DMARC-Policy-Konfiguration: E-Mail-Spoofing verhindern

Was ist DMARC und warum brauchst du es jetzt#

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist die Durchsetzungsschicht für die E-Mail-Authentifizierung.

SPF und DKIM existieren, um Spoofing zu verhindern, aber sie haben Lücken. DMARC schließt diese Lücken durch:

1. Die Anforderung, dass SPF und DKIM ausgerichtet sind (beide bestehen UND die Absenderdomain stimmt überein)
2. Die Durchsetzung einer Policy (gefälschte E-Mails ablehnen)
3. Reporting (tägliche Berichte über Authentifizierungsversuche)

Im Februar 2026: Gmail und Yahoo verlangen DMARC mit p=quarantine oder p=reject. E-Mails ohne korrektes DMARC landen im Spam oder werden abgelehnt.

Wie DMARC Spoofing verhindert#

Ohne DMARC:

From: du@deinunternehmen.com
Mail-From: angreifer.com
SPF-From: angreifer.com

Die E-Mail besteht SPF (autorisiert auf angreifer.com), scheint aber von deinunternehmen.com zu kommen. Spoofing funktioniert. ❌

Mit DMARC:

DMARC policy: p=reject
From: du@deinunternehmen.com
Mail-From: angreifer.com
Result: REJECT (Domains sind nicht ausgerichtet)

Die E-Mail wird abgelehnt, weil die sichtbare "From"-Domain nicht mit der authentifizierten Domain übereinstimmt. ✅

DMARC-Record-Format#

Der DMARC-Record liegt unter: _dmarc.deinedomain.com

Basisformat:

v=DMARC1; p=none; rua=mailto:admin@deinedomain.com

Was die einzelnen Teile bedeuten:

• v=DMARC1: Version (immer dieser Wert)
• p=none: Policy (none/quarantine/reject)
• rua=mailto:...: Wohin Reports gesendet werden

DMARC-Policies erklärt#

Policy	Was passiert	E-Mail wird	Wann verwenden
p=none	Nur überwachen	Zugestellt	Lernphase (Woche 1-2)
p=quarantine	Verdächtige E-Mails in Spam	In Spam zugestellt	Testen (Woche 2-4)
p=reject	Gefälschte E-Mails blockiert	Komplett abgelehnt	Produktion (Woche 4+)

p=none (Nur Überwachung)#

v=DMARC1; p=none; rua=mailto:admin@deinedomain.com; ruf=mailto:forensics@deinedomain.com

Was passiert:

• Gefälschte E-Mails werden weiterhin zugestellt
• Du erhältst tägliche Reports darüber, was abgelehnt würde
• Verwende dies für 1-2 Wochen, während du prüfst, ob legitime E-Mails nicht betroffen sind

Inhalt der Reports:

• Wie viele E-Mails SPF bestanden/nicht bestanden haben
• Wie viele E-Mails DKIM bestanden/nicht bestanden haben
• Quell-IPs der fehlgeschlagenen E-Mails
• Welche Dienste legitim und welche verdächtig sind

p=quarantine (Quarantäne-Policy)#

v=DMARC1; p=quarantine; rua=mailto:admin@deinedomain.com

Was passiert:

• Gefälschte E-Mails landen im Spam-Ordner statt im Posteingang
• Nutzer können sie immer noch sehen (mit Aufwand)
• Du erhältst Reports

Verwende dies für 1-2 Wochen, während du testest, dass legitime E-Mails noch durchkommen.

p=reject (Strikte Policy)#

v=DMARC1; p=reject; rua=mailto:admin@deinedomain.com

Was passiert:

• Gefälschte E-Mails werden komplett abgelehnt
• Empfänger sehen sie nie
• Der Angreifer erhält kein Signal, dass das Spoofing fehlgeschlagen ist

Verwende dies in Produktion, sobald du es mit p=quarantine verifiziert hast.

DMARC-Setup Schritt für Schritt#

Schritt 1: Stelle sicher, dass SPF und DKIM funktionieren#

DMARC erfordert, dass SPF und DKIM zuerst konfiguriert sind.

Verifiziere beides mit: Nova Uptime Email Health Checker

Wenn eines davon fehlschlägt, richte es zuerst ein, bevor du DMARC hinzufügst.

