DMARC-Probleme beheben: Ursachen und Lösungen

Sobald ein DMARC-Eintrag eingerichtet ist, treten oft Probleme auf. E-Mails, die bisher problemlos zugestellt wurden, landen plötzlich im Spam, legitime Absender schlagen bei der Authentifizierung fehl, oder die Berichte zeigen unerwartete Ergebnisse.

DMARC bietet starken Schutz gegen Spoofing, setzt aber Präzision voraus. Ein einzelner Syntaxfehler oder eine falsch ausgerichtete Domain kann Fehler im gesamten E-Mail-System verursachen.

Diese Anleitung beschreibt die häufigsten DMARC-Probleme, erklärt, wie man sie erkennt, und zeigt Schritt für Schritt, wie man sie behebt. Außerdem wird gezeigt, wie DMARCeye diesen Prozess einfacher und schneller macht.

Einen vollständigen Überblick und Fahrplan zur DMARC-Implementierung - von der Einrichtung bis zur laufenden Überwachung und darüber hinaus - bietet unser Leitfaden zu DMARC-Monitoring und Compliance.

Was sind die häufigsten DMARC-Probleme, und wie behebt man sie?

Im Folgenden sind die sechs häufigsten DMARC-bezogenen Probleme aufgeführt - mit Hinweisen, wie man sie manuell und über das DMARCeye-Dashboard erkennt und behebt.

1. SPF-Fehler

Symptome:

• Die DMARC-Berichte zeigen "spf=fail" für bekannte Absender.
• Legitime Nachrichten werden in Quarantäne verschoben oder abgewiesen.

Ursachen:

• Fehlende oder veraltete IP-Adressen im SPF-Eintrag.
• E-Mails werden von einem Drittanbieter versendet (z. B. CRM, Marketing-Plattform, Ticketsystem), der nicht im SPF aufgeführt ist.
• Mehrere SPF-Einträge im DNS.

Lösung:

• Mit einem Lookup-Tool oder einem DMARC-Monitoring-Tool prüfen, welche Absender bei SPF fehlschlagen.
• Feststellen, ob diese Absender legitim sind. In DMARCeye werden fehlgeschlagene IP-Adressen als separate Sendequellen mit rotem oder orangenem Status angezeigt.
• Falls legitim, den include-Eintrag des Absenders zum SPF-Eintrag hinzufügen. Beispiel:
  
  v=spf1 include:_spf.google.com include:sendgrid.net -all
• Nach der DNS-Aktualisierung die SPF-Bestehensrate überwachen, um zu prüfen, ob das Problem behoben ist.

Symptome:

• DMARC-Berichte zeigen "dkim=fail" auch für vertrauenswürdige Absender.
• Der empfangende Server kann die DKIM-Signatur nicht validieren.

Ursachen:

• Der DKIM-Schlüssel wurde nicht korrekt im DNS veröffentlicht.
• In der Konfiguration wird ein falscher Selektor verwendet.
• Der E-Mail-Dienst hat seine DKIM-Einstellungen geändert, ohne dass der DNS-Eintrag aktualisiert wurde.

Lösung:

1. Sicherstellen, dass der DKIM-Eintrag aktiv und korrekt ist. Prüfung über Domain und Selektor (z. B. selector1._domainkey.yourdomain.com).
2. Überprüfen, ob der Eintrag mit folgendem beginnt:
   
   v=DKIM1; k=rsa; p=...
3. Einen neuen DKIM-Schlüssel generieren und veröffentlichen, wenn der Eintrag fehlt oder beschädigt ist.
4. Eine Testnachricht senden und bestätigen, dass sie die DKIM-Validierung besteht.

3. Alignment-Probleme

Symptome:

• SPF und DKIM bestehen, aber DMARC schlägt trotzdem fehl.
• Die Domain im "Header From"-Feld stimmt nicht mit den Domains in den SPF- oder DKIM-Einträgen überein.

Ursachen:

• Nicht ausgerichtete Subdomains (z. B. mailer.yourdomain.com vs. yourdomain.com).
• Drittanbieter verwenden in den E-Mail-Headern ihre eigene Domain statt der eigenen.

Lösung:

1. Die DMARC-Alignment-Einstellungen prüfen:
   
   aspf=r; adkim=r

2. "r" steht für relaxiertes Alignment (Subdomains sind erlaubt). Bei striktem Alignment (aspf=s; adkim=s) müssen die Domains exakt übereinstimmen.
3. Das Alignment lockern, wenn mehrere Subdomains oder Drittanbieter genutzt werden.
4. Bei striktem Alignment jeden Dienst so konfigurieren, dass E-Mails mit der exakten Domain signiert werden.

