DMARC ist ein E-Mail-Authentifizierungsprotokoll und dient als Schutz um betrügerische Nachrichten auszusortieren. Jeden Tag versenden Betrüger täuschend echte E-Mails, die so aussehen, als kämen sie von bekannten Firmen oder sogar deiner eigenen Domain. Ohne Schutzmechanismen können solche gefälschten E-Mails (sogenanntes E-Mail-Spoofing) unbemerkt in den Posteingang gelangen. Hier kommt DMARC ins Spiel. Es hilft Mail-Provider dabei, betrügerische E-Mails auszusortieren.

Was ist DMARC?

DMARC steht für Domain-based Message Authentication, Reporting & Conformance. Es handelt sich um einen offenen E-Mail-Authentifizierungsstandard, der entwickelt wurde, um den Missbrauch von E-Mails zu reduzieren. Genauer gesagt hilft DMARC dabei, ungewollte oder gefälschte E-Mails (etwa durch Phishing oder Spoofing) zu erkennen und zu blockieren, bevor sie beim Empfänger Schaden anrichten.

DMARC baut auf zwei älteren Sicherheitsverfahren auf, nämlich SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail). Diese beiden Verfahren stellen sicher, dass E-Mails wirklich von autorisierten Mail-Servern deiner Domain gesendet werden (SPF) und dass der Inhalt der E-Mail unterwegs nicht verändert wurde (DKIM). DMARC kombiniert SPF und DKIM und fügt eine wichtige Komponente hinzu: eine Richtlinie, die dem empfangenden Mailserver vorgibt, wie er mit einer E-Mail umgehen soll, die diese Prüfungen nicht besteht, sowie eine Rückmeldefunktion (Reporting).

Einfach gesagt: Mit DMARC kannst du als Domaininhaber festlegen, was mit einer E-Mail passiert, die vorgibt von deiner Domain zu sein, aber die Authentifizierung nicht schafft. Gleichzeitig erhältst du Berichte darüber, welche E-Mails im Namen deiner Domain unterwegs sind und ob sie die Prüfungen bestehen. Damit bekommst du volle Transparenz und kannst legitime von betrügerischen E-Mails unterscheiden.

Beispiel: Angenommen, jemand verschickt eine Phishing-Mail, die so aussieht, als käme sie von [deine-firma].com. Hat deine Domain einen DMARC-Eintrag, prüft der empfangende Mailserver zunächst SPF und DKIM. Bestehen beide (und sind korrekt auf deine Domain bezogen), wird die Mail zugestellt. Schlägt die Prüfung fehl, schaut der Server in deine DMARC-Richtlinie: Dort kann stehen, dass solche Mails z.B. abgelehnt oder zumindest in den Spam-Ordner verschoben werden sollen. Ohne DMARC wüsste der Server nicht, wie er verfahren soll – die Mail würde wahrscheinlich zugestellt, obwohl sie gefälscht ist.

Warum ist DMARC wichtig?

