Insights

DMARC-Forensikberichte lesen und verstehen

Geschrieben von Jack Zagorski | 16.10.2025 10:35:39

DMARC-Forensikberichte (auch Fehlerberichte oder RUF-Berichte genannt) sind detaillierte Benachrichtigungen, die Mailbox-Anbieter senden, wenn eine einzelne Nachricht die DMARC-Authentifizierung nicht besteht.

Im Gegensatz zu Aggregatberichten, die täglich Tausende von Nachrichten zusammenfassen, konzentriert sich ein Forensikbericht auf eine einzelne Nachricht und enthält:

  • Die IP-Adresse des Absenders und die Envelope-From-Domain
  • Die DKIM- und SPF-Ergebnisse für diese Nachricht
  • Das DMARC-Alignment-Ergebnis
  • Teile des ursprünglichen Nachrichten-Headers (manchmal sogar die Betreffzeile)

DMARC-Forensikberichte sind Echtzeit-Benachrichtigungen zu konkreten Fehlern und unterscheiden sich von DMARC-Aggregatberichten, die tägliche Zusammenfassungen der DMARC-Aktivitäten darstellen. Mehr über Aggregatberichte erfahren Sie in unserem vollständigen Leitfaden zum Lesen von DMARC-Aggregatberichten.

Forensikberichte werden in Echtzeit an die E-Mail-Adresse gesendet, die im ruf-Tag Ihres DMARC-Eintrags angegeben ist, zum Beispiel:

 ruf=mailto:dmarc-forensic@yourdomain.com 
 

Da Forensikberichte sensible Nachrichtendaten enthalten können, sendet nicht jeder Anbieter sie - aber die Anbieter, die sie senden, liefern wertvolle Hinweise, wenn etwas schiefläuft.

Unterschied zwischen Forensik- und Aggregatberichten

So vergleichen sich Forensikberichte mit Aggregatberichten (RUA):

Umfang Zusammengefasst, Domain-Ebene Einzelne Nachricht, detailliert
Format XML-Datei Klartext oder AFRF-Format
Häufigkeit Täglich Echtzeit (pro Fehler)
Zweck Trend-Monitoring Vorfallsuntersuchung

Beide Berichtstypen sind nötig, um ein vollständiges Bild der E-Mail-Authentifizierung Ihrer Domain zu erhalten.

Wozu Forensikberichte nützlich sind

Forensikberichte sind Ihr Frühwarnsystem. Sie helfen dabei:

  • Spoofing-Versuche schnell zu erkennen, wenn nicht autorisierte Server versuchen, Ihre Domain zu verwenden.
  • Konfigurationsprobleme zu diagnostizieren, etwa fehlende DKIM-Key-Ausrichtung oder fehlende SPF-Einträge.
  • DMARC-Durchsetzung zu validieren, indem bestätigt wird, welche Nachrichten abgelehnt oder in Quarantäne verschoben wurden.
  • Missbrauchsbelege zu dokumentieren, falls Sie jemals Phishing oder Identitätsmissbrauch melden müssen.

Für Organisationen, die DMARC einführen, decken diese Berichte häufig übersehene Absender oder Systeme auf, die Authentifizierungsprüfungen nicht bestehen, bevor legitime Nachrichten geblockt werden.

Einen vollständigen Überblick und eine Roadmap zur DMARC-Einrichtung und Implementierung finden Sie in unserem Leitfaden zu DMARC-Monitoring und Compliance.

So aktivieren Sie DMARC-Forensikberichte

Um Forensikberichte zu empfangen, müssen Sie das ruf-Tag zu Ihrem DMARC-Eintrag hinzufügen.

Beispiel:

 v=DMARC1; p=quarantine; rua=mailto:dmarc-aggregate@yourdomain.com;
ruf=mailto:dmarc-forensic@yourdomain.com; fo=1;
 

Die einzelnen Parameter im Überblick:

  • ruf= - Die Adresse, an die Forensikberichte gesendet werden sollen.
  • fo= - Die Optionen für die Fehlerberichterstattung. Gängige Werte:
    • fo=0 - Bericht, wenn sowohl SPF als auch DKIM fehlschlagen (Standard).
    • fo=1 - Bericht, wenn SPF oder DKIM fehlschlägt.
    • fo=d - Nur DKIM-Fehler melden.
    • fo=s - Nur SPF-Fehler melden.

Wenn Sie Ihre Konfiguration testen, ist fo=1 ein guter Ausgangspunkt - so erhalten Sie umfassende Sichtbarkeit, während Sie die Authentifizierung feinjustieren.

Tipp: Verwenden Sie immer ein dediziertes Postfach für Forensikberichte. Sie können in großer Anzahl eingehen und teilweise sensible Daten enthalten.

