DMARC nach DNS-Anbieter: Was Q1 2026 zeigt
Cloudflare hostet ein Viertel der überwachten Domains bei 99 % DMARC-Compliance; Azure DNS landet bei 87,66 %. Wie die DNS-Wahl DMARC prägt.
Der DNS-Anbieter, der die Records Ihrer Domain hostet, prägt Ihre DMARC-Aufstellung, bevor Sie auch nur einen einzigen Record veröffentlichen. Im Q1-2026-Branchenbericht von DMARCeye hostet Cloudflare rund ein Viertel aller überwachten Domains und erreicht 99,08 % Authentifizierungs-Compliance; Azure DNS dagegen hält 1,17 % der identifizierten Domains und landet bei 87,66 % - der einzige große DNS-Anbieter unter der 93-%-Beobachtungsmarke des Berichts. Die Spanne unter den zehn namentlich genannten Anbietern ist groß genug, um sich genauer anzuschauen.
Dieser Beitrag entpackt eine Auswertung aus dem Q1-2026-Bericht: die zehn größten DNS-Anbieter nach Marktanteil und Authentifizierungs-Compliance. Die Zahlen spiegeln Ergebnisse aus den mehreren tausend Domains, die DMARCeye aktiv überwacht. Das Bild für den breiteren, nicht überwachten Domain-Bestand sieht mit hoher Wahrscheinlichkeit anders aus, vermutlich schlechter.
Was „DNS-Anbieter" für DMARC bedeutet
DMARC lebt im DNS. Wenn ein empfangender Mailserver prüft, ob eine Nachricht, die angeblich von example.com kommt, echt ist, fragt er das DNS nach _dmarc.example.com ab und liest die Richtlinie aus einem TXT record. Wer dieses DNS betreibt, ist der DNS-Anbieter, also das Unternehmen, das die Anfrage beantwortet, wenn jemand fragt: „Wie lautet die DMARC-Richtlinie für diese Domain?" Gängige Anbieter sind Cloudflare, GoDaddy, AWS Route 53 von Amazon und Azure DNS von Microsoft.
Eine Anmerkung zur Begrifflichkeit. Ihr DNS-Anbieter ist nicht zwangsläufig dasselbe Unternehmen, bei dem Sie Ihre Domain gekauft haben (Ihr Registrar). Viele kleine Unternehmen lassen das DNS standardmäßig beim Registrar liegen (GoDaddy ist zum Beispiel beides, Registrar und DNS-Anbieter). Andere verlegen das DNS aktiv zu einem dedizierten Anbieter wie Cloudflare oder AWS Route 53, aus Leistungs- oder Funktionsgründen. Die Unterscheidung ist für DMARC wichtig, weil jeder Authentifizierungs-Record (SPF, DKIM, DMARC) auf der DNS-Ebene liegt und der Betreiber, der entschieden hat, wo das DNS gehostet wird, normalerweise auch derjenige ist, der diese Records eingerichtet hat.
Sie wissen nicht, bei welchem Anbieter Sie sind? Der kostenlose DNS-Checker von DMARCeye sagt es Ihnen in Sekunden, zusammen mit den E-Mail-Authentifizierungs-Records, die Ihre Domain veröffentlicht hat.
Top 10 DNS-Anbieter nach Marktanteil und Compliance
Der Q1-2026-Branchenbericht hat die Authentifizierungs-Compliance bei den zehn größten DNS-Anbietern gemessen, sortiert nach Anteil an allen überwachten Domains, bei denen sich ein Anbieter identifizieren ließ. Compliance bedeutet hier den Prozentsatz der Nachrichten aus den Domains eines Anbieters, die die DMARC-Authentifizierung bestehen, gewichtet nach E-Mail-Volumen.
