Insights

DMARC-Aggregatberichte lesen und verstehen

Geschrieben von Jack Zagorski | 15.10.2025 12:46:32

Sobald Ihr DMARC-Eintrag aktiv ist, erhalten Sie sogenannte Aggregatberichte - tägliche Datendateien von Mailbox-Anbietern, die zeigen, wie Ihre Domain zum E-Mail-Versand genutzt wird.

Auf den ersten Blick können diese XML-Dateien überwältigend wirken. Wenn Sie aber verstehen, was darin steckt, können Sie unbefugte Absender erkennen, Konfigurationsfehler beheben und Ihre DMARC-Richtlinie gezielt verschärfen.

DMARC-Aggregatberichte sind tägliche Zusammenfassungen der DMARC-Aktivität und unterscheiden sich von DMARC-Forensikberichten, die Echtzeit-Benachrichtigungen zu konkreten Vorfällen darstellen. Mehr über Forensikberichte erfahren Sie in unserem vollständigen Leitfaden zu DMARC-Forensikberichten.

Was sind DMARC-Aggregatberichte?

DMARC-Aggregatberichte (auch als RUA-Berichte bekannt) fassen zusammen, wie die empfangenden Mailserver an einem bestimmten Tag mit Nachrichten von Ihrer Domain umgegangen sind.

Jeder Bericht enthält:

  • Versandquellen: Die IP-Adressen und Hostnamen, die Nachrichten unter Ihrer Domain versendet haben.
  • Authentifizierungsergebnisse: Ob jede Nachricht die SPF- und DKIM-Prüfungen bestanden hat.
  • Alignment-Ergebnisse: Ob die Prüfungen mit Ihrer Domain übereinstimmen (eine Voraussetzung für DMARC).
  • Nachrichtenanzahl: Wie viele Nachrichten bestanden haben, fehlgeschlagen sind oder unter Quarantäne gestellt wurden.

Die Berichte enthalten keine Nachrichteninhalte, nur Metadaten - aber das reicht aus, um zu verstehen, wer in Ihrem Namen sendet und ob diese Nachrichten korrekt authentifiziert sind.

 

Wozu helfen Ihnen DMARC-Berichte?

DMARC-Berichte geben Ihnen Einblick in drei wichtige Bereiche:

  1. Welche Dienste legitime E-Mails für Sie versenden. Sie sehen alle Ihre echten Absender: Marketing-Plattformen, Ticketsysteme, CRMs und so weiter.
  2. Wer vorgibt, von Ihrer Domain zu senden. Sie erkennen unbefugte IP-Adressen und Domains, die die Authentifizierung nicht bestehen und möglicherweise Ihre Domain missbrauchen.
  3. Wie gut Ihr Authentifizierungs-Setup funktioniert. Sie können den Fortschritt verfolgen, während Sie SPF und DKIM optimieren und sich auf die Durchsetzung Ihrer DMARC-Richtlinie vorbereiten.

Ohne regelmäßige Auswertung dieser Berichte lässt sich nicht feststellen, ob Ihr DMARC-Setup tatsächlich seine Aufgabe erfüllt.

Einen vollständigen Überblick und eine Roadmap zur DMARC-Implementierung finden Sie in unserem Leitfaden zu DMARC-Monitoring und Compliance.

Wie liest man einen DMARC-Aggregatbericht?

Sie müssen die XML-Rohdateien nicht Zeile für Zeile lesen. Hier erfahren Sie, wie Sie vorgehen und worauf Sie achten sollten:

1. Berichte finden

Mailbox-Anbieter senden Aggregatberichte an die E-Mail-Adresse, die im rua-Tag Ihres DMARC-Eintrags hinterlegt ist, zum Beispiel:

 
Sie kommen in der Regel als gezippte XML-Anhänge an.
 

2. Daten öffnen oder konvertieren

Sie können diese Dateien manuell in einem Text- oder Tabelleneditor öffnen oder mit kostenlosen DMARC-Report-Viewern in lesbare Tabellen umwandeln. Alternativ können Sie ein automatisiertes Tool verwenden, das die Berichte sammelt und visualisiert - es lohnt sich aber, zunächst zu verstehen, wie die Rohdaten aussehen.

3. Schlüsselfelder prüfen

Achten Sie in jedem Datensatz auf folgende Elemente:

  • Quell-IP: Die IP-Adresse des Absenders.
  • Disposition: Was der Empfänger getan hat (none, quarantine oder reject).
  • SPF/DKIM-Ergebnis: Ob die jeweilige Prüfung bestanden oder nicht bestanden hat.
  • Alignment: Ob das Ergebnis mit Ihrer Domain übereinstimmt.

Wenn SPF und DKIM beide bestehen und übereinstimmen, ist die E-Mail vollständig authentifiziert.

4. Legitime Absender identifizieren

Prüfen Sie, welche IP-Adressen oder Domains zu Diensten gehören, die Sie tatsächlich nutzen, zum Beispiel Ihre Marketing-Automatisierungsplattform oder Ihre Helpdesk-Software. Wenn einer davon SPF oder DKIM nicht besteht, aktualisieren Sie die DNS- oder Schlüsseleinstellungen dieses Systems.

5. Unbefugte Aktivitäten erkennen

Unbekannte IP-Adressen, die die Authentifizierung wiederholt nicht bestehen, sind häufig ein Zeichen für Spoofing-Versuche. Wenn Sie solche entdecken, vergewissern Sie sich, dass sie keinem legitimen Anbieter gehören, und erwägen Sie dann, Ihre DMARC-Richtlinie anzupassen, um sie zu blockieren.

6. Fortschritt verfolgen

Mit der Zeit sollten Ihre Berichte weniger Authentifizierungsfehler und einen höheren Anteil an übereinstimmenden Nachrichten zeigen. Sobald Sie sicher sind, dass alle legitimen Absender abgedeckt sind, können Sie Ihre DMARC-Richtlinie sicher von none auf quarantine und schließlich auf reject umstellen.

Welche Muster sollten Sie beobachten?

  • Wiederkehrende SPF- oder DKIM-Fehler bei einem bekannten Anbieter deuten in der Regel auf ein Konfigurationsproblem hin.
  • Weitergeleitete Nachrichten können SPF nicht bestehen, aber dennoch DKIM bestehen.
  • Drittanbieter-Tools, die in Ihrem Namen senden, benötigen eine explizite SPF/DKIM-Konfiguration, sonst erscheinen sie als Fehler.

Wenn Sie diese Muster verstehen, können Sie echte Bedrohungen von harmlosen technischen Fehlern unterscheiden.

DMARCeye: den Prozess vereinfachen

Wenn Sie mehrere Domains verwalten oder täglich viele Berichte erhalten, wird das manuelle Lesen von XML-Dateien schnell unhandlich.

Hier können DMARC-Reporting-Plattformen wie DMARCeye helfen. Sie sammeln und visualisieren Daten aus all Ihren Berichten und geben Ihnen einen strukturierten Überblick über Versandquellen, Erfolgsquoten und Trends.

Sie brauchen ein solches Tool nicht von Anfang an, aber wenn Ihr DMARC-Programm reift, spart Automatisierung Zeit und hilft Ihnen, proaktiv zu bleiben.

Starten Sie noch heute mit einer kostenlosen Testversion von DMARCeye und schützen Sie Ihre E-Mail-Domain.
Vollständigen Beitrag anzeigen