Bewährte Verfahren

Die besten DMARC-Tools für Behörden und Bildungseinrichtungen 2026

US-Behörden müssen DMARC durchsetzen, die EU und Großbritannien erwarten es. Vergleichen Sie die besten DMARC-Tools für Behörden und Bildung.


Für eine Behörde, einen Schulbezirk oder eine Universität ist E-Mail zugleich eine gesetzliche Pflicht und ein bevorzugtes Angriffsziel. Bürgerinnen und Bürger, Studierende und Beschäftigte handeln auf Grundlage von Nachrichten, die scheinbar von öffentlichen Einrichtungen stammen. Deshalb kapern Angreifer gern deren Versanddomains, um Sozialleistungsbetrug, Steuerbetrug und Zugangsdatendiebstahl zu betreiben.

DMARC ist der E-Mail-Standard, mit dem empfangende Server eine echte Nachricht von einer gefälschten unterscheiden können, und für öffentliche Stellen ist er zunehmend Pflicht, nicht optional: US-Bundesbehörden unterliegen seit 2017 der Vorgabe, ihn durchzusetzen, und Großbritannien sowie ein Großteil der EU erwarten ihn inzwischen ebenfalls. Dieser Leitfaden vergleicht die DMARC-Monitoring-Tools, die zu öffentlichen Einrichtungen passen, bewertet danach, was sie am dringendsten brauchen: klares Reporting über mehrere Domains hinweg, einen Nachweis der Compliance und einen Preis, der sich vor einem öffentlichen Budget rechtfertigen lässt. Alle Angaben in diesem Artikel wurden zum Zeitpunkt der Veröffentlichung direkt von den Websites der Anbieter überprüft.

DMARCeye genießt das Vertrauen öffentlicher Einrichtungen in den Vereinigten Staaten und anderen Ländern, sodass vieles im Folgenden widerspiegelt, worum deren Teams in der Praxis bitten.

Inhalt dieses Leitfadens

Warum öffentliche Einrichtungen DMARC einsetzen müssen

DMARC teilt einem empfangenden Server wie Gmail oder Outlook mit, was mit einer Nachricht zu tun ist, die vorgibt, von Ihrer Domain zu stammen, aber die Authentifizierung nicht besteht: nichts tun (p=none), sie in den Spam verschieben (p=quarantine) oder sie direkt ablehnen (p=reject). Es setzt auf zwei Prüfungen auf, SPF und DKIM, die bestätigen, dass ein bestimmter Dienst als Ihre Domain versenden darf. Für öffentliche Einrichtungen ist das Veröffentlichen und Durchsetzen eines DMARC-Eintrags zunehmend eine Vorschrift, keine Empfehlung.

  • In den Vereinigten Staaten ist die Durchsetzung eine Bundesvorgabe. Die Binding Operational Directive 18-01 von CISA verpflichtet Bundesbehörden seit 2017, p=reject zu erreichen. Regierungen auf Bundesstaats-, Bezirks- und Kommunalebene übernehmen zunehmend denselben Maßstab, und Schulbezirke und Universitäten fallen unter die nachstehenden Regeln für Massenversender.
  • Großbritannien hat es vor Jahren vorgeschrieben. Die Zentralregierung verlangt DMARC seit 2016, mit Durchsetzung bei p=quarantine oder p=reject im Rahmen des Minimum Cyber Security Standard. Das NCSC hat inzwischen seinen kostenlosen Dienst Mail Check eingestellt, den viele öffentliche Stellen für das Reporting nutzten, sodass sie ihr eigenes Monitoring beschaffen müssen.
  • Die Europäische Union betrachtet es als grundlegende Hygiene. Nach NIS2 gelten Einrichtungen der öffentlichen Verwaltung in vielen Mitgliedstaaten als wesentlich oder wichtig, wobei E-Mail-Authentifizierung erwartet wird. Die Fristen werden national festgelegt, sodass es keine einheitliche EU-weite Frist gibt.
  • Massenversender sind überall erfasst. Google, Yahoo und Microsoft verlangen von jeder Domain, die mehr als 5.000 Nachrichten pro Tag versendet, eine Authentifizierung mit SPF, DKIM und DMARC. Eine Universität oder eine große Behörde überschreitet diese Schwelle allein mit Newslettern.