  • Schutz vor Phishing und Betrug: DMARC verhindert, dass Unbefugte deine Domain für Phishing-E-Mails missbrauchen. Besonders im geschäftlichen Umfeld (Stichwort CEO-Fraud oder Business Email Compromise) ist das entscheidend. Wenn Kunden E-Mails von deiner Domain erhalten, die echt aussehen aber nicht von dir stammen, leidet das Vertrauen enorm. DMARC stärkt deine Marken-Reputation, weil Empfänger darauf vertrauen können, dass E-Mails von deiner Domain echt sind.
  • Klare Richtlinien für Mail-Anbieter: Große Mail-Provider wie Google (Gmail), Microsoft (Outlook.com) oder Yahoo unterstützen DMARC und halten sich an die veröffentlichte DMARC-Richtlinie deiner Domain. Das heißt, du bestimmst mit DMARC die Regeln, z.B.: „Wenn eine Mail meine Prüfungen nicht besteht, lehne sie ab!“. Ohne DMARC entscheiden Mail-Provider selbst, was mit verdächtigen Mails passiert – das kann uneinheitlich sein. Mit DMARC erzielst du ein konsistentes Verhalten und erhöhst die Chance, dass legitime Mails ankommen und betrügerische aussortiert werden.
  • Berichte und Transparenz: Ein großer Vorteil von DMARC sind die Berichte. Wenn du DMARC aktivierst, können empfangende Mailserver dir regelmäßig Berichtsmeldungen schicken. Darin siehst du z.B., welche IP-Adressen in deinem Namen E-Mails senden und ob diese Mails die SPF/DKIM-Prüfungen bestanden haben. Das gibt dir vollen Überblick, ob vielleicht ein unbekannter Absender deine Domain missbraucht – oder ob ein legitimer Dienst noch nicht korrekt eingerichtet ist.
  • Verbesserte Zustellbarkeit: Anfangs klingt es widersprüchlich, aber DMARC kann sogar die Zustellrate deiner erwünschten E-Mails verbessern. Warum? E-Mails, die alle Authentifizierungen bestehen, gelten bei Mail-Anbietern als vertrauenswürdiger. Im Umkehrschluss landen deine seriösen Newsletter oder Transaktionsmails seltener im Spam. Außerdem vermeidest du, dass deine Domain aufgrund von Spoofing-Versuchen auf E-Mail-Blocklisten gerät. Mit DMARC zeigst du der Welt: Diese Domain kümmert sich um sichere E-Mail!
  • Erfüllung von Provider-Anforderungen: Seit 2024 haben einige E-Mail-Provider strengere Vorgaben eingeführt. Beispielsweise verlangen Gmail und Yahoo nun von Versendern, die sehr viele E-Mails pro Tag an ihre Nutzer schicken, einen gültigen DMARC-Eintrag. Wer z.B. über 5.000 E-Mails täglich versendet, muss DMARC nutzen, sonst werden E-Mails möglicherweise abgelehnt. Auch dies zeigt: DMARC entwickelt sich zum neuen Standard und gehört zur zeitgemäßen E-Mail-Konfiguration dazu.
SPF und DKIM einrichten

Voraussetzungen: SPF und DKIM einrichten

Bevor wir in die Schritt-für-Schritt Anleitung gehen, ein wichtiger Hinweis: DMARC funktioniert nur effektiv, wenn SPF und DKIM korrekt für deine Domain eingerichtet sind. DMARC prüft nämlich die Ergebnisse dieser beiden Verfahren. Falls du SPF/DKIM noch nicht kennst, hier ein Kurzüberblick für Einsteiger:

  • SPF (Sender Policy Framework): Über SPF teilst du den E-Mail-Empfängern mit, welche Server im Namen deiner Domain E-Mails senden dürfen. Dazu legt man einen SPF-Eintrag im DNS der Domain an (ein TXT-Record), in dem autorisierte E-Mail-Server aufgelistet sind. Beim Empfang einer Mail prüft der Mailserver per SPF-Abgleich, ob die absendende IP-Adresse in dieser Liste steht. So verhindert SPF, dass Fremde von beliebigen Servern aus deine Domain verwenden. (Beispiel: In dem SPF-Eintrag steht z.B. dass mailserver.deinedomain.com und der Server deines Newsletter-Dienstleisters senden dürfen, alle anderen nicht.)
  • DKIM (DomainKeys Identified Mail): DKIM arbeitet mit digitalen Signaturen. Deine ausgehenden E-Mails werden automatisch mit einer Art kryptografischem Siegel versehen, das nur zu deiner Domain passt. Der öffentliche Schlüssel dazu steht in einem DNS-Eintrag deiner Domain. Der empfangende Mailserver prüft anhand dieses Schlüssels, ob die E-Mail unterwegs unverändert blieb und wirklich von einem Server deiner Domain signiert wurde. DKIM stellt also die Integrität und Absender-Domain der Mail sicher. Wenn jemand versucht, den Inhalt zu verändern oder unter falscher Identität zu senden, schlägt die DKIM-Prüfung fehl.

Hast du SPF und DKIM eingerichtet (viele Mail-Provider helfen dabei mit Anleitungen, weil es inzwischen Best Practice ist), kannst du den nächsten Schritt gehen: DMARC einführen. Ohne SPF/DKIM macht DMARC keinen Sinn – richte diese also zuerst ein, falls noch nicht geschehen.

