Insights

DMARC-Richtlinie nicht aktiviert? So geht es in 5 einfachen Schritten

Geschrieben von Jack Zagorski | 15.10.2025 14:36:37

Wenn Ihre Domain noch keine DMARC-Richtlinie aktiviert hat, lassen Sie Ihr E-Mail-System ungeschützt gegen eine der häufigsten Formen von Cyber-Missbrauch: Spoofing.

Eine DMARC-Richtlinie teilt den empfangenden Mailservern mit, was sie tun sollen, wenn Nachrichten die Authentifizierungsprüfungen nicht bestehen. Ohne sie kann Ihre Domain von Spammern und Phishern missbraucht werden, ohne dass Sie es überhaupt bemerken.

Die Einrichtung von DMARC ist einfacher als sie aussieht, aber Sie benötigen Zugang zum DNS (Domain Name System) Ihrer Organisation. Falls Sie diesen nicht haben, bitten Sie Ihre Entwickler um Hilfe.

Sobald Ihre SPF- und DKIM-Einträge korrekt konfiguriert sind, können Sie DMARC in wenigen Schritten veröffentlichen und aktivieren.

Was ist eine DMARC-Richtlinie?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein E-Mail-Authentifizierungsstandard, der auf SPF und DKIM aufbaut.

Wenn Sie eine E-Mail senden, prüfen Mailbox-Anbieter:

  • Ob der sendende Server durch Ihren SPF-Eintrag autorisiert ist.
  • Ob die E-Mail eine gültige DKIM-Signatur hat.
  • Ob die in SPF und DKIM verwendeten Domains mit Ihrer sichtbaren From-Adresse übereinstimmen.

Ihre DMARC-Richtlinie teilt dem empfangenden Server mit, was zu tun ist, wenn diese Prüfungen fehlschlagen.

Sie können wählen:

  • Überwachen: Keine Maßnahme ergreifen, nur Berichte sammeln.
  • Quarantäne: Verdächtige Nachrichten in den Spam-Ordner verschieben.
  • Ablehnen: Nicht autorisierte Nachrichten vollständig blockieren.

 

Warum müssen Massen-E-Mail-Versender DMARC aktivieren?

Die Aktivierung von DMARC schützt Ihre Marke, verbessert die Zustellbarkeit und gibt Ihnen Einblick in die Nutzung Ihrer Domain.

Folgendes passiert, wenn Sie keine Richtlinie eingerichtet haben:

  • Angreifer können Ihre Domain imitieren und Phishing-E-Mails versenden.
  • Mailbox-Anbieter vertrauen Ihren Nachrichten nicht, was Ihre E-Mail-Zustellbarkeit senkt.
  • Sie haben keine Transparenz darüber, wer in Ihrem Namen E-Mails versendet.

Wenn Sie DMARC aktivieren, behalten Sie die Kontrolle. Täglich erhalten Sie Berichte darüber, welche Server Nachrichten von Ihrer Domain versenden und ob sie die Authentifizierung bestehen.

Einen vollständigen Überblick und eine Roadmap für die DMARC-Implementierung - von der Einrichtung bis zur laufenden Überwachung und darüber hinaus - finden Sie in unserem Leitfaden zu DMARC-Monitoring und Compliance.

Hier sind die einfachen Schritte zur Aktivierung von DMARC.

Hinweis: Sie benötigen Zugang zu Ihrem DNS. Falls Sie diesen nicht haben, wenden Sie sich an die Entwickler in Ihrer Organisation, die diesen Zugang besitzen.

Schritt 1: SPF und DKIM prüfen

Bevor Sie DMARC aktivieren, stellen Sie sicher, dass SPF und DKIM korrekt konfiguriert sind.

SPF

Veröffentlichen Sie einen SPF-Eintrag im DNS Ihrer Domain, der alle Dienste enthält, die berechtigt sind, E-Mails für Ihre Domain zu versenden. Beispiel:

 v=spf1 include:spf.protection.outlook.com include:_spf.google.com -all
 
Das -all am Ende weist Mailserver an, Absender abzulehnen, die nicht im Eintrag aufgeführt sind.
 

DKIM

Die meisten E-Mail-Anbieter ermöglichen es Ihnen, einen DKIM-Schlüssel zu generieren. Diesen müssen Sie als TXT-Eintrag unter einem Selektor-Namen in Ihr DNS eintragen. Beispiel:

 selector1._domainkey.yourdomain.com
 
Senden Sie nach der Veröffentlichung eine Test-E-Mail, um die Gültigkeit der DKIM-Signatur zu bestätigen.
 

Schritt 2: DMARC-Eintrag erstellen

Ein DMARC-Eintrag ist ein einfacher TXT-Eintrag in Ihrem DNS. Beginnen Sie mit einer reinen Überwachungskonfiguration (d. h. einer „none"-Richtlinie), um zunächst Daten zu sammeln, bevor Sie Maßnahmen ergreifen.

