Methodik & Funktionsweise
Was wird geprueft?
Erstellt einen DMARC-Record (Domain-based Message Authentication) für Ihre Domain.
Wie funktioniert es?
Sie wählen die DMARC-Policy (none, quarantine, reject), Berichts-Adressen und Prozentsatz. Daraus wird der TXT-Record für _dmarc.[domain] generiert.
Beispiel-Ergebnis
Policy: reject, Report: admin@example.com → Ergebnis: v=DMARC1; p=reject; rua=mailto:admin@example.com; pct=100
DMARC-Tag-Übersicht
| Tag | Wert | Beschreibung |
|---|---|---|
| v | DMARC1 | DMARC-Protokollversion |
| p | none | Nur überwachen, keine Aktion |
| adkim | r | DKIM-Abgleich: Relaxed (Subdomain-Abgleich erlaubt) |
| aspf | r | SPF-Abgleich: Relaxed (Subdomain-Abgleich erlaubt) |
| pct | 100 | Richtlinie gilt für 100% der E-Mails |
| fo | 0 | Bericht erstellen, wenn alle Prüfungen fehlschlagen |
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein E-Mail-Authentifizierungsprotokoll, das auf SPF und DKIM aufbaut. Es ermöglicht Domain-Inhabern festzulegen, wie Empfänger mit E-Mails umgehen sollen, die die Authentifizierungsprüfung nicht bestehen: durchlassen (none), in den Spam-Ordner verschieben (quarantine) oder ablehnen (reject). Zusätzlich liefert DMARC täglich XML-Berichte über alle E-Mails, die im Namen der Domain versendet wurden – einschließlich unautorisierter Sendungen. Diese Berichte helfen, Missbrauch frühzeitig zu erkennen und die E-Mail-Infrastruktur zu optimieren. DMARC wird als TXT-Record unter _dmarc.[domain] im DNS hinterlegt.
DMARC richtig einrichten
- 1Starten Sie mit p=none, um erst Berichte zu sammeln, ohne E-Mails zu blockieren.
- 2Richten Sie eine rua-Adresse für aggregierte Berichte ein (z.B. dmarc@ihredomain.de).
- 3Steigern Sie die Policy schrittweise: none → quarantine → reject.
- 4SPF und DKIM müssen korrekt konfiguriert sein, bevor DMARC wirkt.
- 5Nutzen Sie pct=100 erst, wenn Sie sicher sind, dass alle legitimen Quellen abgedeckt sind.