Für eine Behörde, einen Schulbezirk oder eine Universität ist E-Mail zugleich eine gesetzliche Pflicht und ein bevorzugtes Angriffsziel. Bürgerinnen und Bürger, Studierende und Beschäftigte handeln auf Grundlage von Nachrichten, die scheinbar von öffentlichen Einrichtungen stammen. Deshalb kapern Angreifer gern deren Versanddomains, um Sozialleistungsbetrug, Steuerbetrug und Zugangsdatendiebstahl zu betreiben.
DMARC ist der E-Mail-Standard, mit dem empfangende Server eine echte Nachricht von einer gefälschten unterscheiden können, und für öffentliche Stellen ist er zunehmend Pflicht, nicht optional: US-Bundesbehörden unterliegen seit 2017 der Vorgabe, ihn durchzusetzen, und Großbritannien sowie ein Großteil der EU erwarten ihn inzwischen ebenfalls. Dieser Leitfaden vergleicht die DMARC-Monitoring-Tools, die zu öffentlichen Einrichtungen passen, bewertet danach, was sie am dringendsten brauchen: klares Reporting über mehrere Domains hinweg, einen Nachweis der Compliance und einen Preis, der sich vor einem öffentlichen Budget rechtfertigen lässt. Alle Angaben in diesem Artikel wurden zum Zeitpunkt der Veröffentlichung direkt von den Websites der Anbieter überprüft.
DMARCeye genießt das Vertrauen öffentlicher Einrichtungen in den Vereinigten Staaten und anderen Ländern, sodass vieles im Folgenden widerspiegelt, worum deren Teams in der Praxis bitten.
DMARC teilt einem empfangenden Server wie Gmail oder Outlook mit, was mit einer Nachricht zu tun ist, die vorgibt, von Ihrer Domain zu stammen, aber die Authentifizierung nicht besteht: nichts tun (p=none), sie in den Spam verschieben (p=quarantine) oder sie direkt ablehnen (p=reject). Es setzt auf zwei Prüfungen auf, SPF und DKIM, die bestätigen, dass ein bestimmter Dienst als Ihre Domain versenden darf. Für öffentliche Einrichtungen ist das Veröffentlichen und Durchsetzen eines DMARC-Eintrags zunehmend eine Vorschrift, keine Empfehlung.
p=reject zu erreichen. Regierungen auf Bundesstaats-, Bezirks- und Kommunalebene übernehmen zunehmend denselben Maßstab, und Schulbezirke und Universitäten fallen unter die nachstehenden Regeln für Massenversender.p=quarantine oder p=reject im Rahmen des Minimum Cyber Security Standard. Das NCSC hat inzwischen seinen kostenlosen Dienst Mail Check eingestellt, den viele öffentliche Stellen für das Reporting nutzten, sodass sie ihr eigenes Monitoring beschaffen müssen.Ein Vorbehalt bei der Beschaffung in den USA besteht darin, dass Bundesbehörden unter Zulassungsregimen wie FedRAMP arbeiten, die einschränken, von welchen Anbietern sie beziehen dürfen, sodass die Tool-Wahl eines Bundesteams begrenzt ist. Dieser Leitfaden ist für die weitaus größere Gruppe geschrieben, die frei wählt: Regierungen auf Bundesstaats- und Kommunalebene, Schulbezirke, Universitäten, öffentliches Gesundheitswesen und Versorgungsbetriebe sowie öffentliche Einrichtungen außerhalb der USA.
Der öffentliche Sektor gehörte 2025 laut branchenweiter Bedrohungsforschung zu den am stärksten von Phishing betroffenen Bereichen, wobei die Versuche im Jahresvergleich deutlich zunahmen. Der Grund ist Vertrauen: Menschen handeln auf Grundlage einer E-Mail, die scheinbar von einem Finanzamt, einer Sozialbehörde oder einer Schule stammt, sodass eine gefälschte Nachricht weit besser konvertiert als ein zufälliger Betrug.