Ein Vorbehalt bei der Beschaffung in den USA besteht darin, dass Bundesbehörden unter Zulassungsregimen wie FedRAMP arbeiten, die einschränken, von welchen Anbietern sie beziehen dürfen, sodass die Tool-Wahl eines Bundesteams begrenzt ist. Dieser Leitfaden ist für die weitaus größere Gruppe geschrieben, die frei wählt: Regierungen auf Bundesstaats- und Kommunalebene, Schulbezirke, Universitäten, öffentliches Gesundheitswesen und Versorgungsbetriebe sowie öffentliche Einrichtungen außerhalb der USA.

Warum öffentliche Einrichtungen bevorzugte Spoofing-Ziele sind

Der öffentliche Sektor gehörte 2025 laut branchenweiter Bedrohungsforschung zu den am stärksten von Phishing betroffenen Bereichen, wobei die Versuche im Jahresvergleich deutlich zunahmen. Der Grund ist Vertrauen: Menschen handeln auf Grundlage einer E-Mail, die scheinbar von einem Finanzamt, einer Sozialbehörde oder einer Schule stammt, sodass eine gefälschte Nachricht weit besser konvertiert als ein zufälliger Betrug.

Im Verlauf von 2025 trafen Kampagnen mehr als ein Dutzend Universitäten mit Seiten, die Single-Sign-on-Portale für Studierende nachahmten, um Zugangsdaten abzugreifen, und nutzten diese Konten anschließend, um überzeugendere Nachrichten aus dem Inneren der Einrichtung zu versenden. Eine Domain, die bei p=none (dem reinen Monitoring-Modus von DMARC) belassen wird, gibt empfangenden Servern keine Anweisung, all das zu blockieren. Monitoring ist der Weg, um zu sehen, welche Versender zu Ihnen gehören, welche gefälscht sind und woher die gefälschte Post kommt, bevor Sie die Richtlinie so weit verschärfen, dass sie diese stoppt. Wenn Sie nicht sicher sind, was die Domain Ihrer Einrichtung heute veröffentlicht, prüfen Sie es zuerst.

 

 

Worauf Sie bei einem DMARC-Tool für eine öffentliche Einrichtung achten sollten

Eine öffentliche Einrichtung ist kein Unternehmen mit einer einzigen Domain. Eine Universität betreibt Fachbereiche, Standorte und ein Geflecht aus Subdomains; ein Landkreis betreibt Dienste, Ämter und Dienstleister, die alle in seinem Namen versenden. Das prägt, worauf es bei einem Tool ankommt:

  • Es verwaltet viele Domains und Subdomains in einer Ansicht. Einrichtungen haben selten nur eine Domain. Das Tool sollte jede Domain und Subdomain sowie deren Richtlinien gemeinsam anzeigen, damit sich ein kleines IT-Team nicht in sechs Dashboards anmelden muss.
  • Es erklärt die DMARC-Statistik Ihrer Versender in klarer Sprache. Öffentliche IT-Teams sind knapp besetzt, und die verantwortliche Person ist oft kein DMARC-Spezialist. Das Tool sollte jeden Dienst benennen, der als Ihre Domain versendet, und zeigen, welche bestehen und welche fehlschlagen, statt rohes XML zu übergeben.
  • Es lässt Sie Ihre Daten befragen. Ein Dashboard zu lesen ist das eine; die Frage "Welche Versender sind letzte Woche fehlgeschlagen?" in klarer Sprache zu stellen ist schneller. Neuere Tools beantworten das über einen integrierten KI-Assistenten oder indem sie Ihre DMARC-Daten mit einem Chat-Tool verbinden, das Sie bereits nutzen.
  • Es erzeugt Nachweise, die Sie einem Prüfer vorlegen können. Compliance bedeutet, Ihre Aufstellung zu belegen, nicht nur sie zu haben. Klare Berichte über den Richtlinienstatus und die Durchsetzungshistorie sind das, was Sie einer Sicherheitsprüfung oder einer Aufsichtsstelle vorlegen.
  • Es unterstützt mehr als eine Person. E-Mail-Sicherheit in einer öffentlichen Stelle ist in der Regel auf IT, Sicherheit und Kommunikation verteilt. Rollenbasierter Zugriff lässt jedes Team sehen, was es braucht, ohne einen einzigen Login zu teilen.
  • Es passt zu einem öffentlichen Budget. Die Beschaffung belohnt klare, nachvollziehbare Preise. Ein kostenloser Tarif oder transparente Kosten pro Domain lassen sich weit leichter rechtfertigen als ein undurchsichtiges Enterprise-Angebot.

