DMARC ändert sich mit DMARCbis. Was bedeutet das für Sie?

Vielleicht ist Ihnen der Begriff irgendwo begegnet - etwas wie "DMARCbis", mit dem Hinweis, dass sich etwas ändert. Vielleicht hat Ihre IT-Person es erwähnt, vielleicht haben Sie es in einem E-Mail-Newsletter aufgeschnappt. So oder so war Ihre Reaktion vermutlich: "Was soll das sein, und muss ich jetzt etwas tun?"

Die Antwort auf die zweite Frage lautet: noch nicht - der neue Standard hat kein bestätigtes Veröffentlichungsdatum. Es lohnt sich aber zu verstehen, was sich tatsächlich ändert und was das für Sie bedeuten wird, wenn es so weit ist.

Kurze Auffrischung: Was macht DMARC eigentlich?

Erinnern Sie sich an den Moment, als Sie Ihre Domain eingerichtet haben und Ihnen jemand sagte, Sie sollten ein paar DNS-Records hinzufügen - SPF, DKIM, DMARC. Vielleicht haben Sie es selbst gemacht, vielleicht hat es jemand für Sie erledigt, und seitdem haben Sie nicht mehr daran gedacht.

DMARC ist im Kern ein Schutz gegen Identitätsmissbrauch. Ohne DMARC kann jeder eine E-Mail verschicken, die aussieht, als käme sie von Ihrer Domain - zum Beispiel info@ihrefirma.de. Mit DMARC sagen Sie der Welt: "E-Mails von meiner Domain müssen bestimmte Regeln erfüllen. Tun sie das nicht, behandelt sie als verdächtig - oder blockiert sie ganz."

E-Mail-Server wie Gmail, Outlook und andere lesen diesen Record und entscheiden damit, was sie mit Nachrichten machen, die vorgeben, von Ihnen zu stammen.

Was ist also DMARCbis?

DMARCbis ist eine aktualisierte Version der Regeln, die definieren, wie DMARC funktioniert. Das "bis" kommt aus dem Lateinischen und bedeutet "zweitens" oder "überarbeitet" - wie die zweite Auflage eines Buches.

Der neue Standard wird irgendwann im Jahr 2026 erwartet, ein genaues Datum steht aber noch nicht fest. Wenn er kommt, ersetzt er die ursprüngliche Spezifikation von 2015.

Was genau ändert sich?

1. Ihr bestehender DMARC-Record funktioniert weiter

Das Wichtigste zuerst: Sie müssen nichts ändern. Der Record, den Sie heute im DNS haben, bleibt auch nach Veröffentlichung des neuen Standards gültig.

2. Eine Funktion, die nicht funktioniert hat, wird entfernt

Das ist die wichtigste Änderung - und zur Erklärung hilft eine kleine Analogie.

Stellen Sie sich DMARC wie einen Lichtschalter mit Dimmer vor. Er hat drei Stellungen:

• 🔘 Aus - verdächtige E-Mails kommen ganz normal durch, Sie erhalten lediglich Berichte. Technisch: p=none
• 🟡 Vorsicht - verdächtige E-Mails landen im Spam. Technisch: p=quarantine
• 🔴 Voller Schutz - verdächtige E-Mails werden komplett blockiert. Technisch: p=reject

Direkt von "Aus" auf "Voller Schutz" zu springen, ist riskant. Möglicherweise verschicken Sie E-Mails über Tools, die Sie längst vergessen haben - ein altes Rechnungssystem, ein Plugin, ein Marketing-Tool, das Sie kurz genutzt haben. Sind die nicht sauber konfiguriert, bekommen Ihre Kunden plötzlich keine E-Mails mehr, ganz ohne Vorwarnung.

Die ursprüngliche DMARC-Spezifikation hatte dafür eine Lösung: einen stufenweisen Rollout. Sie konnten sagen: "Wende die Regeln zunächst nur auf 10 % der E-Mails an, dann auf 50 %, dann auf 100 %." Theoretisch würden Sie auf diesem Weg vergessene Absender entdecken. In der Praxis hat es nicht funktioniert. Verschiedene E-Mail-Server haben die Einstellung unterschiedlich interpretiert, und viele haben sie schlicht ignoriert.