| DNS-Anbieter | Domain-Anteil | Compliance |
|---|---|---|
| Cloudflare | 25,54 % | 99,08 % |
| GoDaddy | 9,36 % | 96,13 % |
| Google Cloud DNS | 6,28 % | 96,96 % |
| AWS Route 53 | 5,35 % | 99,51 % |
| Namecheap | 5,23 % | 99,35 % |
| IONOS | 2,63 % | 96,99 % |
| OVH DNS | 1,40 % | 96,39 % |
| Azure DNS | 1,17 % | 87,66 % |
| Host-H | 1,14 % | 97,53 % |
| Porkbun | 1,13 % | 98,48 % |
| Alle übrigen Anbieter | 40,77 % | 97,80 % |
In den Daten fallen drei Gruppen auf:
- Spitzenstufe, über 99 % Compliance: AWS Route 53 führt mit 99,51 %, gefolgt von Namecheap (99,35 %) und Cloudflare (99,08 %). Porkbun liegt knapp darunter bei 98,48 %. Diese Anbieter werden meist bewusst gewählt und nicht als Registrar-Standard übernommen, und die Domains, die sie nutzen, gehören tendenziell zu Betreibern, die SPF, DKIM und DMARC sorgfältig eingerichtet haben.
- Mittelfeld, 96 bis 97 % Compliance: Hier ballen sich die meisten namentlich genannten Anbieter. IONOS (96,99 %), Google Cloud DNS (96,96 %), OVH DNS (96,39 %) und GoDaddy (96,13 %) liegen alle innerhalb eines einzigen Prozentpunkts. GoDaddy ist sowohl Registrar als auch DNS-Anbieter, und viele der dort gehosteten Domains sind eher per Registrierungs-Voreinstellung dort gelandet als durch eine bewusste Entscheidung.
- Ein Ausreißer: Azure DNS bei 87,66 %, deutlich unter der 93-%-Beobachtungsmarke des Berichts. Der nächstschlechteste namentlich genannte Anbieter liegt mehr als 8 Prozentpunkte darüber.
Die Zeile „Alle übrigen Anbieter" deckt 40,77 % der identifizierten Domains bei 97,80 % Compliance ab. Die namentlich genannten Anbieter decken die anderen rund 60 % ab, und dort ist die Spanne groß genug, um sich genauer damit zu beschäftigen.
Warum Azure DNS bei 87,66 % liegt, während alle anderen über 96 % schaffen
Azure DNS ist der einzige große Anbieter im Datensatz unterhalb der 93-%-Beobachtungsmarke des Berichts. Warum? Hier sind einige mögliche Gründe (nicht in unseren Daten belegt):
- Azure DNS wird am häufigsten innerhalb von Microsoft-365- und Azure-Umgebungen eingesetzt, in denen die Mail-Infrastruktur mehrschichtig ist. Exchange Online, Drittanbieter-Relay-Dienste, On-Premises-Forwarder, automatisierte Tenants und gemeinsame Postfächer senden alle unter derselben Domain. Das DNS-Hosting ist unkompliziert; kompliziert wird die Versand-Seite. Zwei verwandte Q1-Ergebnisse zeigen, wie diese Komplexität in der Praxis aussieht: unsere Analyse zum Versand-Footprint zeigt, dass komplexe Domains gleichzeitig dutzende verschiedene Versand-IPs nutzen können, und unsere Compliance-Streuung nach ESP zeigt, dass Domains, die Mails über viele E-Mail-Plattformen routen, bei niedrigeren Authentifizierungsraten landen.
- Der Kundenmix bei Azure DNS ist enterprise-lastig. Konzerne verschicken eine größere Bandbreite an Mail-Typen über mehr verschiedene Wege als ein kleines Unternehmen auf Cloudflare. Mehr bewegliche Teile heißt mehr Stellen, an denen die Authentifizierung scheitern kann.
- DMARC-Compliance wird im Bericht pro Nachricht gemessen und nach E-Mail-Volumen gewichtet. Eine kleine Zahl volumenstarker, auf Azure gehosteter Domains mit Authentifizierungslücken kann den Durchschnitt stärker nach unten ziehen, als es die Zahl der betroffenen Domains allein vermuten ließe.