Im Verlauf von 2025 trafen Kampagnen mehr als ein Dutzend Universitäten mit Seiten, die Single-Sign-on-Portale für Studierende nachahmten, um Zugangsdaten abzugreifen, und nutzten diese Konten anschließend, um überzeugendere Nachrichten aus dem Inneren der Einrichtung zu versenden. Eine Domain, die bei p=none (dem reinen Monitoring-Modus von DMARC) belassen wird, gibt empfangenden Servern keine Anweisung, all das zu blockieren. Monitoring ist der Weg, um zu sehen, welche Versender zu Ihnen gehören, welche gefälscht sind und woher die gefälschte Post kommt, bevor Sie die Richtlinie so weit verschärfen, dass sie diese stoppt. Wenn Sie nicht sicher sind, was die Domain Ihrer Einrichtung heute veröffentlicht, prüfen Sie es zuerst.
Eine öffentliche Einrichtung ist kein Unternehmen mit einer einzigen Domain. Eine Universität betreibt Fachbereiche, Standorte und ein Geflecht aus Subdomains; ein Landkreis betreibt Dienste, Ämter und Dienstleister, die alle in seinem Namen versenden. Das prägt, worauf es bei einem Tool ankommt:
Die sechs Tools unten überwachen DMARC alle gut. Sie unterscheiden sich beim Preis, darin, wie viel sie erklären, und darin, wie viel sie über DMARC hinaus zu leisten versuchen. Preise und Grenzen entsprechen dem Stand zum Zeitpunkt der Veröffentlichung und ändern sich häufig, prüfen Sie sie also auf der Preisseite jedes Anbieters, bevor Sie kaufen.
| Tool | Kostenloser Tarif | Erster kostenpflichtiger Tarif | Am besten geeignet für eine öffentliche Einrichtung |
|---|---|---|---|
| DMARCeye | 1 Domain, 5.000 E-Mails/Mon., 30 Tage | Ab 4 $/Domain/Mon. (Scale) | Öffentliche Teams, die klare Anleitung über viele Domains hinweg ohne DMARC-Spezialisten wollen |
| dmarcian | 2 Domains, nur nicht-geschäftlich | 24 $/Mon. (Basic, 2 Domains) | Teams, die das DMARC-Protokoll im Detail studieren wollen |
| EasyDMARC | 1 Domain, 1.000 E-Mails, 14 Tage | 35,99 $/Mon. (Plus, 2 Domains) | Ein vollständiger Authentifizierungs-Stack in einem Dashboard |
| URIports | Einmonatige Testphase | Ab 6 $/Mon. (Pebble) | Sicherheitsteams, die zusätzlich DNS- und TLS-Reporting wollen |
| DMARC Report | 1 Domain, 10.000 Berichte/Mon., 30 Tage | 25 $/Mon. (Guard, 5 Domains) | Ein kostenloses, automatisiertes Dashboard für den Einstieg |
| Postmark DMARC Digests | Kostenloser Tarif für eine Domain | 14 $/Mon. pro Domain | Eine einfache wöchentliche E-Mail statt eines Dashboards |
DMARCeye liest Ihre DMARC-Berichte und sagt Ihnen für jede Ihrer Domains, welche Versender bestehen, welche fehlschlagen und was als Nächstes zu beheben ist. Es versetzt ein öffentliches IT-Team, das nicht mit DMARC-Spezialisten besetzt ist, in die Lage, vom Monitoring zu einer sicheren Durchsetzungsrichtlinie zu gelangen, ohne zu raten, und alle Domains und Subdomains in einer Ansicht zu sehen. Ein integrierter KI-Assistent beantwortet Fragen wie "Welche Versender sind letzte Woche fehlgeschlagen?", sodass ein knapp besetztes Team eine Antwort erhält, ohne sich durch Berichte zu wühlen. Sie können dieselben Daten auch mit einem Chat-Tool verbinden, das Sie bereits nutzen, und zwar über MCP, einen offenen Standard, der es einem KI-Assistenten ermöglicht, Ihre DMARC-Berichte zu lesen.
