DMARC-Subdomain-Richtlinie: Wann der sp=-Tag hilft und wann er schadet

Wenn Ihr Unternehmen Bestellbestätigungen von mail.example.com und Newsletter von marketing.example.com verschickt, sind diese Adressen Subdomains Ihrer Hauptdomain. Sobald Sie DMARC für Ihre Hauptdomain einschalten, um sie vor E-Mail-Spoofing zu schützen, sind Ihre Subdomains in der Regel mitgeschützt, weil sie automatisch der Richtlinie der Hauptdomain folgen. Etwa 1 von 13 Domains mit voll aktivierter DMARC-Durchsetzung im Q1-2026-Datensatz von DMARCeye hat aber eine kleine Fehlkonfiguration, die zwar die Hauptdomain absichert, ihre Subdomains aber ungeschützt lässt.

Dieser Beitrag entpackt das Ergebnis zur Subdomain-Richtlinie aus dem DMARCeye-Branchenbericht für Q1 2026. Der vollständige Bericht und die Methodik liegen unten.

Was der sp=-Tag macht

Ein DMARC-Record ist eine kurze Textzeile in Ihrem DNS, die empfangenden Mailservern sagt, was sie mit Nachrichten tun sollen, die angeblich von Ihrer Domain kommen. Die wichtigste Einstellung ist der p=-Tag, der die Richtlinie für Ihre Hauptdomain festlegt. Es gibt drei Stufen:

• p=none heißt: Empfänger beobachten und melden, liefern aber alles aus (noch kein Schutz).
• p=quarantine heißt: Nicht authentifizierte Nachrichten landen im Spam.
• p=reject heißt: Nicht authentifizierte Nachrichten werden komplett blockiert.

Der sp=-Tag ist dasselbe Prinzip, nur für Subdomains. Er nimmt dieselben drei Werte an. Wenn Sie sp= gar nicht setzen, folgen Ihre Subdomains automatisch dem, was bei p= steht. Steht Ihre Hauptdomain auf p=reject und Sie setzen sp= nicht, dann sind alle Subdomains (mail.example.com, support.example.com, was auch immer Sie sonst haben) ebenfalls auf p=reject. So ist die Spezifikation gedacht (siehe RFC 7489 §6.3).

Sie würden sp= nur dann ausdrücklich setzen, wenn Subdomains anders behandelt werden sollen als die Hauptdomain. Die häufigsten Gründe sind: Eine Subdomain verschickt Mails über einen anderen Anbieter als die Hauptdomain, oder Sie wollen die Durchsetzung auf Subdomains schneller (oder langsamer) hochfahren als auf der Hauptdomain.

Wie sp= in den Q1-Domains konfiguriert ist

Unter den mehreren tausend Domains in der von DMARCeye in Q1 2026 beobachteten Stichprobe hängt die sp=-Verteilung stark von der Hauptrichtlinie p= ab:

Drei Muster fallen auf:

• Die meisten Domains setzen sp= überhaupt nicht. 86,67 % der Domains auf p=none, 78,59 % auf p=quarantine und 65,15 % auf p=reject lassen sp= komplett aus ihrem Record. Wie oben beschrieben, ist das das Standardverhalten, und Subdomains folgen automatisch der Richtlinie der Hauptdomain.
• Manche Domains schwächen ihre Subdomains absichtlich ab. 6,62 % der p=reject-Domains setzen sp=none, weitere 0,94 % setzen sp=quarantine. Zusammengenommen sind das 7,56 % der voll durchgesetzten Domains, bei denen die Hauptdomain streng geschützt ist, die Subdomains aber locker oder gar nicht.
• Fast niemand nutzt sp=, um Subdomains zuerst zu schützen. Nur 0,42 % der p=none-Domains haben sp=reject gesetzt. Das ist ein cleveres Muster (die Hauptdomain im reinen Beobachtungsmodus lassen, während man Daten sammelt, und gleichzeitig gefälschte Nachrichten auf Subdomains sofort blockieren) und es wird kaum genutzt.

Wann das Setzen von sp= hilft

Es gibt zwei Situationen, in denen das ausdrückliche Setzen von sp= der richtige Schritt ist.

Ihre Subdomains nutzen verschiedene E-Mail-Anbieter. Wenn marketing.example.com über ein Tool verschickt (zum Beispiel Ihre Newsletter-Plattform) und Ihre Hauptdomain über einen anderen Anbieter (etwa Ihren Anbieter für Transaktions-E-Mails), hat jeder eigene Authentifizierungseinstellungen. Sie wollen vielleicht eine strengere DMARC-Richtlinie auf einem als auf dem anderen, vor allem während Sie einen neuen Anbieter ausrollen. Mit sp= können Sie Subdomains eine eigene Richtlinie geben, ohne die Hauptdomain anzufassen.