Schritt 2: Reporting-E-Mail-Adresse erstellen#

DMARC sendet tägliche Reports (bei großen Domains können das Hunderte E-Mails pro Tag sein).

Erstelle eine dedizierte E-Mail:

dmarc-reports@deinedomain.com

Oder verwende deine Haupt-Admin-E-Mail, wenn du die Reports dort haben möchtest.

Schritt 3: DMARC-Record veröffentlichen#

Gehe zu deinem DNS-Provider (Cloudflare, Route 53, GoDaddy etc.)

Füge einen TXT-Record hinzu:

• Name: _dmarc (genau so)
• Wert: v=DMARC1; p=none; rua=mailto:dmarc-reports@deinedomain.com
• TTL: 3600

Speichern und 5-15 Minuten auf die DNS-Propagierung warten.

Schritt 4: DMARC-Policy testen#

Option 1: Test-E-Mail senden

1. Sende eine E-Mail von deiner Domain
2. Prüfe die E-Mail-Header auf DMARC: PASS oder DMARC: FAIL
3. Schaue nach E-Mails an dmarc-reports@deinedomain.com (kann 24 Stunden dauern)

Option 2: Verifizierungs-Tool nutzen

• Nova Uptime Email Health Checker
• Gib deine Domain ein
• Prüfe den DMARC-Status

Schritt 5: Reports 1-2 Wochen lang überwachen#

DMARC-Reports kommen täglich an (oder wöchentlich aggregiert, je nach Policy).

Worauf du achten solltest:

• Bestehen alle deine legitimen E-Mails?
• Gibt es unerwartet fehlschlagende E-Mails?
• Gibt es Spoofing-Versuche gegen deine Domain?

Wenn alles besteht: Wechsle zu p=quarantine

Schritt 6: Wechsle zu p=quarantine (Woche 3)#

Nachdem du bestätigt hast, dass keine legitime E-Mail fehlschlägt:

Aktualisiere den DNS-TXT-Record:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@deinedomain.com

Überwache erneut 1-2 Wochen.

Schritt 7: Wechsle zu p=reject (Woche 5+)#

Sobald du mit den Quarantäne-Ergebnissen zufrieden bist:

Aktualisiere den DNS-TXT-Record:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@deinedomain.com; ruf=mailto:forensics@deinedomain.com

Jetzt bist du vollständig geschützt.

DMARC-Subdomain-Policy#

Standardmäßig gilt DMARC nur für deinedomain.com. Wenn du von Subdomains wie mail.deinedomain.com sendest, brauchst du eine Subdomain-Policy:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@deinedomain.com; sp=none

• sp=none: Subdomains werden nur überwacht, nicht abgelehnt
• Oder setze sp=quarantine oder sp=reject je nach Bedarf

Häufige DMARC-Fehler#

Fehler 1: SPF/DKIM nicht ausgerichtet#

Beispiel:

• From: du@deinedomain.com
• SPF besteht für: mail.deinedomain.com (andere Subdomain)
• Ergebnis: DMARC schlägt fehl (nicht ausgerichtet)

Fix: Verwende relaxed Alignment in DMARC:

aspf=r; adkim=r

Das erlaubt Subdomains zu bestehen. (Aus Sicherheitsgründen nicht empfohlen, aber manchmal notwendig.)

Fehler 2: Nie Reports erhalten#

Die E-Mail-Adresse in rua= existiert nicht, oder E-Mails landen im Spam.

Fix:

• Prüfe, ob die E-Mail-Adresse existiert
• Schaue im Spam-Ordner nach Reports von dmarc@deinedomain.com
• Setze den Report-Sender auf die Whitelist

Fehler 3: Direkter Sprung zu p=reject#

Der Sprung von p=none direkt zu p=reject führt dazu, dass legitime E-Mails fehlschlagen.

Fix: Verwende die Progression: p=none → p=quarantine → p=reject über 4-6 Wochen.

Fehler 4: Änderungen nicht beobachten#

Du fügst einen neuen E-Mail-Dienst hinzu (Zapier, CRM etc.), der E-Mails sendet, vergisst aber, SPF/DKIM zu aktualisieren. DMARC lehnt ihn ab.