Die Preisgestaltung erfolgt pro Domain, ab 4 $ pro Domain und Monat im Scale-Tarif, und der kostenlose Tarif deckt eine Domain und 5.000 E-Mails pro Monat mit dem vollständigen Berichtsanalysator ab, ohne Kreditkarte, was ein unkomplizierter Weg ist, um mit einer einzigen Dienst-Domain zu beginnen, bevor Sie breiter ausrollen. DMARCeye verwaltet derzeit kein BIMI, MTA-STS oder SPF-Flattening, doch diese Funktionen stehen auf unserer Roadmap.
dmarcian ist der Pionier, 2012 von einem der Hauptautoren der DMARC-Spezifikation gegründet, und seine Stärke sind Tiefe und Wissensvermittlung. Es belohnt ein Team, das das Protokoll im Detail lernen will, statt nur ein Kästchen abzuhaken, mit gründlichem Reporting und wirklich guter Dokumentation. Für ein knapp besetztes öffentliches IT-Team, das vor allem die Durchsetzung erreichen und belegen muss, kann diese Tiefe mehr sein, als es an Zeit hat.
Der kostenlose Personal-Tarif gilt nur für nicht-geschäftliche Domains, sodass eine Einrichtung einen kostenpflichtigen Tarif benötigt: Basic kostet 24 $ pro Monat für zwei Domains, und der Preis steigt mit der Anzahl der Domains, was sich lohnt, gegen die tatsächlich benötigte Zahl an Domains abzugleichen.
EasyDMARC bündelt den gesamten E-Mail-Authentifizierungs-Stack an einem Ort: DMARC, SPF-Flattening, BIMI, MTA-STS und TLS-Reporting, mit geführtem Onboarding und einem großen Satz kostenloser Tools. Für eine größere Behörde oder Einrichtung, die mehr als DMARC aus einem einzigen Dashboard bewältigen will, ist diese Breite der Reiz. Der Kompromiss ist der Preis.
Der kostenlose Tarif ist auf eine Domain, 1.000 E-Mails und 14 Tage Historie begrenzt, und der erste kostenpflichtige Tarif, Plus, kostet 35,99 $ pro Monat bei jährlicher Abrechnung für zwei Domains, der höchste Einstiegspreis in dieser Liste.
URIports verfolgt einen technischen, monitoring-orientierten Ansatz, der zu einem Sicherheitsteam passt. Neben aggregierten DMARC- und Fehlerberichten überwacht es DNS und TLS-RPT, sodass Sie aus einer Hand einen breiteren Blick auf den Zustand der Domain erhalten, mit Webhook- und API-Integrationen für Automatisierung.
Die Preise beginnen niedrig, ab 6 $ pro Monat im Pebble-Tarif nach einer einmonatigen Testphase, was es zu einer wirtschaftlichen Option für eine Einrichtung macht, die Signalbreite ohne einen Enterprise-Vertrag will. Es hält weniger an der Hand als die anleitungsgeführten Tools, sodass es ein Team belohnt, das mit dem Lesen der Daten vertraut ist.
DMARC Report sticht durch einen kostenlosen Tarif hervor, der nutzbar ist und kein bloßer Anreißer. Der Core-Tarif ist kostenlos für eine Domain mit 10.000 Berichten pro Monat, 30 Tagen Historie, automatisierter Berichtsaufnahme und einem echten Dashboard, sodass er ein echter Weg ist, Ihre Daten kostenlos zu sehen. Es ist jedoch eher ein Reporting-Dashboard als ein Anleitungs-Tool, sodass ein Team, dem gesagt werden soll, was als Nächstes zu beheben ist, ihm entwachsen wird.
Kostenpflichtige Tarife beginnen bei 25 $ pro Monat für den Guard-Tarif mit fünf Domains.
Postmark DMARC Digests ist die einfachste Option, aufgebaut um eine wöchentliche oder monatliche E-Mail, die zusammenfasst, wer als Ihre Domain versendet und was fehlschlägt, mit klarer Anleitung, wie es zu beheben ist. Es gibt einen kostenlosen Tarif für eine Domain mit wöchentlichen Zusammenfassungen und ein schlankes Dashboard im kostenpflichtigen Tarif, doch der Reiz liegt in der reibungsarmen Zusammenfassung für ein Team, das sich in nichts einloggen möchte.
Es kostet 14 $ pro Monat und Domain über den kostenlosen Tarif hinaus. Für ein einzelnes Amt, das Sichtbarkeit ohne ein zu verwaltendes Tool will, erledigt es die Aufgabe, auch wenn sich die Preise pro Domain summieren, sobald eine Einrichtung viele Domains hat.
