Besser, Sie machen es vorher, ohne Druck.

Die Lösung ist kurz

Der Sprung von „kein DMARC“ zu „reines Monitoring mit einlaufenden Reports“ ist der einfachste Meilenstein in diesem ganzen Bereich. Drei bis vier Schritte, ein Nachmittag Aufmerksamkeit, kein Budget nötig.

Schritt 1: Prüfen Sie Ihre Domain. Geben Sie Ihre Domain unten ein, um zu sehen, was aktuell veröffentlicht ist. Wenn keine DMARC-Zeile im Ergebnis steht, wissen Sie, wo Sie stehen.

 

 

Schritt 2: Veröffentlichen Sie einen DMARC-Record auf p=none mit Reporting. Der minimal sinnvolle Record ist eine Zeile in Ihrem DNS: v=DMARC1; p=none; rua=mailto:reports@ihredomain.de, wobei die rua-Adresse eine ist, die Sie kontrollieren oder die Ihr Monitoring-Dienst bereitstellt. Damit sagen Sie: „Ich fange an hinzuschauen.“

Schritt 3: Lassen Sie Reports einlaufen. Der kostenlose Plan von DMARCeye deckt eine Domain ab. Er sammelt die Aggregate-Reports, wertet sie aus und zeigt Ihnen, was tatsächlich in Ihrem Namen verschickt wird. Zwei bis vier Wochen Daten reichen meist, um ein klares Bild zu bekommen.

Schritt 4: Verschärfen Sie die Policy, sobald legitime Absender bestätigt sind. Wenn Sie sehen können, was unter Ihrer Domain verschickt wird, authentifizieren Sie die legitimen Absender und gehen dann auf p=quarantine und schließlich auf p=reject. Sinn von DMARC ist die echte Durchsetzung, nicht das bloße Veröffentlichen eines Records.

Das praktische Fazit

Die 28 % Domains ohne DMARC sind keine Geschichte über technische Komplexität. Den Standard gibt es seit 2015. Die Records sind zwei kurze Zeilen im DNS. Kostenlose Tools fürs Monitoring existieren, auch von DMARCeye. Die Gründe, warum die meisten dieser Domains nichts veröffentlicht haben, sind nicht technisch. Sie liegen auf der Ebene von Bewusstsein, Verantwortlichkeit und Anstoß.

Wenn Sie es bis hierher in einem Artikel über DMARC geschafft haben, haben Sie sich allein durch das Lesen aus dieser Gruppe entfernt. Der nächste Schritt ist, den Record zu veröffentlichen.

 
Studien

Similar posts

Get notified on new marketing insights

Be the first to know about new insights to build or refine your DMARC policy strategy.