DMARC Schritt-für-Schritt einrichten

Nun kommen wir zum praktischen Teil: Wie richtet man DMARC ein? Keine Sorge – es ist weniger kompliziert, als es klingt. Im Wesentlichen fügst du deiner Domain einen speziellen DNS-Eintrag hinzu. Gehe die folgenden Schritte durch:

1. Vorbereitungen treffen: Überprüfe zunächst, dass deine Domain bereits einen gültigen SPF-Eintrag besitzt und dass DKIM-Signaturen für deine ausgehenden E-Mails gesetzt werden. Ohne diese Grundlagen bringt DMARC nichts. Notiere dir auch eine E-Mail-Adresse, an die du später die Berichte erhalten möchtest – oft nimmt man etwas wie postmaster@deinedomain.de oder eine spezielle Adresse dmarc-reports@deinedomain.de. Sie sollte unter deiner eigenen Domain liegen und E-Mails empfangen können.

2. Passende DMARC-Policy wählen: DMARC bietet drei Stufen von Richtlinien (Policies), die du für deine Domain festlegen kannst. Überlege dir, mit welcher du starten möchtest:

  • p=none (Monitor-Modus): Hierbei werden keine besonderen Maßnahmen ergriffen, wenn eine Mail die Prüfung nicht besteht. Das bedeutet, die E-Mail wird normal zugestellt wie sonst auch. Warum überhaupt „none“? Diese Einstellung dient zum Einstieg: Du sammelst erst einmal Berichte, ohne dass legitime Mails gefährdet werden. None ist perfekt, um Daten zu sammeln und die Lage einzuschätzen.
  • p=quarantine (Quarantäne): Bei dieser Policy sollen Mails, die die DMARC-Prüfung nicht bestehen, als verdächtig behandelt werden. In der Praxis landen sie meist im Spam-Ordner des Empfängers (oder werden entsprechend markiert). Quarantäne bietet schon Schutz, aber lässt dem Empfänger noch die Möglichkeit, in den Spam zu schauen, falls es doch ein False Positive war.
  • p=reject (Ablehnen): Das ist die strengste Stufe. E-Mails, die die Authentifizierung nicht bestehen, werden gar nicht zugestellt – der empfangende Server lehnt sie direkt ab. Das bietet den höchsten Schutz, da betrügerische Mails komplett geblockt werden. Diese Policy sollte dein Endziel sein, wenn du DMARC vollständig durchsetzen willst.

Für den Anfang wird empfohlen, mit “p=none” zu beginnen, also erst einmal im Monitor-Modus. So kannst du gefahrlos DMARC aktivieren und Erfahrungen sammeln, ohne dass versehentlich wichtige Mails verloren gehen. Du wirst später sehen, wie du schrittweise auf „quarantine“ und dann „reject“ erhöhen kannst, sobald alles sauber läuft.

3. DMARC-Eintrag erstellen (DNS Record): Jetzt geht es ans Eingemachte – wir erstellen den DMARC-Eintrag, der in dein DNS kommt. Ein DMARC-Eintrag ist ein TXT-Record in deinem Domain Name System unter einer ganz bestimmten Subdomain:

  • Name/Host: _dmarc.deinedomain.de (wichtig: immer mit _dmarc. davor, das ist fest vorgeschrieben).
  • Wert (Value): eine Zeichenkette, die mit v=DMARC1 beginnt, gefolgt von Parametern.

Ein einfaches Beispiel für eine Domain example.com könnte so aussehen:

Host: _dmarc.example.com  
Wert (TXT): v=DMARC1; p=none; rua=mailto:reports@example.com

Erklärung: v=DMARC1 legt die Protokollversion fest (immer DMARC1), p=none ist die Policy (hier Monitor-Modus), und rua=mailto:reports@example.com gibt an, wohin die aggregierten Berichte geschickt werden sollen. Diese Berichte nennt man „Aggregate Reports“ – sie fassen tägliche Informationen zusammen. Du kannst hier eine oder mehrere E-Mail-Adressen angeben (durch Komma getrennt), meist verwendet man eine spezielle Postfachadresse nur für DMARC-Berichte.