Die besten DMARC-Monitoring-Tools für den öffentlichen Sektor 2026

Die sechs Tools unten überwachen DMARC alle gut. Sie unterscheiden sich beim Preis, darin, wie viel sie erklären, und darin, wie viel sie über DMARC hinaus zu leisten versuchen. Preise und Grenzen entsprechen dem Stand zum Zeitpunkt der Veröffentlichung und ändern sich häufig, prüfen Sie sie also auf der Preisseite jedes Anbieters, bevor Sie kaufen.

Tool Kostenloser Tarif Erster kostenpflichtiger Tarif Am besten geeignet für eine öffentliche Einrichtung
DMARCeye 1 Domain, 5.000 E-Mails/Mon., 30 Tage Ab 4 $/Domain/Mon. (Scale) Öffentliche Teams, die klare Anleitung über viele Domains hinweg ohne DMARC-Spezialisten wollen
dmarcian 2 Domains, nur nicht-geschäftlich 24 $/Mon. (Basic, 2 Domains) Teams, die das DMARC-Protokoll im Detail studieren wollen
EasyDMARC 1 Domain, 1.000 E-Mails, 14 Tage 35,99 $/Mon. (Plus, 2 Domains) Ein vollständiger Authentifizierungs-Stack in einem Dashboard
URIports Einmonatige Testphase Ab 6 $/Mon. (Pebble) Sicherheitsteams, die zusätzlich DNS- und TLS-Reporting wollen
DMARC Report 1 Domain, 10.000 Berichte/Mon., 30 Tage 25 $/Mon. (Guard, 5 Domains) Ein kostenloses, automatisiertes Dashboard für den Einstieg
Postmark DMARC Digests Kostenloser Tarif für eine Domain 14 $/Mon. pro Domain Eine einfache wöchentliche E-Mail statt eines Dashboards

DMARCeye

DMARCeye liest Ihre DMARC-Berichte und sagt Ihnen für jede Ihrer Domains, welche Versender bestehen, welche fehlschlagen und was als Nächstes zu beheben ist. Es versetzt ein öffentliches IT-Team, das nicht mit DMARC-Spezialisten besetzt ist, in die Lage, vom Monitoring zu einer sicheren Durchsetzungsrichtlinie zu gelangen, ohne zu raten, und alle Domains und Subdomains in einer Ansicht zu sehen. Ein integrierter KI-Assistent beantwortet Fragen wie "Welche Versender sind letzte Woche fehlgeschlagen?", sodass ein knapp besetztes Team eine Antwort erhält, ohne sich durch Berichte zu wühlen. Sie können dieselben Daten auch mit einem Chat-Tool verbinden, das Sie bereits nutzen, und zwar über MCP, einen offenen Standard, der es einem KI-Assistenten ermöglicht, Ihre DMARC-Berichte zu lesen.

Die Preisgestaltung erfolgt pro Domain, ab 4 $ pro Domain und Monat im Scale-Tarif, und der kostenlose Tarif deckt eine Domain und 5.000 E-Mails pro Monat mit dem vollständigen Berichtsanalysator ab, ohne Kreditkarte, was ein unkomplizierter Weg ist, um mit einer einzigen Dienst-Domain zu beginnen, bevor Sie breiter ausrollen. DMARCeye verwaltet derzeit kein BIMI, MTA-STS oder SPF-Flattening, doch diese Funktionen stehen auf unserer Roadmap.

dmarcian

dmarcian ist der Pionier, 2012 von einem der Hauptautoren der DMARC-Spezifikation gegründet, und seine Stärke sind Tiefe und Wissensvermittlung. Es belohnt ein Team, das das Protokoll im Detail lernen will, statt nur ein Kästchen abzuhaken, mit gründlichem Reporting und wirklich guter Dokumentation. Für ein knapp besetztes öffentliches IT-Team, das vor allem die Durchsetzung erreichen und belegen muss, kann diese Tiefe mehr sein, als es an Zeit hat.

Der kostenlose Personal-Tarif gilt nur für nicht-geschäftliche Domains, sodass eine Einrichtung einen kostenpflichtigen Tarif benötigt: Basic kostet 24 $ pro Monat für zwei Domains, und der Preis steigt mit der Anzahl der Domains, was sich lohnt, gegen die tatsächlich benötigte Zahl an Domains abzugleichen.

