Eine Domain, die weniger als 10,000 E-Mails pro Monat versendet, hat im Durchschnitt 107 verschiedene Server, die in ihrem Namen E-Mails verschicken. Ihre Newsletter-Plattform, Ihr Helpdesk, Ihr CRM, Ihr Zahlungsanbieter, Ihr Kalender-Tool - jeder dieser Dienste nutzt eigene Server, und jeder taucht als separate Quelle in Ihren DMARC-Reports auf. Den meisten Domain-Inhabern ist nicht bewusst, wie viele IP-Absender sie haben. Die folgenden Daten stammen aus dem DMARCeye Q1 2026 Branchenbericht, der mehrere Tausend überwachte Domains umfasst.
Dieser Artikel analysiert die Ergebnisse zum Versand-Footprint aus dem DMARCeye Q1 2026 Branchenbericht. Den vollständigen Bericht und die Methodik finden Sie unten.
Wenn jemand in Ihrem Unternehmen eine E-Mail verschickt, verlässt sie einen Server. Dieser Server hat eine IP-Adresse - eine eindeutige Nummer, die ihn im Internet identifiziert, ähnlich wie eine Postanschrift ein Gebäude identifiziert. Jedes Tool oder jeder Dienst, der E-Mails "von" Ihrer Domain versendet, nutzt eigene Server (oder Servergruppen), und jeder hat eine andere IP-Adresse.
Angenommen, Ihr Unternehmen nutzt:
Jeder dieser Dienste verschickt E-Mails unter Ihrem Domain-Namen im "Von"-Feld. Jeder nutzt andere Server (Google allein betreibt Tausende von Mailservern, sodass selbst Ihre normalen Arbeits-E-Mails an einem Tag von Dutzenden verschiedener IP-Adressen stammen können).
Multiplizieren Sie das mit jedem Tool, das Ihr Unternehmen jemals mit Ihrer Domain verbunden hat, und die Zahl steigt schnell. Einige dieser Tools wurden vor Jahren von Mitarbeitern eingerichtet, die längst nicht mehr im Unternehmen sind. Andere hat ein Marketing-Team für eine einmalige Kampagne hinzugefügt, oder sie wurden eine Woche lang getestet und dann vergessen. Möglicherweise versenden sie immer noch E-Mails unter Ihrer Domain.
Der DMARCeye Q1 2026 Branchenbericht hat die durchschnittliche Anzahl unterschiedlicher Versand-IPs pro Domain über mehrere Tausend überwachte Domains hinweg gemessen, gruppiert nach monatlichem E-Mail-Volumen:
Die Zahlen nach Stufe aufgeschlüsselt:
Je mehr E-Mails Ihre Domain versendet, desto mehr Server sind beteiligt. Aber selbst die kleinste Stufe - 107 IPs - ist weit mehr, als die meisten Unternehmen erwarten.
Die IPs, die E-Mails unter Ihrer Domain versenden, lassen sich in einige Kategorien einteilen:
Freigegebene Anbieter, die Ihnen bekannt sind. Ihr E-Mail-Service-Provider, Ihre Marketing-Automation-Plattform, Ihr Transaktions-E-Mail-Versender. Das sind die Dienste, die Sie bewusst eingerichtet und mit korrekter SPF- und DKIM-Authentifizierung konfiguriert haben. Sie sollten DMARC-Prüfungen ohne Probleme bestehen.
Tools, die andere Abteilungen angebunden haben. Ein Vertriebsmitarbeiter fängt an, ein neues Outreach-Tool zu nutzen. Die Personalabteilung wählt eine Umfrageplattform. Die Finanzabteilung bindet einen neuen Rechnungsservice an. Jedes dieser Tools versendet E-Mails unter Ihrer Domain, und jedes fügt IPs zu Ihrem Versand-Footprint hinzu. Die IT erfährt davon, wenn Authentifizierungsprüfungen fehlschlagen (oder wenn die Quelle erstmals in einem DMARC-Report auftaucht). Das wird manchmal als "Schatten-IT" bezeichnet und ist einer der häufigsten Gründe, warum Unternehmen weit mehr Versand-IPs haben als erwartet. Manchmal werden diese Systeme vergessen (z. B. nachdem die Person, die sie genutzt hat, das Unternehmen verlässt).
Weiterleitungen und Mailinglisten. Wenn jemand Ihre E-Mail über eine Mailingliste oder einen Alias weiterleitet, taucht die IP des Weiterleitungsservers ebenfalls in den Reports auf. Sie haben diesen Server nicht autorisiert, aber er verarbeitet Ihre E-Mails.