So lesen Sie einen DMARC-Forensikbericht

Die meisten Forensikberichte werden als Klartextanhänge im Abuse Feedback Reporting Format (AFRF) gesendet. Auf diese Felder kommt es an.

1. Authentifizierungsergebnisse

Der obere Abschnitt zeigt in der Regel die SPF-, DKIM- und DMARC-Ergebnisse. Beispiel:

 Authentication-Results: spf=fail smtp.mailfrom=spammer.com;
dkim=none;
dmarc=fail (p=reject)
 

Das zeigt Ihnen:

  • Die Nachricht kam von spammer.com, nicht von Ihrem legitimen Absender.
  • DKIM war nicht signiert.
  • DMARC schlug fehl, und die Richtlinie wies auf Ablehnung hin.

2. Quell-IP und Absender-Domain

Ermitteln Sie als Nächstes, woher die Nachricht kam und welche Domain sie vorgab darzustellen:

Source-IP: 192.0.2.45
Reported-Domain: yourdomain.com
 

Wenn die IP keinem legitimen Dienst oder Anbieter gehört, handelt es sich wahrscheinlich um einen Spoofing-Versuch.

3. Nachrichtenidentifikatoren

Achten Sie auf Nachrichten-IDs, Envelope-From- und Header-From-Felder. Sie helfen dabei, die Quelle oder Fehlkonfiguration zu identifizieren:

 Original-Mail-From: user@yourdomain.com
Header-From: yourdomain.com
DKIM-Domain: none
 

Das zeigt, dass SPF- und DKIM-Ausrichtung fehlgeschlagen sind. Das ist ein häufiges Problem, wenn Drittanbieter-Tools E-Mails in Ihrem Auftrag versenden.

4. Beispielnachrichtendaten

Einige Forensikberichte enthalten einen Ausschnitt der ursprünglichen Nachricht oder des Headers zur Analyse. Das ist für die Untersuchung nützlich - gehen Sie jedoch vorsichtig damit um, da diese Daten personenbezogene Informationen enthalten können.

Forensikberichte verwalten und auswerten

Sobald Sie Berichte erhalten, gibt es zwei Möglichkeiten, damit umzugehen:

Manuelle Auswertung

  • Berichte im E-Mail-Client oder einem Texteditor öffnen.
  • Nach wiederkehrenden IPs oder Domains suchen, die Authentifizierungsprüfungen nicht bestehen.
  • Mit Ihren bekannten E-Mail-Systemen abgleichen.

Automatisierte Auswertung

  • Ein DMARC-Monitoring-Tool wie DMARCeye einsetzen, das Forensikdaten automatisch erfasst und visualisiert.
  • Forensik-Fehler mit Ihren Aggregatberichten korrelieren, um Muster im Zeitverlauf zu erkennen.

Die manuelle Auswertung ist bei kleinen Mengen ausreichend - sobald Sie mehrere Domains oder hohes E-Mail-Aufkommen haben, wird Automatisierung unerlässlich.

Datenschutz und Einschränkungen

Einige Mailbox-Anbieter senden aus Datenschutzgründen keine Forensikberichte. Gmail zum Beispiel stellt sie nicht mehr bereit.

Selbst wenn sie verfügbar sind, sind die Berichte nicht für jede fehlgeschlagene Nachricht garantiert - sie sind als ergänzende, nicht als vollständige Informationsquelle zu verstehen.

Wenn Sie sie jedoch erhalten, gehören sie zu den aussagekräftigsten Signalen zur Identifizierung aktiver Spoofing-Angriffe oder Fehlkonfigurationen.

Wie DMARCeye das Forensik-Monitoring vereinfacht

Forensikberichte können von Dutzenden von Anbietern in unterschiedlichen Formaten eingehen - die manuelle Verwaltung wird schnell unübersichtlich.

DMARCeye vereinfacht dies, indem Aggregat- und Forensikberichte über alle Ihre Domains hinweg automatisch erfasst und strukturiert werden.

Mit DMARCeye können Sie:

  • Alle fehlgeschlagenen Nachrichtenquellen in einem zentralen Dashboard einsehen.
  • Wiederkehrende nicht autorisierte IPs oder Spoofing-Versuche identifizieren.
  • Erkennen, welche legitimen Absender Authentifizierungsprüfungen nicht bestehen und Konfigurationsanpassungen benötigen.
  • Den gesamten Authentifizierungsstatus Ihrer Domain in Echtzeit verfolgen.

Statt sich durch rohe XML- oder Textdateien zu arbeiten, erhalten Sie eine klare, handlungsorientierte Übersicht über alles, was mit Ihrer Domain passiert - damit Sie schnell und sicher reagieren können.

Starten Sie jetzt mit einem kostenlosen Test von DMARCeye und schützen Sie Ihre E-Mail-Domain.
Vollständigen Beitrag anzeigen