Insights

DMARC-Durchsetzungslücke: Q1-2026-Daten | DMARCeye

Geschrieben von Jack Zagorski | 06.05.2026 00:00:00

Bei DMARC geht es im Kern um Durchsetzung. Der Record sagt empfangenden Mailservern, was sie mit Nachrichten tun sollen, die die Authentifizierung nicht bestehen: in den Spam-Ordner verschieben mit p=quarantine oder direkt ablehnen mit p=reject. Solange eine Domain keine dieser Policies erreicht hat, liefert DMARC nur Sichtbarkeit. Nützlich, aber kein Schutz. Die Q1-2026-Daten der DMARCeye-Monitoring-Plattform zeigen: Mehr als ein Drittel aller Domains, die sich bereits mit DMARC beschäftigen, kommen dort nie an.

Dieser Beitrag entpackt das Ergebnis zur Policy-Verteilung aus dem DMARCeye-Branchenbericht für Q1 2026. Der vollständige Bericht mit allen 12 Auswertungen und der Methodik liegt unten.

 

Wo DMARC-aktive Domains in Q1 2026 stehen

Unter den tausenden Domains, die DMARCeye aktiv überwacht, sieht die Policy-Verteilung so aus:

  • 36,7 % auf p=none: reines Monitoring. Ein DMARC-Record existiert, aber den Empfängern wird nicht gesagt, was sie tun sollen, wenn die Authentifizierung fehlschlägt.
  • 36,8 % auf p=quarantine: nicht authentifizierte Nachrichten landen im Spam.
  • 26,5 % auf p=reject: volle Durchsetzung. Nicht authentifizierte Nachrichten werden abgelehnt.

Etwa ein Drittel der überwachten Domains steckt also noch in der Sichtbarkeitsphase. Nur rund ein Viertel hat die volle Durchsetzung erreicht. Die mittlere Stufe, Quarantäne, ist die größte Einzelgruppe.


Quelle: DMARCeye Q1 2026 Branchenbericht (research.dmarceye.com)

Dieses Bild gilt für Domains, die sich bereits mit DMARC beschäftigen. Der vollständige Bericht vergleicht diese Gruppe mit einer separaten Scan-Stichprobe öffentlich erreichbarer Internet-Domains. In dieser Stichprobe haben 28 % der Domains überhaupt keinen DMARC-Record.

Was reines Monitoring tatsächlich schützt

Ein DMARC-Record auf p=none sagt empfangenden Servern: „Wenn eine Nachricht das SPF- und DKIM-Alignment nicht besteht, stelle sie trotzdem zu, aber sende einen Bericht.“ Der Domain-Inhaber bekommt Sichtbarkeit, sowohl auf legitime Mails von vergessenen Diensten als auch auf Spoofing-Versuche. Aber blockiert wird nichts. Eine gefälschte Nachricht erreicht den Posteingang genauso wie eine echte.

Reines Monitoring ist ein guter Ausgangspunkt. Ohne Monitoring-Daten lässt sich die Policy nicht sicher verschärfen. Wer aber dauerhaft auf p=none bleibt, sammelt nur Belege für Spoofing und unternimmt nie etwas dagegen.

Was Sie p=none tatsächlich kostet

Für die meisten Unternehmen zeigt sich das praktische Risiko von p=none in drei Bereichen:

  • Spoofing erreicht den Posteingang. Eine Phishing-Kampagne, die Ihre Domain imitiert, landet in den Mailboxen Ihrer Kunden oder Mitarbeitenden, weil keine Policy aktiv ist, die das stoppt.
  • Echte Mails wandern Richtung Spam-Ordner. Empfangende Server bestrafen reines Monitoring nicht direkt, sie verbuchen aber gescheiterte Authentifizierungen auf das Reputationskonto Ihrer Domain. Spoofing-Mails in Ihrem Namen scheitern bei der Authentifizierung. Über Wochen mit Angreifer-Aktivität beeinflusst dieses Muster, wo Ihre legitimen Mails ankommen.
  • Bulk-Sender-Anforderungen werden nur minimal erfüllt. Die Google- und Yahoo-Richtlinien vom Februar 2024 verlangen einen DMARC-Record für Absender ab 5.000 Nachrichten pro Tag. Ein Record auf p=none mit Reporting erfüllt das Minimum. Ihre Filter-Algorithmen ziehen die DMARC-Haltung trotzdem in die Zustellentscheidung ein, und ein Record, der zwar veröffentlicht ist, aber nie durchsetzt, landet in der Kategorie „auf dem Papier compliant“.