Du kannst optional noch ruf=mailto:... für Forensik-Berichte hinzufügen (diese sind detaillierter pro Einzelfall, aber werden aus Datenschutzgründen heute kaum noch versendet). Für den Einstieg reicht rua. Außerdem kannst du weitere Parameter setzen, zum Beispiel:

  • pct=100 (Prozentsatz der Mails, auf die die Policy angewendet wird, Standard ist 100%. Man kann hier z.B. pct=20 setzen, um zunächst nur 20% der fehlgeschlagenen Mails zu filtern – das nutzt man beim schrittweisen Einführen von Quarantäne/Reject.)
  • sp=... (Policy für Subdomains, falls deine Domain Subdomains hat, die Mails senden. Wenn nicht gesetzt, gilt die Haupt-Policy auch für Subdomains.)
  • adkim und aspf (Alignment-Modus für DKIM/SPF, standard r für relaxed. Für Einsteiger kann man diese meist auf relaxed lassen. Strict (s) würde verlangen, dass die Absenderdomain genau übereinstimmt, relaxed akzeptiert auch Unterdomains.)
  • fo=... (Failure Reporting Options, legt fest, wann Forensikberichte ausgelöst würden – für den Anfang kann man das weglassen oder auf 0 belassen, was nur Bericht sendet, wenn beide SPF und DKIM fehlschlagen.)

Für den Anfang muss man sich aber nicht in jeden Parameter vertiefen. Ein minimaler DMARC-Eintrag mit v=DMARC1; p=none; rua=mailto:deinreport@deinedomain.de ist absolut ausreichend, um zu starten. Diesen erstellst du nun. Viele Domain-Registrare oder DNS-Anbieter haben eine Weboberfläche, in der du DNS-Einträge hinzufügen kannst. Dort wählst du TXT-Eintrag aus, gibst im Feld Name/Host _dmarc ein und im Wertfeld die oben zusammengestellte DMARC-Policy.

DMARC-Eintrag im DNS veröffentlichen

4. DMARC-Eintrag im DNS veröffentlichen: Speichere nun diesen neuen DNS-Eintrag. Je nach Provider kann es einige Minuten bis Stunden dauern, bis der DMARC-Record weltweit aktiv ist. Du kannst prüfen, ob alles geklappt hat, indem du einen DNS Lookup (NSLOOKUP) ausführst (z.B. mit Tools wie MXToolbox oder dem Kommandozeilen-Tool dig). Suche nach _dmarc.deinedomain.de TXT – es sollte genau der Text erscheinen, den du eingetragen hast. Wenn das passt, ist DMARC ab sofort aktiv! Zumindest im Monitor-Modus.

5. Berichte empfangen und analysieren: Nachdem DMARC aktiv ist, fangen Mailserver an, Berichte an die von dir angegebene Adresse (rua) zu senden. Typischerweise erhältst du einmal täglich pro empfangenden Mail-Provider einen Aggregat-Bericht im XML-Format. Diese Dateien wirken auf den ersten Blick kryptisch, aber ihr Inhalt ist goldwert: Sie zeigen für jede Absenderquelle (IP-Adresse oder Dienst), wie viele Mails gekommen sind und ob SPF/DKIM/DMARC jeweils pass oder fail hatten.

Am Anfang wirst du vielleicht staunen, wer alles E-Mails in deinem Namen sendet. Häufig sieht man bekannte Dienste, die du nutzt (z.B. dein Webserver, ein Newsletter-Service, vielleicht Google/Microsoft falls du deren Maildienste einsetzt). In den Berichten erkennst du, ob diese legitimen Quellen alle richtig konfiguriert sind – nämlich SPF und/oder DKIM vorhanden und auf deine Domain ausgerichtet. Du erkennst aber auch eventuell unbekannte Absender. Das könnten Angreifer sein, die versuchen, deine Domain zu missbrauchen, oder technische Weiterleitungen, die SPF brechen.

Für die Auswertung der XML-Dateien gibt es Hilfsmittel: Du kannst sie z.B. auf Websites von DMARC-Analysetools hochladen oder Plugins verwenden, die das XML lesbar aufbereiten. Einige bevorzugen, diese Berichte mit Tools wie EasyDMARC, Dmarcian oder DMARC Analyzer auszuwerten, die schöne Dashboards bieten. Im Grunde reicht aber schon ein einfacher Blick, um zu sehen: „Welche Absender sind nicht okay?“. Notiere dir, falls irgendwelche wichtigen E-Mails die DMARC-Prüfung nicht bestanden haben. Möglicherweise musst du für solche Fälle nachbessern (z.B. SPF-Eintrag ergänzen, DKIM-Schlüssel einrichten oder ähnliches). Ziel ist, dass alle legitimen Mailquellen irgendwann sauber authentifiziert sind.

