Vollständiger DMARC-Implementierungsleitfaden

Sobald Sie einen einfachen DMARC-Eintrag veröffentlicht haben, beginnt die eigentliche Arbeit: die korrekte Implementierung über alle Domains und Systeme hinweg.

DMARC (Domain-based Message Authentication, Reporting & Conformance) funktioniert am besten, wenn jede Mailquelle in Ihrer Organisation authentifiziert, ausgerichtet und überwacht wird.

Dieser Leitfaden geht über die Grundlagen hinaus und zeigt, wie Sie DMARC im DNS konfigurieren, Multi-Domain-Umgebungen verwalten und sicher von der Testphase zur vollständigen Durchsetzung wechseln.

Grundlagen zu DMARC und wie Sie eine Policy veröffentlichen, finden Sie in unserer Übersicht und dem 5-Schritte-Leitfaden zur ersten DMARC-Aktivierung.

Schritt 1: Mit einer zentralen DMARC-Strategie beginnen

Wenn Ihre Organisation mehrere Domains oder Subdomains verwaltet, behandeln Sie DMARC als langfristigen Policy-Rahmen - nicht als einmaligen DNS-Eintrag. Identifizieren Sie zunächst:

• Alle Ihre Versandquellen (CRMs, Marketing-Tools, Ticketing-Systeme, HR-Plattformen usw.)
• Alle Domains und Subdomains, die für den E-Mail-Versand genutzt werden.
• Welche Systeme intern verwaltet werden und welche von Drittanbietern.

Es ist üblich, dass jede Abteilung oder Geschäftseinheit ein eigenes Versand-Setup hat. Ohne eine koordinierte DMARC-Strategie werden die Reports jedoch fragmentiert und die Durchsetzung riskant.

Erstellen Sie eine Übersicht aller Absender und legen Sie fest, von welcher Domain jeder versenden soll. Das ist die Grundlage für vollständige Compliance.

Schritt 2: SPF und DKIM über alle Versandsysteme hinweg prüfen

DMARC stützt sich auf SPF und DKIM, um Nachrichten zu authentifizieren. Schlägt eines der beiden fehl oder ist es nicht ausgerichtet, schlägt auch DMARC fehl.

SPF-Prüfung

Jede Domain sollte einen einzigen SPF-Eintrag haben, der alle autorisierten Absender auflistet:

Best Practices:

• Nicht mehr als 10 DNS-Abfragen verketten (SPF hat ein festes Limit).
• Keine mehrfachen SPF-Einträge anlegen - alle in einem zusammenführen.
• Immer mit -all abschließen, um nicht autorisierte Absender abzuweisen.

DKIM-Prüfung

Jedes E-Mail-Versandsystem (z. B. HubSpot oder Office 365) stellt DKIM-Selektoren bereit, die Sie Ihrem DNS hinzufügen:

Stellen Sie sicher, dass:

• Jeder Dienst Nachrichten mit seinem eigenen DKIM-Schlüssel signiert.
• Das Feld "d=" Ihrer Domain entspricht (für die Ausrichtung).
• Schlüssel regelmäßig rotiert werden, um die Sicherheit zu erhöhen.

Dokumentieren Sie jeden DKIM-Selektor und weisen Sie ihn einer bekannten Versandquelle zu. Das erleichtert spätere Fehlersuche erheblich.

Schritt 3: Einen korrekten DMARC-Eintrag veröffentlichen

DMARC-Einträge sind TXT-Einträge, die im DNS unter _dmarc.yourdomain.com hinzugefügt werden.

Ein solider Ausgangspunkt für die Implementierung sieht so aus:

Was die einzelnen Parameter bedeuten:

• v=DMARC1 - Erforderliche Protokollversion.
• p=none - Überwachungsmodus (Reports sammeln, keine Durchsetzung).
• rua=mailto: - Zieladresse für aggregierte Reports.
• aspf=r / adkim=r - Relaxed Alignment (sicherer für Multi-Domain-Setups).

Wenn Sie mehrere Domains verwalten, verwenden Sie eindeutige Report-Adressen, um sie auseinanderzuhalten:

Für Subdomains können Sie einen separaten Eintrag veröffentlichen (z. B. _dmarc.mail.yourdomain.com) oder die Policy der übergeordneten Domain erben.

Um einen DMARC-Eintrag zu generieren, nutzen Sie unseren DMARC-Eintragskonfigurator.

Schritt 4: DMARC-Reports analysieren und Ausrichtung validieren

Sobald der Eintrag aktiv ist, senden Mailbox-Anbieter täglich aggregierte DMARC-Reports (RUA), die zusammenfassen, welche IPs E-Mails für Ihre Domain verschickt haben und wie sie abgeschnitten haben.

Achten Sie auf:

• Unbekannte IPs, die E-Mails versenden (mögliches Spoofing).
• Bekannte Systeme, die SPF oder DKIM nicht bestehen.
• Nicht ausgerichtete Authentifizierungsergebnisse.

