Q1 2026 zeigt: .za führt bei p=reject (51,0 %), .cz hinkt mit 68,7 % p=none hinterher, .au bevorzugt p=quarantine. DMARC-Richtlinien nach Länder-TLD.
Das Land, in dem eine Domain registriert ist, prägt, wie konsequent die Inhaber DMARC durchsetzen. Im DMARCeye-Branchenbericht für Q1 2026 führen südafrikanische (.za) Domains bei der Durchsetzung: 51,0 % stehen auf p=reject. Tschechische (.cz) Domains sind am nachgiebigsten, 68,7 % stehen weiterhin auf p=none und nur 10,2 % auf voller Durchsetzung. Australische (.au) Domains gehen einen ganz eigenen Weg: 52,6 % stehen auf p=quarantine, der mittleren Stufe, die fast keine andere Top-Level-Domain bevorzugt.
Dieser Artikel beleuchtet eine Sicht aus dem Q1-2026-Bericht: die Verteilung der DMARC-Richtlinien über die 11 am häufigsten beobachteten Top-Level-Domains. Die Zahlen spiegeln die Ergebnisse über die mehreren tausend Domains wider, die DMARCeye aktiv beobachtet. Das Bild für den breiteren, unbeobachteten Domain-Raum sieht mit ziemlicher Sicherheit anders aus und ist wahrscheinlich schlechter.
Was Länder-TLDs über DMARC aussagen
Eine Top-Level-Domain (TLD) ist die Endung eines Domain-Namens. .com, .org und .net sind generische TLDs (gTLDs), die jeder weltweit registrieren kann. .za, .cz, .de und .au sind länderspezifische TLDs (ccTLDs), die an die Registry eines bestimmten Landes gebunden sind (die vollständige Liste wird in der Public Suffix List gepflegt). Die TLD beeinflusst nicht direkt, wie DMARC als Protokoll funktioniert. Sie sagt aber etwas darüber aus, in welchem regulatorischen Umfeld eine Domain agiert, welche Branchenmischung dort vorherrscht und welche Gewohnheiten die Betreiber prägen.
Die Verbreitung von DMARC ist nicht in allen Ländern gleich, weil Regulierungsbehörden, Banken und große Plattformen je nach Land mit unterschiedlichem Tempo Druck ausüben. Eine südafrikanische Bank, die nationale Betrugsregeln einhalten muss, veröffentlicht p=reject auf ihren Produktivdomains. Ein tschechisches Kleinunternehmen, das von niemandem unter Druck gesetzt wird, bleibt auf unbestimmte Zeit bei p=none, beobachtet DMARC-Berichte, fordert aber die Empfänger nie auf, danach zu handeln. Die TLD verursacht diesen Unterschied nicht, aber sie ist ein nützlicher Indikator für das Umfeld, in dem die Domain betrieben wird.
DMARC-Richtlinie nach Länder-TLD
Der Q1-2026-Branchenbericht hat die Verteilung der DMARC-Richtlinien über die 11 von DMARCeye am intensivsten beobachteten Top-Level-Domains gemessen. Jede Zeile unten zeigt, welcher Anteil der beobachteten Domains unter dieser TLD auf welcher Richtlinienstufe steht.