In vier Schritten:
p=none und lesen Sie die Berichte einige Wochen lang, um zu bestätigen, dass nichts Legitimes fehlschlägt.p=quarantine, dann auf p=reject, sobald die Berichte sauber sind, und legen Sie eine Subdomain-Richtlinie (sp=) fest, damit eine ungenutzte Subdomain nicht gefälscht werden kann. Die meisten Domains deklarieren nie eine, was eine Lücke lässt, die Angreifer nutzen können.Ein Monitoring-Tool ist das, was die letzten Schritte sicher macht: Es zeigt Ihnen in klarer Form, welche Versender noch fehlschlagen, bevor Sie die Richtlinie verschärfen. Die Durchsetzung ist nicht selten, weil sie schwierig ist, sie ist selten, weil Teams nicht klar genug sehen können, um der Änderung zu vertrauen. Im Branchenbericht von DMARCeye für das erste Quartal 2026 hatten nur 26,5 % der aktiven Domains p=reject erreicht, während mehr als ein Drittel weiterhin bei p=none verharrte.
Für eine wachsende Zahl ja. US-Bundesbehörden sind seit 2017 verpflichtet, DMARC bei p=reject durchzusetzen, die britische Zentralregierung schreibt es seit 2016 vor, und EU-Mitgliedstaaten erwarten es von der öffentlichen Verwaltung im Rahmen von NIS2. Selbst wo keine Branchenregel gilt, verlangen Google, Yahoo und Microsoft eine Authentifizierung von jeder Domain, die in großem Umfang versendet, was die meisten Behörden, Bezirke und Universitäten erfasst.
Ja. Universitäten sind ein häufiges Ziel von Zugangsdaten-Phishing, das Logins von Studierenden und Beschäftigten fälscht, und jede Einrichtung, die Newsletter, Benachrichtigungen oder Massenpost versendet, fällt unter die Authentifizierungsregeln der großen Mailbox-Anbieter. DMARC in der Durchsetzung ist das, was einen Angreifer daran hindert, Post zu versenden, die scheinbar von der eigenen Domain der Schule stammt.
Jedes der DMARC-Monitoring-Tools in diesem Leitfaden nimmt dieselben aggregierten Berichte auf und stellt sie dar, die meisten mit einem kostenlosen Tarif für den Einstieg. Eine öffentliche Stelle, die sich auf einen staatlich betriebenen Dienst stützte, kann ihre Reporting-Adresse auf ein kommerzielles Tool umstellen und die Kontinuität wahren, wobei sie dabei eine Anleitung in klarer Sprache und Ansichten über mehrere Domains gewinnt.
Für den Anfang oft ja. Ein Amt mit einer einzigen Domain kann mit einem echten kostenlosen Tarif beginnen, etwa DMARCeyes einer Domain und 5.000 E-Mails pro Monat, und genau sehen, welche Versender bestehen und fehlschlagen. Sie wechseln zu einem kostenpflichtigen Tarif, wenn Sie mehr Domains, eine längere Historie, rollenbasierten Zugriff oder Warnmeldungen benötigen, was die meisten Einrichtungen erreichen, sobald sie ihren gesamten Bestand unter Monitoring bringen.
Für eine öffentliche Einrichtung ist DMARC zugleich Vorgabe und Verteidigung: Es hält Angreifer davon ab, Post zu versenden, die scheinbar von einer vertrauenswürdigen öffentlichen Domain stammt, und es belegt einem Prüfer, dass Sie dies getan haben. Das richtige Tool ist jenes, das alle Ihre Domains und Subdomains klar anzeigt, Berichte in eine kurze Liste zu behebender Versender verwandelt, Nachweise erzeugt, die Sie einer Sicherheitsprüfung vorlegen können, und dies zu einem Preis tut, der sich vor einem öffentlichen Budget rechtfertigen lässt.
Wenn Sie Anleitung statt roher Berichte wollen, ist das genau das, wofür DMARCeye gebaut ist. Es liest die DMARC-Daten Ihrer Domains und nennt Ihnen den nächsten Schritt, und Sie können mit dem kostenlosen Tarif beginnen.