Insights

Kleine Domains und DMARC: 1 von 3 scheitert | DMARCeye

Geschrieben von Jack Zagorski | 06.05.2026 00:00:00

Unter den Tausenden Domains, die DMARCeye aktiv überwacht, erreichen die kleinsten Absender, also diejenigen, die unter 100 E-Mails pro Monat versenden, im Schnitt 62,3 % DMARC-Compliance. Die größten Absender, die über 10 Millionen pro Monat versenden, kommen im Schnitt auf 99,8 %. Diese Lücke ist für sich genommen schon auffällig. Die unbequemere Erkenntnis liegt unter dem Durchschnitt: 35,7 % dieser kleinvolumigen Domains authentifizieren unter 50 %. Aus DMARC-Sicht ist mehr als ein Drittel davon faktisch defekt.

Dieser Artikel arbeitet die Erkenntnis zu kleinen Absendern aus dem Q1-2026-Branchenreport von DMARCeye heraus. Den vollständigen Report mit allen 12 Diagrammansichten und der Methodik finden Sie unten.

 

Das Größenparadox bei der DMARC-Compliance

Die Q1-2026-Daten aus der Monitoring-Plattform von DMARCeye zeigen ein klares Treppenmuster. Die durchschnittliche Compliance steigt mit dem monatlichen E-Mail-Volumen:

  • Unter 100 E-Mails/Monat: 62,3 %
  • 100 bis 1.000: 85,7 %
  • 1.000 bis 10.000: 89,9 %
  • 10.000 bis 100.000: 91,7 %
  • 100.000 bis 1 Million: 93,9 %
  • 1 Million bis 10 Millionen: 97,5 %
  • Über 10 Millionen: 99,8 %
Quelle: DMARCeye Q1-2026-Branchenreport (research.dmarceye.com)

Die Durchschnittswerte verdecken die Streuung. Innerhalb jeder Volumenstufe sinkt der Anteil der Domains mit einer Compliance unter 50 %, also der „defekten" Stufe im Report, deutlich, je größer das Volumen wird.

Quelle: DMARCeye Q1-2026-Branchenreport (research.dmarceye.com)
  • Unter 100 E-Mails/Monat: 35,7 % liegen unter 50 % Compliance.
  • 100 bis 1.000: 11,3 %.
  • 1.000 bis 10.000: 5,6 %.
  • Über 10 Millionen: 0 %. Keine Domain in dieser Stufe fällt unter 90 %.

Die Schlagzeile lautet also nicht „kleine Absender liegen leicht zurück". Die Schlagzeile lautet, dass etwa 1 von 3 kleinen Absendern, also Domains, die unter 100 E-Mails pro Monat versenden, eine DMARC-Aufstellung hat, die in den meisten Prüfungen versagt.

Warum kleine Absender Schwierigkeiten haben

Die Q1-Daten zeigen das Muster, nicht die Ursache. Die folgenden Gründe sind Muster, die wir bei Kunden beobachten, keine Befunde aus dem Datensatz. Behandeln Sie sie als Ausgangspunkt, den Sie gegen Ihr eigenes Setup prüfen:

  • SPF und DKIM wurden von Anfang an nicht korrekt eingerichtet. Viele kleine Domains veröffentlichen einen DMARC-Eintrag, aber das zugrunde liegende SPF- und DKIM-Alignment wurde nie für die Dienste eingerichtet, die als Domain Mail versenden. Wenn nichts ausgerichtet ist, hat DMARC nichts, was es authentifizieren könnte.
  • Ein vergessener Absender drückt den Prozentsatz nach unten. Eine kleine Domain, die 80 legitime Nachrichten pro Monat versendet und einmal pro Woche eine Rechnung aus einem fehlkonfigurierten Buchhaltungstool, hat aus einer einzigen Quelle eine Authentifizierungsfehlerrate von 12 %. Bei niedrigem Volumen dominieren einzelne schlechte Absender den Prozentsatz.
  • Niemand liest die Reports. Aggregierte DMARC-Reports zeigen das Problem. Kleine Unternehmen haben selten jemanden, der sie überwacht. Dieselbe Fehlkonfiguration, die vor drei Monaten Dinge kaputt gemacht hat, macht heute immer noch Dinge kaputt.
  • DMARC-Einträge ohne Nachverfolgung veröffentlicht. Manche Domains veröffentlichen einen DMARC-Eintrag, weil ein Hosting-Anbieter oder ein Anleitungsartikel das geraten hat. Der Eintrag ist korrekt, aber nichts anderes ist eingerichtet, um ihn abzusichern.

Der Sinn von Monitoring ist herauszufinden, welcher dieser Punkte auf Ihre Domain zutrifft.

