DMARCbis: Was sich ändert und was nicht

DMARCbis, die überarbeitete Version des DMARC-Standards, steht kurz vor der Veröffentlichung. Erwartet wird sie für 2026, und sie wird die aktuelle RFC-7489-Spezifikation ablösen. Wenn Sie eine Domain betreiben, über die E-Mails versendet werden, finden Sie hier in einfacher Sprache, was der neue Standard für Sie wirklich bedeutet.

DMARC ist das System, das Mailanbietern mitteilt, ob eine Mail, die angeblich von Ihrer Domain stammt, auch wirklich von Ihnen kommt. Wenn Sie Rechnungen, Newsletter, Passwort-Resets oder anderes von Ihrer eigenen Domain aus versenden, dann verhindert DMARC, dass Betrüger sich als Sie ausgeben. Das meiste, was DMARCbis ändert, sind stille Anpassungen im Hintergrund. Eine Änderung ist allerdings nicht still, und sie betrifft jeden, der eine Domain betreibt.

Die Kurzfassung

Das komplette Update in fünf Punkten.

• Ihr bestehender DMARC-Record funktioniert weiter. Sie müssen nichts ändern. Der Tag, der einen DMARC-Record kennzeichnet (v=DMARC1), bleibt gleich.
• Die Funktion für den schrittweisen Rollout wird entfernt. DMARC hatte einen eingebauten "Dimmer-Schalter", mit dem der Schutz langsam hochgefahren werden sollte: die Regeln zunächst auf zum Beispiel nur 10 % der verdächtigen Mails anwenden und dann stufenweise auf 100 % hochdrehen. Der Dimmer hat nie wirklich funktioniert. DMARCbis nimmt ihn heraus.
• Ein Teil der internen Technik wird ersetzt. Mailanbieter verließen sich bisher auf eine externe Liste, um festzustellen, wo Ihre Organisationsdomain endet. Künftig fragen sie das direkt per DNS ab. Die meisten Domaininhaber werden davon nichts mitbekommen.
• Neue offizielle Empfehlung für Domains mit Mailinglisten. Wenn Nutzer auf Ihrer Domain in Mailinglisten schreiben (Open-Source-Projektlisten, Branchenforen, Vereins-Newsletter), drehen Sie DMARC nicht voll auf. Das zerschießt die Listen.
• Eine Handvoll selten genutzter Tags wird umbenannt oder entfernt. Ihr Record ist davon nicht betroffen. Er funktioniert weiter.

Der Rest dieses Beitrags dreht sich um den Dimmer-Schalter, denn das ist die Änderung, auf die es ankommt.

Die Änderung, auf die es wirklich ankommt

Stellen Sie sich DMARC als Schalter mit drei Einstellungen vor.

• Aus (die Standardeinstellung p=none): keine Regeln werden angewendet. Sie bekommen Reports, aber Mailanbieter unternehmen bei verdächtigen Mails nichts.
• Quarantäne (p=quarantine): verdächtige Mails landen im Spam-Ordner.
• Ablehnen (p=reject): verdächtige Mails werden blockiert, bevor sie jemanden erreichen.

Der Sprung von "Aus" direkt auf "Ablehnen" ist der riskante Schritt. In dem Moment, in dem Sie den Schalter umlegen, werden Mails von jedem Versandweg, den Sie vergessen haben, still blockiert: Ihr Zahlungsdienstleister, ein altes Marketingtool, ein Legacy-CRM, eine vergessene Rechnungsplattform. Echte Nachrichten verschwinden einfach. Kunden erhalten nicht die Belege, die sie erwarten. Genau dieses Szenario ist der Grund, warum viele Teams jahrelang in der "Aus"-Position feststecken.

Die alte DMARC-Spezifikation hatte eine Funktion, die das verhindern sollte. Sie hieß pct-Tag und funktionierte wie ein Dimmer. Sie konnten den Mailanbietern sagen: "Wendet die Reject-Regel in der ersten Woche nur auf 10 % der verdächtigen Mails an, dann auf 50 %, dann auf 100 %." In der Theorie würden Sie dabei unterwegs die vergessenen Versandwege entdecken, ohne dass alles auf einen Schlag zusammenbricht.

In der Praxis hat der Dimmer nicht funktioniert. Verschiedene Mailanbieter interpretierten die Prozentzahl unterschiedlich, und viele wendeten abgestufte Einstellungen gar nicht an. Unsere eigenen Daten zeigen, dass der pct-Tag nur selten korrekt eingesetzt wurde und auf den meisten Domains überhaupt nicht. Sie haben pct=10 veröffentlicht und gehofft. Welcher Anteil der Mails die Regel tatsächlich abbekam, war Glückssache.

DMARCbis entfernt den Dimmer komplett. Der nächstgelegene Ersatz ist eine neue binäre Einstellung namens t-Tag: "Testing" (behandelt eine Reject-Policy so, als wäre sie nur Quarantine) oder "Full Enforcement" (Standard). Keine Prozentzahl. Kein Übergang. Nur Aus oder An.

Die neue Spezifikation ersetzt den Dimmer nicht durch eine funktionierende Version. Sie nimmt die kaputte Funktion heraus und überlässt das Problem des schrittweisen Rollouts Ihnen.