Die genauen Werte pro TLD, für alle, die bestimmte Märkte vergleichen möchten:
| TLD | p=none |
p=quarantine |
p=reject |
|---|---|---|---|
| .com | 43,3 % | 34,2 % | 22,4 % |
| .za | 35,7 % | 13,3 % | 51,0 % |
| .de | 39,3 % | 24,8 % | 36,0 % |
| .ca | 55,1 % | 17,8 % | 27,1 % |
| .fr | 49,6 % | 23,9 % | 26,5 % |
| .au | 24,2 % | 52,6 % | 23,3 % |
| .be | 37,3 % | 41,3 % | 21,3 % |
| .uk | 49,0 % | 31,1 % | 19,9 % |
| .eu | 47,7 % | 33,8 % | 18,5 % |
| .nl | 43,0 % | 38,8 % | 18,2 % |
| .cz | 68,7 % | 21,1 % | 10,2 % |
p=-Tag sind ausgeschlossen.Einige Muster fallen auf:
- .za führt bei der Durchsetzung. 51,0 % der beobachteten .za-Domains stehen auf
p=reject, mehr als das Doppelte der .com-Basislinie (22,4 %). Südafrika ist die einzige TLD in der Grafik, bei der die Mehrheit der beobachteten Domains die volle Durchsetzung erreicht hat. - .cz ist am nachgiebigsten. 68,7 % der beobachteten .cz-Domains stehen weiterhin auf
p=none, der reinen Beobachtungsstufe, die Empfänger nicht auffordert, auf Authentifizierungsfehler zu reagieren. Nur 10,2 % stehen aufp=reject. DMARCeye ist ein Produkt mit Hauptsitz in Tschechien, was dieses Ergebnis dem Team einerseits vertraut macht und es andererseits wert macht, öffentlich angesprochen zu werden: Der .cz-Raum hat erheblichen Verbesserungsspielraum. - .au liegt bewusst in der Mitte. 52,6 % der beobachteten .au-Domains stehen auf
p=quarantine, der mittleren Stufe, die Empfänger anweist, Fehler als verdächtig zu behandeln, sie aber nicht direkt zu verwerfen. Die meisten TLDs leiten ihren Anteil über die reine Beobachtung hinaus inp=reject; Australien leitet ihn inp=quarantine. Der kombinierte Durchsetzungsanteil (Quarantäne plus Reject) unter .au liegt bei 75,9 %, nur übertroffen von .za. - .de setzt stärker durch als die .com-Basislinie. Deutsche Domains stehen mit 36,0 % auf
p=reject, deutlich über den 22,4 % von .com. Der kombinierte Anteil der Domains aufp=quarantineoderp=rejectunter .de beträgt 60,8 % gegenüber 56,6 % bei .com. - Die europäischen TLDs gruppieren sich. .fr, .uk, .eu, .nl und .be liegen alle zwischen 18 % und 27 % bei
p=reject, weitgehend im Einklang mit der .com-Basislinie. Die europäische DMARC-Geschichte ist weniger eine Geschichte länderspezifischer Unterschiede als vielmehr eine geteilte, moderate Adoptionskurve. - .ca liegt bei der Durchsetzung hinter den großen TLDs zurück. Kanadische Domains haben mit 55,1 % die zweithöchste
p=none-Quote, und nur 27,1 % habenp=rejecterreicht.
Was die regionalen Muster antreibt
Die Q1-Daten zeigen, was wir beobachtet haben, nicht warum. Die folgenden Muster sind Hypothesen, die zu prüfen sind, keine Erkenntnisse aus dem Datensatz.
Mögliche Gründe (in unseren Daten nicht belegt):
- Südafrika hat früh auf E-Mail-Authentifizierung gedrängt, getrieben vom Bankensektor. Die Anti-Phishing-Leitlinien der South African Reserve Bank und die hohe Belastung des Landes durch Finanzbetrug schufen starke Anreize für die größten .za-Versender, die volle Durchsetzung zu erreichen. Sobald die Banken sich bewegt hatten, folgten kleinere .za-Organisationen dem Vorbild. Ob das die tatsächliche Ursache ist, müssten wir mit Branchendaten überprüfen.
- Australiens regulatorischer Druck war gestaffelt, nicht absolut. Australiens föderale Cybersicherheits-Leitlinien haben die DMARC-Adoption gefördert, aber nicht (in der gleichen Weise wie einige andere Länder) speziell auf
p=rejectgedrängt. Ein hoherp=quarantine-Anteil passt dazu, dass Betreiber dem in der Spezifikation beschriebenen Muster der stufenweisen Einführung folgen, ohne den letzten Schritt zu gehen. - Der tschechische Markt hatte nicht den gleichen regulatorischen Druck. .cz-Domains agieren in einem Markt, in dem DMARC kein hochrangiges Compliance-Thema war. Das Nationale Amt für Cyber- und Informationssicherheit (NÚKIB) hat nicht die Art von verbindlichen Leitlinien zur E-Mail-Authentifizierung herausgegeben, wie andere Länder es getan haben. Ohne eine regulatorische Triebkraft bleiben die meisten Betreiber auf unbestimmte Zeit bei
p=none. Das ist eine Hypothese, kein Befund. - Deutschlands höhere Durchsetzungsrate spiegelt vermutlich die Branchenmischung wider. Deutsche Organisationen sind im Datensatz von DMARCeye in Branchen wie Banken, Versicherungen und Industrie gut vertreten, die starkem Compliance-Druck ausgesetzt sind (BaFin- und BSI-Leitlinien). Diese Mischung verschiebt den .de-Durchschnitt nach oben.
