PCI DSS, der Sicherheitsstandard, an den sich jedes Unternehmen halten muss, das Kartenzahlungen annimmt, nennt DMARC nicht als vorgeschriebene Maßnahme. Seit dem 31. März 2025 verlangt Version 4.0.1 des Standards jedoch automatisierte Anti-Phishing-Maßnahmen, und das PCI Security Standards Council nennt in seinen Hinweisen DMARC, SPF und DKIM als anerkannte Wege, die Anti-Phishing-Anforderung zu erfüllen. Wenn Sie Kartenzahlungen verarbeiten, sollten Sie DMARC daher als erwartet behandeln, auch wenn der Standard es nirgends ausdrücklich vorschreibt.
In Blog-Beiträgen von Anbietern liest man immer wieder, PCI DSS „verlange DMARC". Diese Aussage ist nicht ganz richtig, und der Unterschied ist bei einem PCI-Audit entscheidend. Dieser Artikel erklärt, was Anforderung 5.4.1 besagt, wo DMARC hineinpasst und was die Personen, die Ihr DNS und Ihre Compliance betreuen, tun müssen. Wenn Sie über eine Website Kartenzahlungen annehmen, liegt die Arbeit bei Ihrem IT- oder Sicherheitsteam oder bei der Agentur, die Ihre Domain verwaltet.
Klicken Sie auf die Links, um direkt zu einem bestimmten Abschnitt zu springen.
Nicht namentlich. PCI DSS Version 4.0.1, die aktuelle Fassung des Standards, schreibt vor, dass Organisationen automatisierte Anti-Phishing-Mechanismen einrichten. In der Anforderung selbst wird keine bestimmte Technologie genannt. Die Nennung erfolgt in den Hinweisen, wo das PCI Security Standards Council schreibt, dass Anti-Spoofing-Maßnahmen wie DMARC, SPF und DKIM „verhindern können, dass Phisher die Domain des Unternehmens fälschen und sich als dessen Mitarbeiter ausgeben".
PCI empfiehlt DMARC also in seinen Hinweisen; als vorgeschriebene Maßnahme führt PCI DMARC nicht auf. In der Praxis ist der Unterschied zwischen „empfohlen" und „vorgeschrieben" hier gering. SPF, DKIM und DMARC sind der etablierte, dokumentierte Weg, um Domain-Spoofing zu stoppen, und ein Prüfer, der nach automatisierten Anti-Phishing-Mechanismen sucht, wird sie deshalb erwarten. Der praktische Rat ist einfach: Richten Sie DMARC ein, weil der Prüfer danach suchen wird. Behaupten Sie nicht, der Standard schreibe DMARC namentlich vor, denn das tut er nicht, und der Prüfer kennt den Unterschied.
Die maßgebliche Regel ist Anforderung 5.4.1: Es müssen Prozesse und automatisierte Mechanismen vorhanden sein, um Phishing-Angriffe zu erkennen und die Mitarbeiter davor zu schützen. Das Schlüsselwort ist hier „automatisiert". Eine Security-Awareness-Schulung allein erfüllt die Anforderung nicht, denn der Standard verlangt eine laufende technische Maßnahme, nicht nur Mitarbeiter, die gewarnt wurden.
5.4.1 wurde als zukünftig datierte Anforderung veröffentlicht, war also optional, solange die Organisationen sich darauf vorbereiteten. Diese Übergangsfrist endete am 31. März 2025. Seither ist die Anti-Phishing-Anforderung verpflichtend: Ein Prüfer kontrolliert sie bei einer PCI-DSS-Prüfung, und Sie können sie nicht länger als Best Practice aufschieben.
Die Hinweise empfehlen außerdem, Anti-Phishing-Maßnahmen in der gesamten Organisation anzuwenden, nicht nur in den Systemen, die Karteninhaberdaten speichern oder verarbeiten. DMARC leistet das von Haus aus: Eine einzige DMARC-Policy gilt für jede Adresse Ihrer Domain, sodass Sie sie nicht System für System ausweiten müssen.
Das ist die naheliegende Frage, denn der Standard nennt DMARC nicht namentlich. Bei Anforderung 5.4.1 geht es darum, Ihre Mitarbeiter vor Phishing zu schützen, und einen Teil davon können Sie mit anderen Mitteln erfüllen: einem Secure Email Gateway, einem Anti-Phishing-Filter, dem Scannen von Links und Anhängen oder automatisierten Security-Awareness-Schulungen. Die meisten Unternehmen, die Kartenzahlungen annehmen, setzen einige davon bereits ein, und das sollten Sie auch weiterhin tun.
Diese Werkzeuge prüfen jedoch nur die Mail, die in Ihren eigenen Postfächern ankommt. Sie verhindern nicht, dass ein Angreifer Ihre Domain im From-Feld fälscht, um Ihre Kunden, Partner oder Mitarbeiter zu phishen. Der einzige praktikable Weg, diese Art von Domain-Spoofing zu stoppen, ist E-Mail-Authentifizierung: SPF, DKIM und DMARC im Zusammenspiel. Einen echten Ersatz dafür gibt es nicht. Deshalb nennen die PCI-Hinweise alle drei, und deshalb erwartet ein Prüfer sie zu sehen, obwohl die Anforderung sie nirgends ausdrücklich aufführt.
Einen DMARC-Eintrag zu veröffentlichen ist nicht dasselbe wie ihn durchzusetzen, und genau hier bleiben viele Unternehmen hinter dem zurück, worauf die Anforderung abzielt.