EasyDMARC

EasyDMARC bündelt den gesamten E-Mail-Authentifizierungs-Stack an einem Ort: DMARC, SPF-Flattening, BIMI, MTA-STS und TLS-Reporting, mit geführtem Onboarding und einem großen Satz kostenloser Tools. Für eine größere Behörde oder Einrichtung, die mehr als DMARC aus einem einzigen Dashboard bewältigen will, ist diese Breite der Reiz. Der Kompromiss ist der Preis.

Der kostenlose Tarif ist auf eine Domain, 1.000 E-Mails und 14 Tage Historie begrenzt, und der erste kostenpflichtige Tarif, Plus, kostet 35,99 $ pro Monat bei jährlicher Abrechnung für zwei Domains, der höchste Einstiegspreis in dieser Liste.

URIports

URIports verfolgt einen technischen, monitoring-orientierten Ansatz, der zu einem Sicherheitsteam passt. Neben aggregierten DMARC- und Fehlerberichten überwacht es DNS und TLS-RPT, sodass Sie aus einer Hand einen breiteren Blick auf den Zustand der Domain erhalten, mit Webhook- und API-Integrationen für Automatisierung.

Die Preise beginnen niedrig, ab 6 $ pro Monat im Pebble-Tarif nach einer einmonatigen Testphase, was es zu einer wirtschaftlichen Option für eine Einrichtung macht, die Signalbreite ohne einen Enterprise-Vertrag will. Es hält weniger an der Hand als die anleitungsgeführten Tools, sodass es ein Team belohnt, das mit dem Lesen der Daten vertraut ist.

DMARC Report

DMARC Report sticht durch einen kostenlosen Tarif hervor, der nutzbar ist und kein bloßer Anreißer. Der Core-Tarif ist kostenlos für eine Domain mit 10.000 Berichten pro Monat, 30 Tagen Historie, automatisierter Berichtsaufnahme und einem echten Dashboard, sodass er ein echter Weg ist, Ihre Daten kostenlos zu sehen. Es ist jedoch eher ein Reporting-Dashboard als ein Anleitungs-Tool, sodass ein Team, dem gesagt werden soll, was als Nächstes zu beheben ist, ihm entwachsen wird.

Kostenpflichtige Tarife beginnen bei 25 $ pro Monat für den Guard-Tarif mit fünf Domains.

Postmark DMARC Digests

Postmark DMARC Digests ist die einfachste Option, aufgebaut um eine wöchentliche oder monatliche E-Mail, die zusammenfasst, wer als Ihre Domain versendet und was fehlschlägt, mit klarer Anleitung, wie es zu beheben ist. Es gibt einen kostenlosen Tarif für eine Domain mit wöchentlichen Zusammenfassungen und ein schlankes Dashboard im kostenpflichtigen Tarif, doch der Reiz liegt in der reibungsarmen Zusammenfassung für ein Team, das sich in nichts einloggen möchte.

Es kostet 14 $ pro Monat und Domain über den kostenlosen Tarif hinaus. Für ein einzelnes Amt, das Sichtbarkeit ohne ein zu verwaltendes Tool will, erledigt es die Aufgabe, auch wenn sich die Preise pro Domain summieren, sobald eine Einrichtung viele Domains hat.

So richten Sie DMARC in einer öffentlichen Einrichtung ein

In vier Schritten:

  1. Erfassen Sie jede Domain und Subdomain, die Ihre Einrichtung besitzt, und jeden Dienst, der von ihnen versendet: die Mail-Plattform, das Studierenden- oder Bürgerportal, das Newsletter-Tool, das Warnsystem und jeden Dienstleister, der in Ihrem Namen versendet.
  2. Authentifizieren Sie jeden Versender mit SPF und DKIM, damit seine Post sauber besteht. DMARCeye kann Ihnen helfen, diese Einträge einzurichten, falls Sie sie noch nicht eingerichtet haben.
  3. Veröffentlichen Sie einen DMARC-Eintrag bei p=none und lesen Sie die Berichte einige Wochen lang, um zu bestätigen, dass nichts Legitimes fehlschlägt.
  4. Setzen Sie die Richtlinie auf p=quarantine, dann auf p=reject, sobald die Berichte sauber sind, und legen Sie eine Subdomain-Richtlinie (sp=) fest, damit eine ungenutzte Subdomain nicht gefälscht werden kann. Die meisten Domains deklarieren nie eine, was eine Lücke lässt, die Angreifer nutzen können.