DMARCbis entfernt diese Funktion. Statt eines Dimmers bekommen Sie einen einfachen Schalter: entweder Testmodus oder volle Durchsetzung. Keine Prozentsätze.

3. Wie E-Mail-Server Ihre Domainstruktur verstehen, ändert sich

Das ist eine eher technische Änderung, sie ist aber einen Blick wert - vor allem, wenn Sie ein etwas komplexeres Domain-Setup haben.

Jede Domain hat einen "Baum". newsletter.ihrefirma.de ist zum Beispiel ein Zweig von ihrefirma.de. Ein DMARC-Record auf der Hauptdomain deckt automatisch Subdomains ab - es sei denn, diese haben einen eigenen Record.

Bisher nutzten E-Mail-Server eine externe Liste, um zu verstehen, wo eine Domain "beginnt" - ein öffentlich gepflegtes Dokument namens Public Suffix List. Das Problem: Diese Liste ist nicht immer aktuell. DMARCbis löst das eleganter: Server fragen direkt das DNS. Das Ergebnis ist zuverlässiger und vorhersehbarer.

Was heißt das für Sie? Wenn Sie eine einzige Domain haben und sonst nichts Kompliziertes, vermutlich gar nichts. Wenn Sie aber mehrere Subdomains betreiben (etwa shop.ihrefirma.de, support.ihrefirma.de), lohnt sich ein Blick darauf, ob Ihre DMARC-Records wirklich das abdecken, was sie Ihrer Meinung nach abdecken sollten.

Wie finden Sie heraus, was Sie aktuell eingerichtet haben?

Bevor Sie entscheiden, wie es weitergeht, sollten Sie wissen, wo Sie stehen. Am einfachsten geht das mit dem kostenlosen DNS-Checker von DMARCeye - Domain eingeben und sofort sehen, welchen DMARC-Record Sie haben, was er bedeutet und ob er korrekt eingerichtet ist. Kostenlos, ohne Registrierung, Ergebnis in Sekunden.

Warum sagen gerade alle, dass sich etwas ändert?

Weil es tatsächlich ein interessanter Moment in der Geschichte der E-Mail-Sicherheit ist - das Ganze wird aber dramatischer dargestellt, als es für die meisten Domain-Inhaber wirklich ist.

Die wichtigere Geschichte ist nicht "der Standard ändert sich", sondern diese: Ein großer Teil aller Domains hat zwar DMARC eingerichtet, bietet damit aber keinen echten Schutz. Sie hängen seit Jahren im reinen "Monitoring-Modus" fest. Wer wirklich Schutz will, kommt mit einem eingerichteten DMARC allein nicht weit. Sie müssen wissen, was Ihnen Ihre Berichte sagen, und schrittweise - und sicher - zu strengeren Einstellungen wechseln.

DMARC-Berichte sind technisch, sie kommen als XML-Dateien, und ohne Tool sind sie praktisch unlesbar. DMARCeye liest diese Berichte für Sie und sagt Ihnen in klarer Sprache: Wer verschickt E-Mails von Ihrer Domain, sind all Ihre Versand-Tools sauber konfiguriert und was würde passieren, wenn Sie Ihre Policy heute verschärfen. Sie können kostenlos starten.

Was sollten Sie jetzt konkret tun?

Nichts Dringendes - der neue Standard hat kein bestätigtes Veröffentlichungsdatum, es gibt also keine Frist.

1. Finden Sie heraus, was Sie eingerichtet haben. Nutzen Sie den DNS-Checker, das dauert eine Minute.
2. Wenn Sie Subdomains haben, prüfen Sie, ob sie von den richtigen Records abgedeckt sind. DMARCbis ändert, wie Server den Domain-Baum lesen.
3. Wenn Sie seit Jahren auf p=none hängen, wird es Zeit, weiterzugehen. Vorsichtig und mit Überblick. Ein Tool wie DMARCeye zeigt Ihnen den Weg ohne unnötiges Risiko.

Wenn Sie die Details auf Spezifikationsebene zu allen Änderungen in DMARCbis wollen, lesen Sie unseren Begleitbeitrag: Was DMARCbis ändert und was weiterhin offenbleibt.

Testen Sie DMARCeye kostenlos und sehen Sie, was die E-Mail-Berichte Ihrer Domain wirklich sagen.