4. Syntaxfehler im DMARC-Eintrag

Symptome:

• Berichte kommen nicht an.
• Test-Tools melden "ungültiger DMARC-Eintrag".
• Postfach-Anbieter ignorieren die DMARC-Richtlinie.

Ursachen:

• Fehlende Semikolons, Tippfehler oder falsch formatierte Tags.
• Versehentlich eingefügte Anführungszeichen oder Zeilenumbrüche.

Lösung:

1. Den DMARC-Eintrag in ein Validierungstool kopieren (z. B. dmarcian.com oder MxToolbox).
2. Prüfen, ob das korrekte Format eingehalten wird:
   
   v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r

3. Überflüssige Leerzeichen oder Zeilenumbrüche entfernen.
4. Eintrag neu veröffentlichen und erneut testen.

5. Fehlende Autorisierungen für Drittanbieter

Symptome:

• Bestimmte Dienste (z. B. CRMs oder Newsletter-Tools) schlagen bei DMARC regelmäßig fehl.
• Die IP-Adressen desselben Anbieters erscheinen in den Berichten wiederholt als fehlgeschlagene Quellen.

Ursachen:

• Die Plattform versendet E-Mails über die eigene Domain, ist aber weder in SPF noch in DKIM autorisiert.

Lösung:

1. Prüfen, ob der Anbieter benutzerdefinierte DKIM- oder SPF-Einstellungen unterstützt.
2. Den SPF-include des Anbieters (falls vorhanden) zum DNS-Eintrag hinzufügen.
3. Einen DKIM-Schlüssel generieren und veröffentlichen, wenn die Plattform dies erlaubt.
4. Falls nicht möglich, eine eigene Subdomain für diesen Absender einrichten (z. B. news.yourdomain.com).

6. Keine DMARC-Berichte vorhanden

Symptome:

• Ein DMARC-Eintrag wurde veröffentlicht, aber es gehen keine Berichte ein.

Ursachen:

• Ungültige oder nicht erreichbare E-Mail-Adressen in den rua- oder ruf-Tags.
• Das empfangende Postfach lehnt große XML-Anhänge ab.
• Anbieter haben noch nicht begonnen, Berichte zu senden (kann bis zu 48 Stunden dauern).

Lösung:

1. Die Berichtsadressen im Eintrag prüfen: 
   
   rua=mailto:dmarc-aggregate@yourdomain.com; ruf=mailto:dmarc-forensic@yourdomain.com

2. Sicherstellen, dass diese Postfächer Anhänge empfangen können.
3. Ein DMARC-Monitoring-Tool verwenden, um Berichte von allen Anbietern zuverlässig zu erfassen.

Wie helfen DMARC-Berichte dabei, Probleme zu finden und zu beheben?

Die aggregierten und forensischen DMARC-Berichte sind das wichtigste Werkzeug zur Fehlersuche.

Folgende Muster sind dabei relevant:

• Wiederkehrende SPF- oder DKIM-Fehler von einer einzelnen IP-Adresse (wahrscheinlich ein Konfigurationsproblem).
• Unbekannte IP-Adressen, die große Mengen versenden (kann auf Spoofing hinweisen).
• Legitime Absender, die bei DKIM scheitern, aber SPF bestehen (hier sollte die DKIM-Einrichtung des jeweiligen Dienstes geprüft werden).

Mit der Zeit zeigen die Berichte Fortschritte, wenn jede Fehlerquelle behoben wird und die DMARC-Richtlinie schrittweise in Richtung Durchsetzung weiterentwickelt wird.

Wie DMARCeye die Fehlersuche beschleunigt

Jeder DMARC-Eintrag braucht irgendwann Anpassungen, da neue Anbieter, neue Subdomains und Richtlinienänderungen immer wieder potenzielle Schwachstellen erzeugen. DMARCeye fungiert als laufende Monitoring-Schicht und stellt sicher, dass die DMARC-, SPF- und DKIM-Konfiguration weiterhin wie vorgesehen funktioniert.

Mit DMARCeye lässt sich:

• Authentifizierungsprobleme erkennen und beheben, bevor sie die Zustellbarkeit beeinträchtigen.
• Spoofing-Versuche über alle eigenen Domains hinweg überwachen.
• Eine konsistente, richtlinienkonforme Konfiguration ohne manuelle XML-Analyse aufrechterhalten.
• Sicher von p=none zu p=reject wechseln - auf Basis konkreter Daten.

Komplexe DNS-Fehlersuche wird so in klare, umsetzbare Erkenntnisse umgewandelt.

Jetzt DMARCeye kostenlos testen und die E-Mail-Domain schützen.