- Der europäische Cluster spiegelt eine geteilte regulatorische Grundlage wider. .fr, .uk, .eu, .nl und .be agieren unter weitgehend ähnlichem Druck (NIS2, DSGVO, nationale CERTs). Die ähnlichen Adoptionskurven passen zu einer geteilten Basislinie an Compliance-Erwartungen, ohne dass ein Land deutlich stärker drängt als die anderen.
Was das für Ihr Setup bedeutet
Die TLD-Sicht ist für zwei Lesergruppen am unmittelbarsten umsetzbar.
Wenn Sie Marketing über mehrere Länder-TLDs hinweg betreiben (verschiedene Domains für Sub-Marken, regionale Shops oder Affiliate-Netzwerke), beschreibt die Grafik das Zustellbarkeitsumfeld Ihres Publikums genauso wie Ihre eigene Aufstellung. Versand unter .za in einen Markt, in dem 51 % der beobachteten Domains der Wettbewerber auf p=reject stehen, ist ein anderes Umfeld als Versand unter .cz, wo der entsprechende Anteil bei 10,2 % liegt. Empfänger in Umgebungen mit stärkerer Durchsetzung achten stärker auf Authentifizierungssignale von Absendern aus diesem Umfeld. Die Authentifizierung Ihrer Domain muss entsprechend sauber sein, besonders bei Transaktions- und Bestell-E-Mails, bei denen die Zustellbarkeit direkten Einfluss auf den Umsatz hat.
Wenn Sie in der internationalen IT die Infrastruktur für Organisationen mit Tochtergesellschaften über mehrere Länder-TLDs hinweg betreuen, ist die Grafik ein Planungsinput. Ein multinationales Unternehmen mit deutschen, tschechischen und südafrikanischen Standorten hat es gleichzeitig mit drei verschiedenen DMARC-Umgebungen zu tun. Die .de-Seite steht wahrscheinlich bereits auf p=quarantine oder p=reject; die .za-Seite befindet sich vermutlich auf einem definierten Durchsetzungspfad; die .cz-Seite braucht möglicherweise aktive Unterstützung, um über p=none hinauszukommen. Wo gibt es Lücken in der Subdomain-Richtlinie, und wie wirken diese mit der TLD-Basislinie der jeweiligen Tochtergesellschaft zusammen?
So oder so ist die entscheidende Richtlinie die Ihrer Domain, nicht der TLD-Durchschnitt. Prüfen Sie als Erstes, welcher DMARC-Eintrag aktuell für Ihre Domain veröffentlicht ist:
Um Ihre DMARC-Compliance über die Zeit nach Absenderquelle aufgeschlüsselt zu sehen - genau dort, wo Betriebe mit mehreren Regionen üblicherweise auf Probleme stoßen - müssen Sie DMARC-Berichte kontinuierlich verarbeiten. Der kostenlose Plan von DMARCeye deckt eine Domain mit vollständiger Berichtsauswertung ab.
Das Fazit
Die Verbreitung von DMARC ist nicht in allen Ländern gleich. Die Q1-2026-Daten zeigen eine Spanne von nahezu 60 Punkten beim p=none-Anteil über die 11 am häufigsten beobachteten TLDs hinweg.
Die TLD verursacht diese Unterschiede nicht direkt. Sie sagt aber etwas über das regulatorische und marktwirtschaftliche Umfeld aus, in dem eine Domain betrieben wird, und das ist einer von zwei vorgelagerten Faktoren, die die DMARC-Aufstellung prägen, bevor ein Eintrag veröffentlicht wird. Der andere ist die Wahl des DNS-Anbieters, die eher den operativen Reifegrad beschreibt als den regulatorischen Kontext.
Wenn Sie DMARC-Monitoring über mehrere Länder-TLDs hinweg betreiben, ist das Kontext für Ihre eigenen Zahlen, kein Benchmark. DMARCeye wertet Ihre DMARC-Berichte aus und sagt Ihnen für Ihre konkreten Domains, was funktioniert, was scheitert und was als Nächstes zu beheben ist, ohne dass Sie das rohe XML selbst interpretieren müssen.