Beispiel:

 v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r
 
Was die einzelnen Teile bedeuten:
 
  • v=DMARC1: Das Versions-Tag.
  • p=none: Richtlinientyp. „None" bedeutet ausschließlich Überwachung.
  • rua: Die Adresse, an die aggregierte Berichte gesendet werden.
  • aspf/adkim: Ausrichtungsmodi. „r" steht für „relaxed", „s" für „strict".

Sobald Sie diesen Eintrag in Ihr DNS eingefügt haben, beginnt Ihre Domain, DMARC-Berichte zu senden.

Schritt 3: Berichte auswerten

Mailbox-Anbieter senden XML-Dateien - sogenannte aggregierte Berichte - an die in Ihrem Eintrag angegebene Adresse.

Diese Berichte enthalten:

  • Die IP-Adressen und Domains, die in Ihrem Namen E-Mails versenden.
  • Ergebnisse der Authentifizierungsprüfungen (bestanden/fehlgeschlagen).
  • Nachrichtenanzahl nach Quelle.

Sie können die Daten auswerten - mit einem DMARC-Report-Viewer oder einem automatisierten Tool. Ziel ist es, legitime Absender zu identifizieren, die SPF oder DKIM nicht bestehen, damit Sie diese beheben können, bevor Sie zur Durchsetzung übergehen.

Schritt 4: Zur Durchsetzung wechseln

Nach zwei bis drei Wochen der Überwachung sollten Sie ein klares Bild Ihrer E-Mail-Quellen haben.

Sobald Sie alle legitimen Absender behoben haben, die die Authentifizierung nicht bestehen, ist es an der Zeit, von p=none zu p=quarantine zu wechseln:

 v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r
 

Dadurch werden nicht ausgerichtete oder nicht authentifizierte Nachrichten in den Spam-Ordner verschoben, anstatt sie sofort abzulehnen. Wenn Ihre Berichte über mehrere Wochen sauber bleiben, gehen Sie den letzten Schritt zum vollständigen Schutz:

 v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r
 
Jetzt werden nicht autorisierte Absender vollständig blockiert.
 

Schritt 5: Pflegen und überwachen

DMARC ist keine einmalige Einrichtung. Überprüfen Sie Ihre Berichte regelmäßig, um neue Absender oder Konfigurationsänderungen zu erkennen.

Außerdem empfiehlt es sich:

  • DKIM-Schlüssel alle 6-12 Monate zu rotieren.
  • SPF-Einträge vierteljährlich zu überprüfen.
  • Neue Plattformen in SPF und DKIM aufzunehmen, bevor sie mit dem Versenden beginnen.

Wenn Ihr Unternehmen wächst und neue Tools hinzukommen, die E-Mails versenden, stellt die Aktualisierung von DMARC sicher, dass Sie geschützt bleiben und einen guten Absender-Ruf aufrechterhalten.

Was sind häufige Fehler bei der DMARC-Einrichtung?

Schon kleine Fehlkonfigurationen können Zustellbarkeitsprobleme verursachen. Achten Sie auf diese Fehler:

  1. Falsche Syntax im DNS. Stellen Sie sicher, dass keine überflüssigen Leerzeichen oder fehlenden Semikolons vorhanden sind.
  2. Ungültige E-Mail-Adresse in RUA. Wenn Ihre Berichtsadresse nicht gültig ist, erhalten Sie keine Berichte.
  3. SPF- oder DKIM-Ausrichtung wird übersprungen. Beide müssen mit der „From"-Domain übereinstimmen, damit DMARC funktioniert.
  4. p=reject zu früh setzen. Stellen Sie immer zuerst sicher, dass legitime E-Mail-Ströme die Authentifizierung bestehen.

Wie DMARCeye beim DMARC-Report-Monitoring hilft

Wenn Sie DMARC aktivieren, beginnen Mailbox-Anbieter, täglich XML-Berichte zu senden. Diese manuell zu lesen ist aufwändig.

DMARCeye sammelt und strukturiert diese Berichte in einem übersichtlichen Dashboard. Sie sehen auf einen Blick alle Ihre Versandquellen, Authentifizierungsergebnisse und Ausrichtungstrends. Das vereinfacht:

  • Die Überwachung Ihrer DMARC-Performance.
  • Das Erkennen von Spoofing-Versuchen.
  • Das Nachverfolgen von Fortschritten beim Übergang von der Überwachung zur Durchsetzung.

DMARCeye ermöglicht es Ihnen, sich auf die Verbesserung der Vertrauenswürdigkeit und Zustellbarkeit Ihrer Domain zu konzentrieren, anstatt Rohdaten zu verwalten.

Starten Sie jetzt mit einer kostenlosen Testversion von DMARCeye und schützen Sie Ihre E-Mail-Domain.
Vollständigen Beitrag anzeigen