Was das bedeutet, wenn Sie ein kleines Unternehmen führen

Wenn Sie ein paar Dutzend E-Mails pro Monat von Ihrer Domain versenden (Bestellbestätigungen, Rechnungen, gelegentlich einen Newsletter, Passwort-Resets, Antworten auf Kundenanfragen) und einen DMARC-Eintrag veröffentlicht haben, besteht eine Chance von rund 1 von 3, dass Ihre Authentifizierung gerade jetzt defekt ist. Die Folgen:

Ihre echte Mail landet öfter im Spam, als sie sollte. Empfangsserver wie Gmail, Yahoo und regionale Anbieter verfolgen Authentifizierungsfehlermuster für Ihre Domain. Eine defekte Authentifizierungs-Aufstellung verschlechtert Ihre Absenderreputation, und diese fließt in die Zustellentscheidungen ein. Bestellbestätigungen und Rechnungen, die innerhalb von Minuten ankommen sollten, beginnen, im Spam-Ordner zu landen oder verspätet anzukommen.

Spoofer können sich kostenlos als Sie ausgeben. Ein DMARC-Eintrag mit p=none und defekter Authentifizierung stoppt Spoofing nicht. Die fehlgeschlagene Authentifizierung eines echten Spoofing-Versuchs sieht identisch aus wie die Ihrer eigenen defekten legitimen Mail. Der empfangende Server hat keine Möglichkeit, den Unterschied zu erkennen.

Die Behebung ist meist klein. Ein fehlkonfigurierter Absender, ein fehlender SPF-Include, ein DKIM-Schlüssel, der nie im DNS veröffentlicht wurde. Kleine Domains haben kleine Angriffsflächen. Die Untersuchung ist entsprechend kurz.

Die Behebung

Wenn Ihre Domain in der Stufe „unter 100 E-Mails pro Monat" liegt und Sie prüfen möchten, ob Sie zu den 35,7 % defekter Domains gehören, ist der Weg kurz:

Schritt 1: Führen Sie eine kostenlose DNS-Prüfung mit dem DNS-Checker von DMARCeye durch. Geben Sie unten Ihre Domain ein. Wenn Sie überhaupt keinen DMARC-Eintrag haben, ist das ein Problem für sich (und Sie sind in guter Gesellschaft; die meisten kleinen Domains haben keinen). Wenn Sie einen DMARC-Eintrag, aber kein klares SPF oder DKIM haben, haben Sie das Problem wahrscheinlich schon gefunden.

 

Schritt 2: Lesen Sie zwei bis vier Wochen lang Ihre DMARC-Reports. Lassen Sie Reports einlaufen. Der kostenlose Tarif von DMARCeye deckt eine Domain ab. Reports zeigen jeden Dienst, der als Ihre Domain Mail versendet. Bei einem kleinen Unternehmen ist die Liste meist kurz: Ihr ESP, das Mail-Relay Ihres Hosting-Anbieters, ein Rechnungstool, vielleicht ein Kontaktformular. Bestätigen Sie, dass jeder davon legitim ist, und prüfen Sie, ob er authentifiziert ist.

Schritt 3: Authentifizieren Sie die nicht authentifizierten Dienste. Die meisten ESPs und E-Mail-Tools bieten eine Schritt-für-Schritt-DKIM-Einrichtung. Wenn ein Dienst sich nicht authentifizieren lässt, ersetzen Sie ihn durch einen, der es kann.

Schritt 4: Wechseln Sie von p=none zu p=quarantine und dann zu p=reject. Sobald Ihre Reports ein paar Wochen lang sauber sind, ziehen Sie die Policy an. Fehlgeschlagene Nachrichten landen zunächst im Spam (p=quarantine) und werden dann ganz abgewiesen (p=reject).

Der gesamte Prozess kostet die meisten kleinen Unternehmen einen einzigen Nachmittag zur Untersuchung und ein paar Wochen zur Bestätigung.

Die praktische Erkenntnis

Kleine Absender sind in der defekten Stufe der DMARC-Compliance überrepräsentiert, weil bei kleinem Volumen eine einzige Fehlkonfiguration den Prozentsatz stark verschiebt. Die gute Nachricht ist, dass kleine Absender auch kleine Angriffsflächen haben. Ein fehlender Eintrag, ein nicht ausgerichtetes Tool, ein vergessener Dienst. Finden Sie ihn, beheben Sie ihn, und Sie haben eine echte Chance, sich dem Anteil kleiner Domains anzuschließen, die sauber laufen. In unserer Q1-Momentaufnahme lagen 41,8 % der kleinen Absender bereits bei 99 % Compliance oder darüber.

 
Vollständigen Beitrag anzeigen