Für einen E-Commerce-Shop, der Bestellbestätigungen und Versandupdates verschickt, sieht das so aus: Legitime Transaktionsmails werden mit der Zeit schwerer zustellbar, während Spoofing-Mails weiterhin den Posteingang Ihrer Kunden treffen. Eine beschädigte Absender-Reputation lässt sich nur langsam reparieren, wenn sie einmal kippt.

Warum Domains auf p=none bleiben

Der Q1-Bericht zeigt das Was. Er sagt uns nicht, warum eine bestimmte Domain im reinen Monitoring bleibt. Die folgenden Gründe sind Muster, die wir bei Kunden sehen, keine Erkenntnisse aus dem Datensatz. Behandeln Sie sie als fundierte Vermutungen, die Sie an Ihrer eigenen Situation prüfen sollten:

  • Angst, legitime Mails zu zerschießen. Der häufigste Grund, warum Teams stehen bleiben. Eine schärfere Policy könnte Mails von einem Drittdienst in Quarantäne schicken oder ablehnen, den das Team nie dokumentiert hat. Die Lösung ist Dokumentation, nicht Vermeidung.
  • Keine klare Anleitung für den nächsten Schritt. Die meisten Monitoring-Tools zeigen rohe Aggregate-Reports und überlassen die Interpretation dem Team. Ohne eine Antwort pro Domain auf die Frage „ist es sicher, weiterzugehen?“ bleiben Teams im Zweifel sitzen.
  • Vergessene Verantwortlichkeit. Die Person, die das DMARC-Monitoring eingerichtet hat, ist gegangen. Niemand sonst hat die Befugnis, oder die Lust, den Schalter umzulegen.
  • Den Nutzen unterschätzt. Solange kein Spoofing-Vorfall einschlägt, ist Durchsetzung eine von vielen Prioritäten. Sobald einer einschlägt, ist sie die einzige. Die meisten Teams lernen es auf die harte Tour.

Der Bericht zeigt, dass die Lücke existiert. Die Ursachen lohnen sich, in der eigenen Umgebung zu untersuchen.

Sicher vom Monitoring zur Durchsetzung

Der Weg von p=none zu p=reject ist gut dokumentiert und verlangt keinen Sprung ins Ungewisse:

  1. Lesen Sie Ihre Aggregate-Reports mindestens 2 bis 4 Wochen lang. Sie brauchen ein stabiles Bild davon, was unter Ihrer Domain versendet wird. Ausschläge aus einmaligen Kampagnen führen Sie sonst in die Irre.
  2. Authentifizieren Sie jeden legitimen Absender. Ihr ESP, Transaktionsdienst, Marketing-Tool, Abrechnungssystem und interner Mail-Relay müssen alle bei SPF oder DKIM ausgerichtet sein. Vorzugsweise bei beiden, denn DKIM überlebt Weiterleitungen, SPF nicht.
  3. Wechseln Sie zuerst auf p=quarantine. Mails, die nicht bestehen, gehen in den Spam-Ordner, nicht nach /dev/null. Beobachten Sie die Reports ein bis zwei Wochen. Bestätigen Sie, dass legitime Mails weiterhin durchkommen.
  4. Wechseln Sie auf p=reject. Wenn Sie Schritt 2 sauber gemacht haben, ist der Wechsel kaum zu bemerken.

Eine verwandte Erkenntnis aus dem Q1-Bericht: Nur etwa 6 % der durchsetzenden Domains nutzen das eingebaute pct=-Tag von DMARC für einen prozentualen Stufen-Rollout. Die meisten Teams springen direkt von p=none auf volle Durchsetzung mit 100 %. Die kommende DMARCbis-Revision des Standards entfernt pct= komplett, was „macht die Vorarbeit“ zum binären Pfad macht.

Wenn Sie eine ausführliche Schritt-für-Schritt-Anleitung suchen, deckt unser vollständiger DMARC-Implementierungsleitfaden den ganzen Prozess ab.

 
Vollständigen Beitrag anzeigen