Nicht autorisierte Absender und Angreifer. Jeder kann versuchen, E-Mails unter Ihrem Domain-Namen zu versenden. Ohne DMARC-Durchsetzung erreichen einige dieser Nachrichten die Posteingänge der Empfänger. Selbst mit Durchsetzung erscheinen die Versuche in Ihren DMARC-Reports als fehlgeschlagene Nachrichten von IPs, die Sie nicht kennen.
Eine IP, die Sie nicht autorisiert haben, ist nicht immer ein Angreifer, aber ohne Untersuchung wissen Sie es nie.
Legitime E-Mails scheitern an der Authentifizierung. Wenn ein Tool E-Mails unter Ihrer Domain versendet, aber nicht in Ihrem SPF-Record aufgeführt ist oder nicht mit Ihrem DKIM-Schlüssel signiert, stufen Empfänger die E-Mail als nicht authentifiziert ein. Steht Ihre Domain auf p=quarantine oder p=reject, landet die E-Mail im Spam oder wird blockiert. Das Tool ist legitim, aber die Konfiguration fehlt. Sie erfahren davon nur, wenn Sie Ihre DMARC-Reports überwachen.
Angreifer nutzen Ihre Domain für gefälschte E-Mails. Phishing-E-Mails unter Ihrem Domain-Namen sind ein direktes Risiko für Marke und Sicherheit. Die Q1 2026 Daten zeigen, dass 36.7% der überwachten Domains noch auf p=none stehen. Das bedeutet: Empfänger werden angewiesen, alles zuzustellen - unabhängig vom Authentifizierungsergebnis. Für diese Domains können Angreifer E-Mails unter dem Domain-Namen versenden, ohne Konsequenzen.
Compliance-Anforderungen setzen Transparenz voraus. Googles Anforderungen an Massenversender (gültig seit Februar 2024) verlangen DMARC-Authentifizierung für alle, die mehr als 5,000 Nachrichten pro Tag an Gmail senden. Die NIS2-Richtlinie der EU verpflichtet Organisationen in betroffenen Sektoren, ihre E-Mail-Infrastruktur zu verwalten und zu überwachen. Beide setzen voraus, dass Sie wissen, wer E-Mails unter Ihrer Domain versendet. Wenn Sie Ihre Versandquellen nicht auflisten können, können Sie die Einhaltung der Vorschriften nicht nachweisen.
DMARC bringt diese Transparenz von Haus aus mit. Wenn Sie einen DMARC-Record für Ihre Domain veröffentlichen, beginnen E-Mail-Empfänger (Gmail, Outlook, Yahoo und andere), Ihnen tägliche Sammelberichte zu senden. Jeder Bericht ist eine XML-Datei, die jede IP-Adresse auflistet, die E-Mails unter Ihrer Domain versendet hat, zusammen mit der Anzahl der Nachrichten pro IP und ob diese SPF- und DKIM-Prüfungen bestanden oder nicht bestanden haben.
In der Praxis können die Reports einer mäßig aktiven Domain an einem einzigen Tag Hunderte von XML-Dateien verschiedener Empfänger umfassen, die jeweils Dutzende oder Hunderte von IP-Einträgen enthalten. Manuelles Lesen ist nicht realistisch.
Ein DMARC-Monitoring-Tool analysiert diese Reports automatisch und gruppiert die Daten nach Quelle, Anbieter und Authentifizierungsstatus. Statt eines Stapels XML-Dateien erhalten Sie eine Liste aller Server, die E-Mails unter Ihrer Domain versenden, ob jeder einzelne autorisiert ist und ob die Authentifizierung bestanden wird. Sie können prüfen, wie der DMARC-Record Ihrer Domain derzeit aussieht:
Der kostenlose Plan von DMARCeye deckt eine Domain mit bis zu 5,000 E-Mails pro Monat ab und enthält vollständiges Report-Parsing - genug, um Ihren kompletten Versand-Footprint zu sehen und Quellen zu identifizieren, von denen Sie nichts wussten.
Der Versand-Footprint Ihrer Domain ist mit hoher Wahrscheinlichkeit größer, als Sie denken. Selbst kleine Domains haben im Durchschnitt über 100 verschiedene Versand-IPs, und die Zahl steigt mit dem Volumen steil an. Nicht alle dieser Quellen sind von Ihnen genehmigt.
Der erste Schritt ist, die Liste zu sehen. DMARCeye analysiert Ihre Reports automatisch und zeigt Ihnen jede Versandquelle, gruppiert nach Anbieter, mit Authentifizierungsstatus für jede einzelne.