Fix: Überwache DMARC-Reports monatlich. Füge neue Dienste hinzu, sobald sie zu deiner Infrastruktur kommen.

DMARC überwachen#

Wöchentlich:

• Prüfe DMARC-Reports auf unerwartete Fehler
• Füge neue sendende Dienste bei Bedarf zu SPF/DKIM hinzu

Monatlich:

• Überprüfe Report-Trends
• Identifiziere Spoofing-Versuche gegen deine Domain
• Verifiziere, dass die Policy noch passend ist

DMARC-Reports verstehen#

DMARC-Reports enthalten:

• Domain: Über welche Domain berichtet wird
• Source IP: Woher die E-Mails kamen
• Pass/Fail-Zähler: SPF/DKIM-Pass/Fail-Raten
• Ausgewertete Policy: Was bei p=reject passieren würde

Nutze dies, um zu validieren, dass:

1. Deine legitimen Dienste bestehen
2. Keine unerwarteten IPs E-Mails senden
3. Spoofing-Versuche erkannt werden

Der vollständige Authentifizierungs-Stack#

SPF: "Ist der Server autorisiert?" DKIM: "Ist die Nachricht authentisch?" DMARC: "Bestehen beide UND ist die Domain ausgerichtet?"

Alle drei zusammen = ordentliche E-Mail-Authentifizierung.

Prüfe alle drei automatisch: Nova Uptime Email Health Checker. Kostenlos. 🚀

Zusammenfassung#

1. Verifiziere zuerst, dass SPF und DKIM funktionieren
2. Veröffentliche DMARC mit p=none (Woche 1-2)
3. Wechsle zu p=quarantine (Woche 3-4)
4. Wechsle zu p=reject (Woche 5+)
5. Überwache die Reports kontinuierlich
6. Aktualisiere bei neuen E-Mail-Diensten

DMARC ist 2026 Pflicht. Deine Mitbewerber sind bereits eingerichtet. Bleib nicht zurück.

Häufig gestellte Fragen#

Wie teste ich meinen DMARC-Record?#

Verwende ein kostenloses DMARC Checker Tool, um deinen Record zu validieren. Es prüft die Syntax, kontrolliert die Policy-Einstellungen, bestätigt die Reporting-Adressen und identifiziert häufige Konfigurationsfehler. Du kannst auch testen, indem du eine E-Mail sendest und den DMARC-Header in der empfangenen Nachricht prüfst.

Was ist der Unterschied zwischen p=quarantine und p=reject?#

Bei p=quarantine werden E-Mails, die DMARC nicht bestehen, in den Spam-Ordner zugestellt. Bei p=reject werden sie komplett blockiert und nie zugestellt. Beginne mit quarantine, um Probleme zu erkennen, bevor du zu reject wechselst, um maximalen Schutz vor Spoofing zu erhalten.

Brauche ich DMARC, wenn ich bereits SPF und DKIM habe?#

Ja. SPF und DKIM authentifizieren E-Mails, sagen den empfangenden Servern aber nicht, was zu tun ist, wenn die Authentifizierung fehlschlägt. DMARC liefert die Durchsetzungs-Policy und ermöglicht Reporting, sodass du die Authentifizierungsergebnisse über alle deine E-Mails hinweg überwachen kannst.

Kann DMARC meine E-Mails kaputt machen?#

Nur wenn es falsch konfiguriert ist. Eine p=reject-Policy, die angewendet wird, bevor alle legitimen Absender authentifiziert sind, blockiert deine eigenen E-Mails. Beginne immer mit p=none, prüfe Reports 2-4 Wochen lang, schließe alle Authentifizierungslücken und erhöhe dann schrittweise die Durchsetzung.

Weiterführende Lektüre#

• DMARC-Setup: Von None bis Reject — Schritt-für-Schritt-DMARC-Implementierung
• So konfigurierst du SPF-Records — SPF-Setup, das DMARC voraussetzt
• DKIM-Check & Setup-Guide — DKIM-Konfiguration für DMARC-Alignment
• Email Health Checker Guide — Umfassende Analyse der E-Mail-Authentifizierung
• Kostenloser DMARC Checker — Validiere deinen DMARC-Record sofort