DMARC Checker
DMARC-Record einer Domain prüfen: Policy, Reporting (rua/ruf), Alignment, externe Report-Autorisierung und alle RFC-7489-Tags validieren.
Methodik & Funktionsweise
Was wird geprueft?
Prüft den DMARC-Record einer Domain auf Vorhandensein, Policy-Stufe und vollständige RFC-7489-Tags.
Wie funktioniert es?
Liest _dmarc.<domain> TXT, parst alle Tags (v, p, sp, rua, ruf, pct, adkim, aspf, fo, rf, ri). Meldet die häufigsten realen Pannen: p=none (reines Monitoring, kein Schutz), pct<100 (Policy nur teilweise aktiv), fehlende rua (keine Reports = blind), sp=none bei p=reject (Subdomains spoofbar), unbekannte Tags (Tippfehler), Mehrfach-Records (RFC-Verstoß). Bei externen rua/ruf-Adressen wird zusätzlich der Authorisierungs-Record <eigene-domain>._report._dmarc.<externe-domain> geprüft — fehlt der, verwerfen Google/Microsoft die Reports.
Beispiel-Ergebnis
google.com → v=DMARC1; p=reject; rua=mailto:mailauth-reports@google.com (Policy: reject, Reports: an Google selbst → keine externe Autorisierung nötig, 0 Issues)
Hinweise
rua-Reporting ist der Schlüssel: ohne Aggregate-Reports kann eine Policy nicht sicher von p=none auf p=quarantine/reject hochgestuft werden, weil unbekannt bleibt, welche legitimen Sender brechen würden.