Sie wollen Subdomains vor der Hauptdomain schützen. Wenn eine Domain viel Mail verschickt (oder ein attraktives Spoofing-Ziel ist), kann es verlockend sein, mit der vollen Durchsetzung zu warten, bis Sie die Reports über Wochen beobachtet haben. In diesem Fall kann es sinnvoll sein, die Hauptdomain auf p=none (nur Beobachtung) zu lassen und gleichzeitig sp=reject zu setzen, um Subdomains sofort vollständig zu schützen. Subdomains haben meist weniger legitime Absender und klarere Setups, deshalb sind sie oft sicherer für den ersten Durchsetzungsschritt. Die Q1-Daten zeigen: 0,42 % der p=none-Domains nutzen dieses Muster.

Wann das Setzen von sp= schadet

Der Fehler, auf den Sie achten müssen, ist das Gegenteil: strenge Richtlinie auf der Hauptdomain (p=reject), aber locker oder gar nichts auf den Subdomains (sp=none oder sp=quarantine). Der Grund ist meist einer von diesen:

• Das Team hat die Durchsetzung scharf gestellt, eine Subdomain fing an zu scheitern, und sie haben sp= gelockert, um die Fehler zu stoppen, statt das eigentliche Authentifizierungsproblem auf dieser Subdomain zu beheben.
• Jemand hat sp=none beim ersten Rollout gesetzt, um Überraschungen zu vermeiden, und ist nie zurückgekommen, um es wieder anzuziehen.
• Der DMARC-Record kam aus einem Tool, das sp= automatisch passend zu p= gesetzt hat, und jemand hat es später aus irgendeinem Grund manuell abgeschwächt.

In allen Fällen ist das Ergebnis dasselbe. Die Hauptdomain ist voll geschützt, aber jede Subdomain akzeptiert gefälschte Nachrichten ohne Durchsetzung. Wer Ihren DMARC-Record scannt, sieht die Lücke sofort.

7,56 % der voll durchgesetzten Domains in unserem Q1-2026-Datensatz haben diese Konfiguration. Wenn Sie auf voller Durchsetzung sind, ist das die erste Stelle, die Sie in Ihrem DMARC-Record prüfen sollten.

So entscheiden Sie, was Ihre Domain braucht

Hier sind drei kurze Fragen, die Sie durchgehen können:

1. Verschickt Ihre Hauptdomain überhaupt Mails? Falls ja, werden Sie sich Schritt für Schritt auf p=reject zubewegen. sp= aus dem Record wegzulassen ist die Standardlösung und passt für die meisten Unternehmen. Subdomains folgen der Hauptrichtlinie automatisch.
2. Nutzen einzelne Subdomains andere E-Mail-Anbieter als die Hauptdomain? Falls ja, überlegen Sie ein eigenes sp=, damit jede ihre eigene Richtlinie haben kann.
3. Wollen Sie Subdomains vor der Hauptdomain (oder anders) schützen? Falls ja, setzen Sie sp= ausdrücklich. Falls Sie Subdomains lockerer wollen als die Hauptdomain, ist das fast nie der richtige Weg, also setzen Sie sp= stattdessen passend zu p= oder lassen es weg.

Falls Ihr DNS bereits ein sp= deklariert, prüfen Sie genau, ob es nicht schwächer ist als p=. Die Kombination p=reject mit sp=none ist die Fehlkonfiguration, auf die Sie achten müssen. Falls Sie noch kein DMARC-Monitoring eingerichtet haben, deckt der kostenlose Tarif von DMARCeye eine Domain ab und zeigt Ihnen genau, wie Ihr Record aussieht, samt Ihrem sp=-Wert, falls Sie einen gesetzt haben. Um zu prüfen, was Ihre Domain gerade hat:

Was sich mit DMARCbis ändert

DMARCbis ist die kommende Aktualisierung des DMARC-Standards, die für 2026 erwartet wird. Sie ändert nichts daran, wie sp= funktioniert. Wenn Sie es nicht setzen, erben Subdomains weiterhin die Hauptrichtlinie.

Hinzu kommt aber ein neuer Tag namens np=, der die Richtlinie für Subdomains steuert, die gar nicht existieren. Wenn heute ein Spammer Mails verschickt, die angeblich von erfunden.example.com kommen (einer Subdomain, die Sie nie angelegt haben), greifen Empfänger auf die Richtlinie Ihrer Hauptdomain zurück. Mit np= können Sie eine strengere Richtlinie speziell auf solche erfundenen Subdomains anwenden. Wer einen stärkeren Subdomain-Schutz nach der Veröffentlichung von DMARCbis will, sollte diesen Tag im Auge behalten.

Die praktische Erkenntnis

Für die meisten Domains ist es richtig, sp= aus dem Record wegzulassen. Das Standardverhalten schützt Subdomains automatisch.

Die Ausnahmen sind real, aber konkret: wenn Subdomains andere E-Mail-Anbieter nutzen als die Hauptdomain, oder wenn Sie Subdomains schneller schützen wollen als die Hauptdomain. In beiden Fällen setzen Sie sp= bewusst und korrekt.

Wenn Ihr DMARC-Record auf p=reject steht und Ihr sp= irgendetwas Schwächeres ist, ist das die Fehlkonfiguration. Beheben Sie sie, bevor Sie irgendetwas anderes anfassen. DMARCeye verfolgt die sp=-Einstellungen über alle Ihre überwachten Domains hinweg und der kostenlose Tarif deckt eine davon ab.