Keiner dieser Punkte lässt sich allein aus dem Diagramm testen. Es sind Muster, die wir in Kunden-Setups sehen, keine Erkenntnisse aus dem Datensatz. Wenn Ihre Domain auf Azure DNS liegt, ist die Compliance-Zahl, die zählt, Ihre eigene, nicht der Durchschnitt.
Was das für Ihr Setup bedeutet
Die Sicht nach DNS-Anbieter ist vor allem für zwei Lesergruppen praktisch nutzbar:
Wenn Sie eine Agentur oder ein IT-Dienstleister sind und das DNS über viele Kundendomains hinweg verwalten, ist die Anbieter-Tabelle eine Planungsgrundlage. AWS Route 53 und Cloudflare schaffen im Datensatz beide über 99 % Compliance; die Registrar-Standards, die viele Domains mitbringen (GoDaddy, IONOS), liegen um die 96 %. Die Spanne von 3 Prozentpunkten ist der Unterschied zwischen „fast alle Nachrichten kommen durch" und „eine von 25 nicht". Für Kunden auf p=reject hat diese Lücke direkte Folgen für die Zustellbarkeit. Wo das DNS in einem Kundenportfolio liegt, ist eine Zustellbarkeits-Entscheidung, nicht nur eine Infrastruktur-Frage.
Wenn Sie in der Enterprise-IT für DNS-Hosting-Governance zuständig sind, bedeutet die 87,66 % bei Azure DNS nicht, dass Azure DNS kaputt ist. Es bedeutet, dass Azure DNS in Umgebungen konzentriert ist, in denen die Mail-Infrastruktur komplexer ist, als das DNS-Setup vermuten lässt. Die Lösung heißt nicht „weg von Azure"; sie heißt anzuerkennen, dass komplexe Mail-Umgebungen mehr Authentifizierungs-Aufmerksamkeit brauchen, nicht weniger. Behandeln Sie den Datensatz-Durchschnitt als Untergrenze, gegen die Sie Ihr eigenes Setup vergleichen, nicht als Benchmark für das, was möglich ist.
So oder so: Die Compliance-Rate, die für Sie zählt, ist Ihre eigene, nicht der Durchschnitt. Beginnen Sie damit, zu prüfen, welcher DMARC-Record für Ihre Domain aktuell veröffentlicht ist:
Um zu sehen, wie sich die Compliance nach Versandquelle aufschlüsselt - welche Mail-Plattformen für Ihren Traffic durchgehen und wo Authentifizierungslücken auftauchen - müssen Sie DMARC-Reports über längere Zeit auswerten. Der kostenlose Tarif von DMARCeye deckt eine Domain mit vollständigem Report-Parsing ab, genug, um zu sehen, ob Ihre eigene Compliance in der Spitzenstufe, im Mittelfeld oder unter der Beobachtungsmarke liegt.
Die praktische Erkenntnis
Die Q1-2026-Daten zeigen eine Spanne von fast 12 Prozentpunkten über die zehn namentlich genannten Anbieter, von AWS Route 53 bei 99,51 % bis Azure DNS bei 87,66 %. Diese Spanne kommt nicht daher, dass sich die zugrunde liegende Technik nennenswert unterscheidet. Sie kommt daher, dass die Wahl des DNS-Anbieters die Absicht des Betreibers abbildet: Wer sich für AWS Route 53 oder Cloudflare statt für den Registrar-Standard entschieden hat, hat tendenziell auch die Authentifizierung sorgfältig eingerichtet, und diese Sorgfalt schlägt sich in den Compliance-Zahlen nieder.
Wenn Sie bereits DMARC-Monitoring im Einsatz haben, ist das hier Kontext für Ihre eigenen Zahlen, kein Benchmark. DMARCeye wertet Ihre DMARC-Reports aus und sagt Ihnen für Ihre konkrete Domain, was durchgeht, was scheitert und was als Nächstes zu beheben ist, ohne dass Sie das rohe XML selbst interpretieren müssen.