Ein DMARC-Eintrag mit p=none läuft im reinen Monitoring-Modus. Er weist empfangende Server an, über Mail zu berichten, die die Authentifizierung nicht besteht, und sie dann trotzdem zuzustellen. Sie erhalten Sichtbarkeit, was nützlich ist, aber eine gefälschte Nachricht, die angeblich von Ihrer Domain stammt, erreicht weiterhin das Postfach. Nichts wird blockiert. Als Anti-Phishing-Maßnahme stoppt ein p=none-Eintrag null Angriffe.
Um gefälschte Mail zu blockieren, brauchen Sie DMARC in einem Durchsetzungsmodus: p=quarantine verschiebt fehlgeschlagene Nachrichten in den Spam, und p=reject weist sie ganz ab. Die Durchsetzung ist es, die jemanden daran hindert, Ihre Domain zu fälschen, um Ihre Kunden oder Mitarbeiter zu phishen. PCI nennt keine vorgeschriebene Policy-Stufe, das ist also unsere Auslegung und keine Zeile im Standard. Doch ein DMARC-Eintrag, der nichts blockiert, lässt sich gegenüber einem Prüfer kaum als Anti-Phishing-Maßnahme verteidigen.
Hier sind die meisten Domains angreifbar. Im Q1-2026-Branchenbericht von DMARCeye stehen von den Domains, die DMARC veröffentlichen, 36,7 % auf p=none, 36,8 % auf p=quarantine und 26,5 % auf p=reject. Mehr als ein Drittel veröffentlicht einen DMARC-Eintrag, der nichts blockiert, weil er auf reines Monitoring eingestellt ist. Unsere vollständige Auswertung der Durchsetzungslücke enthält die kompletten Zahlen dazu, wie viele Domains nie über das Monitoring hinauskommen.
Geben Sie Ihre Domain ein, um Ihre aktuelle DMARC-Policy zu sehen und ob sie auf Durchsetzung eingestellt ist:
Klären Sie zuerst, wer die DMARC-Arbeit verantwortet. Einen DMARC-Eintrag zu veröffentlichen und zu verschärfen ist eine DNS- und E-Mail-Authentifizierungsaufgabe, keine Marketingaufgabe. In einem größeren Unternehmen liegt sie bei der IT oder der Sicherheit. In einem kleinen Unternehmen fällt sie meist demjenigen zu, der Ihre Domain verwaltet: Ihrem IT-Dienstleister, Ihrem Webhoster oder der Agentur, die Ihre E-Mail und Ihr DNS betreut. Wenn Sie für die PCI-Compliance verantwortlich sind, das DNS aber nicht selbst verwalten, besteht Ihre Aufgabe darin, die richtige Person damit zu beauftragen und vor Ihrer Prüfung zu bestätigen, dass es erledigt ist.
Die technischen Schritte, der Reihe nach:
SPF und DKIM für jeden Dienst, der Mail als Ihre Domain versendet. DMARC ist auf beide angewiesen.p=none, um Berichte zu sammeln, ohne die Zustellung zu beeinträchtigen.p=quarantine und dann zu p=reject, sobald die Berichte nur noch Absender zeigen, die Sie kennen. Das ist die Einstellung, die dem Anti-Phishing-Ziel gerecht wird.Die Falle, die Sie vermeiden sollten, besteht darin, zu p=reject zu springen, bevor Sie Ihre Absender erfasst haben. Schalten Sie die Durchsetzung zu früh scharf, beginnt legitime Mail blockiert zu werden, darunter die Zahlungsbestätigungen, auf die Ihre Kunden warten. Unser vollständiger DMARC-Implementierungsleitfaden führt Schritt für Schritt durch den Wechsel zur Durchsetzung.
PCI DSS ist nicht die einzige Kraft, die Unternehmen zur DMARC-Durchsetzung drängt. Seit 2024 verlangen Google und Yahoo von Massenversendern, DMARC zu veröffentlichen, und Microsoft stellt inzwischen dieselbe Erwartung an Versender mit hohem Volumen nach Outlook und Hotmail. Die großen Mailbox-Anbieter und der Zahlungsstandard verlangen nun dasselbe: Authentifizieren Sie Ihre Mail und verhindern Sie, dass andere Ihre Domain fälschen.
Für ein Unternehmen, das Kartenzahlungen annimmt und zugleich Marketing- oder Transaktions-E-Mails versendet, deckt ein einziges Projekt beide Pflichten ab. Die DMARC-Durchsetzung, die Sie für PCI einrichten, ist genau die Maßnahme, die auch die Mailbox-Anbieter erwarten. Unser Leitfaden zu den Absenderanforderungen von Google und Yahoo behandelt diese Seite im Detail.
PCI DSS v4.0.1 hat DMARC nicht in seine Liste der vorgeschriebenen Maßnahmen aufgenommen, und Sie sollten misstrauisch sein gegenüber jedem, der Ihnen das Gegenteil erzählt. Was die Version geleistet hat, ist, Anti-Phishing-Schutz verpflichtend zu machen und DMARC, SPF und DKIM als den Weg dorthin zu benennen. Am meisten zählt die Durchsetzung: Ein DMARC-Eintrag mit p=none dokumentiert das Problem, während p=quarantine oder p=reject es löst.
DMARCeye liest die DMARC-Berichte aus, die Ihre Domain erhält, und zeigt Ihnen in klarer Sprache, welche Absender legitim sind und wann der Wechsel zur Durchsetzung sicher ist, sodass der Schritt vom Monitoring zur Compliance nicht die Mail zerstört, auf die Ihre Kunden angewiesen sind.