Die unspektakulären Änderungen in Kürze

Falls Sie die anderen Punkte interessieren:

• Die Frage, wo Ihre Domain endet, wird jetzt über DNS-Abfragen beantwortet und nicht mehr über eine externe Liste namens Public Suffix List. Für normale Nutzer mit einer einzelnen Domain ändert sich in der Praxis nichts. Wenn Sie eine Plattform betreiben, die kundenspezifische Subdomains vergibt (Hosting-Anbieter, Website-Baukasten, Payments-as-a-Service), oder wenn Ihre Domain unter einem ungewöhnlichen Public Suffix liegt, sollten Sie prüfen, ob Ihre DMARC-Records so aufgelöst werden, wie Sie es erwarten.
• Die Regel für Mailinglisten ist jetzt offiziell. Die neue Spezifikation warnt ausdrücklich vor einer vollen Reject-Policy auf Domains mit aktivem Mailinglisten-Traffic. Der Grund ist derselbe, den jeder Listen-Admin ohnehin kennt: Mailinglisten schreiben Mail-Header so um, dass DMARC bricht. Eine Reject-Policy trifft dann unschuldige Abonnenten. Die übliche Lösung ist eine saubere Trennung: Listen-Traffic läuft über eine eigene Subdomain mit einer lockereren Policy.
• Ein paar umbenannte Tags. Drei alte Tags (pct, rf, ri) fallen weg. Drei neue (psd, np, t) kommen dazu. Wer die komplette Spezifikation lesen will, findet sie unter draft-ietf-dmarc-dmarcbis-41. Für alle anderen gilt: Ihr bestehender Record ist davon nicht betroffen.

Was DMARCbis nicht löst

Den Dimmer herauszunehmen, ist ein ehrlicher Schritt. Die Funktion hat nicht funktioniert, und die neue Spezifikation tut auch nicht so, als hätte sie es. Aber sie zu entfernen löst das zugrunde liegende Problem nicht.

Hier ist, was wir in einer Momentaufnahme aus dem ersten Quartal 2026 bei aktiv überwachten Domains auf der DMARCeye-Plattform sehen.

• Vier von zehn Domains mit eingerichtetem DMARC stecken im reinen Beobachtungsmodus fest, teils über Jahre. Aktive Regeln? Keine. Schutz vor Spoofing? Null. Sie haben sich die Mühe gemacht, DMARC einzurichten und ein Monitoring-Tool zu installieren, blockieren aber trotzdem nichts.
• Von den Domains, die tatsächlich blockieren, haben neunzehn von zwanzig den Schalter auf einen Schlag umgelegt und sind direkt auf 100 % Durchsetzung gegangen, ohne Probelauf. Für die meisten geht das gut. Bei den anderen ist das erste Anzeichen für Ärger meist ein Kunde, der fragt, warum er nie eine Bestätigung bekommen hat.

Zwei Ergebnisse, eine Ursache. DMARC bietet keinen funktionierenden Mittelweg zwischen Beobachten und Blockieren. Die Funktion, die diese Lücke schließen sollte, war unzuverlässig, und DMARCbis entfernt sie, ohne etwas Funktionierendes an ihre Stelle zu setzen.

Was Sie tun sollten

Für die meisten Domaininhaber lautet die Antwort: nichts Dringendes. Hier die längere Version, je nach Situation.

• Wenn Sie DMARC bisher gar nicht eingerichtet haben: Richten Sie es im reinen Beobachtungsmodus ein. Sie bekommen dann Reports zu jeder Quelle, die Mails im Namen Ihrer Domain verschickt. Auf DMARCbis müssen Sie nicht warten. Ein Record, den Sie heute veröffentlichen, funktioniert auch, nachdem die neue Spezifikation in Kraft tritt.
• Wenn Sie seit langem im Beobachtungsmodus feststecken: DMARCbis ändert an Ihrer Lage nichts. Der Grund, warum Sie feststecken, ist nicht die Spezifikation. Es ist das Fehlen eines sicheren Wegs, den Sprung zu wagen. Tools, die Ihnen vorher zeigen, was beim Umlegen des Schalters kaputtginge, sind heute wertvoller denn je.
• Wenn Sie den Dimmer genutzt haben (pct-Tag), um schrittweise hochzufahren: Ihr Record bleibt gültig, aber ein DMARCbis-konformer Mailanbieter behandelt einen pct<100-Record so, als stünde er auf 100 %. Planen Sie den Übergang jetzt. Der nächstgelegene Ersatz ist der neue Testmodus t=y.
• Wenn auf Ihrer Domain aktive Mailinglisten laufen: Nehmen Sie die neue offizielle Empfehlung ernst. Eine volle Reject-Policy auf einer Domain mit Listen-Traffic bricht legitime Abonnenten aus. Die meisten Teams lösen das über eine saubere Trennung: Listen-Traffic bekommt eine eigene Subdomain mit einer lockereren Policy.

Was das von Ihnen verlangt

Nichts Dringendes. DMARC ist nach DMARCbis immer noch DMARC, und der Record, den Sie heute veröffentlichen, wird auch an dem Tag, an dem die neue Spezifikation offiziell wird, akzeptiert. Was sich ändert, ist eher grundsätzlich als technisch: Behandeln Sie den Wechsel von "Beobachten" zu "Blockieren" als Problem, das Sie mit Sichtbarkeit und Tools lösen müssen, nicht mit einer eingebauten Funktion der Spezifikation.

Tools, die Ihre DMARC-Reports auswerten, unbekannte Absender kennzeichnen, bevor Sie das Blockieren einschalten, und Ihnen in einfacher Sprache sagen, was unter einer strengeren Policy kaputtgehen würde, werden umso wertvoller, je strenger der Standard selbst wird. DMARCeye ist genau für diese Rolle gebaut. Unsere kostenlosen Online-Tools (DMARC-Konfigurator, SPF-, DKIM- und BIMI-Checker) decken die Einrichtung in unter zehn Minuten ab.

Testen Sie DMARCeye kostenlos und sehen Sie, was die E-Mail-Reports Ihrer Domain wirklich sagen, bevor sich der Standard verschiebt.