Ein Monitoring-Tool ist das, was die letzten Schritte sicher macht: Es zeigt Ihnen in klarer Form, welche Versender noch fehlschlagen, bevor Sie die Richtlinie verschärfen. Die Durchsetzung ist nicht selten, weil sie schwierig ist, sie ist selten, weil Teams nicht klar genug sehen können, um der Änderung zu vertrauen. Im Branchenbericht von DMARCeye für das erste Quartal 2026 hatten nur 26,5 % der aktiven Domains p=reject erreicht, während mehr als ein Drittel weiterhin bei p=none verharrte. 

Häufige Fragen zu DMARC im öffentlichen Sektor

Ist DMARC für Behörden und Organisationen des öffentlichen Sektors vorgeschrieben?

Für eine wachsende Zahl ja. US-Bundesbehörden sind seit 2017 verpflichtet, DMARC bei p=reject durchzusetzen, die britische Zentralregierung schreibt es seit 2016 vor, und EU-Mitgliedstaaten erwarten es von der öffentlichen Verwaltung im Rahmen von NIS2. Selbst wo keine Branchenregel gilt, verlangen Google, Yahoo und Microsoft eine Authentifizierung von jeder Domain, die in großem Umfang versendet, was die meisten Behörden, Bezirke und Universitäten erfasst.

Brauchen Schulen und Universitäten DMARC?

Ja. Universitäten sind ein häufiges Ziel von Zugangsdaten-Phishing, das Logins von Studierenden und Beschäftigten fälscht, und jede Einrichtung, die Newsletter, Benachrichtigungen oder Massenpost versendet, fällt unter die Authentifizierungsregeln der großen Mailbox-Anbieter. DMARC in der Durchsetzung ist das, was einen Angreifer daran hindert, Post zu versenden, die scheinbar von der eigenen Domain der Schule stammt.

Was ersetzt einen kostenlosen staatlichen Reporting-Dienst wie NCSC Mail Check?

Jedes der DMARC-Monitoring-Tools in diesem Leitfaden nimmt dieselben aggregierten Berichte auf und stellt sie dar, die meisten mit einem kostenlosen Tarif für den Einstieg. Eine öffentliche Stelle, die sich auf einen staatlich betriebenen Dienst stützte, kann ihre Reporting-Adresse auf ein kommerzielles Tool umstellen und die Kontinuität wahren, wobei sie dabei eine Anleitung in klarer Sprache und Ansichten über mehrere Domains gewinnt.

Reicht ein kostenloses DMARC-Tool für eine kleine Behörde oder einen kleinen Bezirk?

Für den Anfang oft ja. Ein Amt mit einer einzigen Domain kann mit einem echten kostenlosen Tarif beginnen, etwa DMARCeyes einer Domain und 5.000 E-Mails pro Monat, und genau sehen, welche Versender bestehen und fehlschlagen. Sie wechseln zu einem kostenpflichtigen Tarif, wenn Sie mehr Domains, eine längere Historie, rollenbasierten Zugriff oder Warnmeldungen benötigen, was die meisten Einrichtungen erreichen, sobald sie ihren gesamten Bestand unter Monitoring bringen.

Das Fazit

Für eine öffentliche Einrichtung ist DMARC zugleich Vorgabe und Verteidigung: Es hält Angreifer davon ab, Post zu versenden, die scheinbar von einer vertrauenswürdigen öffentlichen Domain stammt, und es belegt einem Prüfer, dass Sie dies getan haben. Das richtige Tool ist jenes, das alle Ihre Domains und Subdomains klar anzeigt, Berichte in eine kurze Liste zu behebender Versender verwandelt, Nachweise erzeugt, die Sie einer Sicherheitsprüfung vorlegen können, und dies zu einem Preis tut, der sich vor einem öffentlichen Budget rechtfertigen lässt.

Wenn Sie Anleitung statt roher Berichte wollen, ist das genau das, wofür DMARCeye gebaut ist. Es liest die DMARC-Daten Ihrer Domains und nennt Ihnen den nächsten Schritt, und Sie können mit dem kostenlosen Tarif beginnen.

 

Get notified on new marketing insights

Be the first to know about new insights to build or refine your DMARC policy strategy.