Jede Report-Zeile enthält:

• SPF-Ergebnis: Bestanden oder fehlgeschlagen.
• DKIM-Ergebnis: Bestanden oder fehlgeschlagen.
• Ausrichtung: Ob jedes Ergebnis mit Ihrer Domain übereinstimmt.

Wenn ein legitimer Absender die Ausrichtung nicht besteht, korrigieren Sie das, bevor Sie zur Durchsetzung wechseln.

Eine ausführlichere Erklärung finden Sie in unserem Leitfaden So lesen Sie DMARC-Aggregat-Reports.

Schritt 5: Drittanbieter-Absender behandeln

Viele DMARC-Probleme entstehen durch Drittanbieter-Plattformen, die E-Mails in Ihrem Namen versenden - zum Beispiel Marketing-Tools, CRMs oder Zahlungsdienstleister.

Damit diese Nachrichten DMARC bestehen:

1. Fügen Sie deren Versand-IPs oder Include-Mechanismen Ihrem SPF-Eintrag hinzu.
2. Veröffentlichen Sie deren DKIM-Schlüssel wie angegeben.
3. Stellen Sie sicher, dass diese Dienste Ihre Domain im "From"-Header verwenden, nicht eine generische gemeinsame Domain.

Wenn ein Anbieter keine DKIM-Ausrichtung unterstützt, muss die SPF-Ausrichtung perfekt sein, um Zurückweisungen zu vermeiden.

Tipp: Pflegen Sie eine gemeinsame interne Liste aller genehmigten Drittanbieter-Absender und deren DNS-Konfigurationen.

Schritt 6: Wie wechseln Sie von der Überwachung zur Durchsetzung?

Sobald Ihre Reports zeigen, dass alle legitimen Absender korrekt authentifiziert werden, beginnen Sie mit der DMARC-Durchsetzung.

Gehen Sie schrittweise vor:

1. p=none → p=quarantine (fehlerhafte Nachrichten in den Spam verschieben).
2. p=quarantine → p=reject (fehlerhafte Nachrichten vollständig blockieren).

Sie können auch eine teilweise Durchsetzung mit dem pct-Tag testen:

Damit wird die Durchsetzung auf 50 % des Traffics angewendet, während die Ergebnisse überwacht werden.

Wenn Sie die Durchsetzung verschärfen, überprüfen Sie Ihre Reports weiterhin täglich.

Schritt 7: Wie konfigurieren Sie Subdomain-Policies?

Subdomains können entweder die Policy der übergeordneten Domain erben oder eine eigene haben. Zum Beispiel:

Hier gilt:

• p=none wird auf die Hauptdomain angewendet.
• sp=reject erzwingt DMARC auf allen Subdomains.

Nutzen Sie dies, wenn Sie auf der Hauptdomain noch testen, aber für transaktionale Subdomains wie billing.yourdomain.com eine strengere Durchsetzung wünschen.

Schritt 8: Welche Implementierungsfehler sollten Sie vermeiden?

Auch gut vorbereitete Teams machen diese Fehler:

• Mehrere SPF-Einträge auf einer Domain.
• Fehlendes rua-Tag (keine Reports).
• Dauerhafter Einsatz einer reinen Überwachungs-Policy (p=none).
• Vergessen, DKIM-Schlüssel nach Plattformwechseln zu aktualisieren.
• Nicht ausgerichtete Subdomains ignorieren.

DMARC schützt nur dann, wenn es aktiv überwacht und durchgesetzt wird. Wer es dauerhaft bei p=none belässt, hat keinen Schutz gegen Spoofing.

Schritt 9: Langfristig pflegen und überwachen

Sobald Ihre DMARC-Policy vollständig durchgesetzt wird, sorgt kontinuierliches Monitoring dafür, dass alles reibungslos läuft.

Überprüfen Sie regelmäßig:

• Neue IPs in Reports (mögliche neue Absender).
• Änderungen bei den Authentifizierungs-Pass-Raten.
• Ob Drittanbieter-Integrationen weiterhin korrekt authentifizieren.

DMARC ist kein "einmal einrichten und vergessen"-System. Es ist ein sich entwickelnder Bestandteil der Sicherheitsstrategie Ihrer Domain.

So unterstützt DMARCeye bei der Implementierung

DMARC einzurichten ist eine Sache. Es über mehrere Domains und Plattformen hinweg zu pflegen, eine andere. DMARCeye ist eine DMARC-Monitoring- und Management-Plattform, die:

• Ihre DMARC-Reports sammelt und auswertet.
• Alle Ihre Versandquellen visuell abbildet.
• Nicht ausgerichtete oder nicht autorisierte Absender kennzeichnet.
• Den Fortschritt beim Verschärfen der Policy verfolgt.

Sehen Sie auf einen Blick, ob Ihre Implementierung funktioniert, welche Systeme Anpassungen benötigen und wie nah Sie der vollständigen Compliance sind.