Beispielhafte Darstellung einer Sicherheitsprüfung: DMARC gleicht eingehende E-Mails mit den SPF/DKIM-Informationen deiner Domain ab (Zahnrad = Prüfung). Enthält eine Nachricht manipulierten Inhalt oder kommt von einem nicht autorisierten Server (Virus-Symbol), wird sie gemäß deiner Richtlinie zurückgehalten. Die Auswertung der DMARC-Berichte zeigt dir genau, welche Nachrichten durchgefallen sind und warum – so kannst du deine Einstellungen optimieren.

6. Policy schrittweise verschärfen: Hast du über einige Wochen den Monitor-Modus laufen gelassen und genügend Berichte gesammelt, kannst du den nächsten Schritt gehen: die Policy anziehen. Überprüfe zuvor, ob in den Berichten noch legitime Mails auftauchen, die DMARC nicht bestehen – diese solltest du lösen, bevor du strengere Regeln setzt. Wenn alles gut aussieht, ändere deinen DMARC-Eintrag:

  • Setze p=quarantine und eventuell zunächst pct=50 (das würde 50% der fehlgeschlagenen Mails in Quarantäne schicken, 50% noch „durchwinken“). Oder direkt pct=100, wenn du sehr zuversichtlich bist. Speichere den geänderten DMARC-Record im DNS ab.
  • Beobachte erneut einige Zeit die Berichte. Idealerweise siehst du jetzt, dass Empfänger-Server Meldungen liefern à la „X Mails wurden entsprechend Policy quarantined/gesperrt“.
  • Wenn auch im Quarantäne-Modus keine negativen Überraschungen auftauchen (keine wichtigen Mails gehen verloren), kannst du schließlich auf p=reject; pct=100 erhöhen. Damit erzielst du maximale Wirkung: Ab diesem Punkt wissen alle unterstützenden Mailserver, dass kein Unfug mehr mit deiner Domain geduldet wird – und sie werden unautorisierte Mails komplett ablehnen.

7. Kontinuierlich überwachen: E-Mail-Landschaften ändern sich. Füge deshalb DMARC-Berichte weiterhin im Blick. Vielleicht startest du einen neuen Newsletter-Service oder ein Mitarbeiter nutzt einen neuen Cloud-Dienst, der E-Mails in eurem Namen sendet – solche Änderungen sollte man im DMARC-Report sehen und dann proaktiv SPF/DKIM dafür einrichten. DMARC ist kein „einmal einschalten und vergessen“-Thema, sondern eher ein fortlaufender Prozess der Pflege. Aber mit der Zeit wird es Routine, und die Sicherheitsgewinne sind die Mühe wert.

Fazit

DMARC mag anfangs technisch wirken, doch es ist eines der effektivsten Werkzeuge, um Vertrauen im E-Mail-Verkehr zu schaffen. Gerade für Einsteiger im Bereich E-Mail-Sicherheit bietet DMARC einen klaren Mehrwert: Es schützt deine Domain vor Identitätsdiebstahl und Missbrauch. Durch die Kombination von SPF und DKIM mit einer einheitlichen Richtlinie stellst du sicher, dass Empfänger deinen E-Mails vertrauen können.

Die Einrichtung von DMARC ist mit unserer Anleitung auch ohne tiefes Expertenwissen machbar. Du hast gelernt, schrittweise von Monitoring zu Quarantäne bis Ablehnung zu gelangen und dabei jederzeit die Übersicht über deine E-Mail-Flows zu behalten. Sobald DMARC auf „Reject“ steht, kannst du beruhigt sein: Niemand kann ungesehen so tun, als wäre er dich – zumindest nicht per E-Mail.

Abschließend bleibt zu sagen: DMARC ist heutzutage ein Must-have für jede Domain, die E-Mails versendet. Es stärkt deine Marke, verbessert die Zustellbarkeit legitimer Nachrichten und hält kriminelle Phishing-Versuche fern. Nimm dir die Zeit, DMARC umzusetzen – deine Kunden, Partner und die IT-Sicherheit werden es dir danken. Viel Erfolg beim Einrichten von DMARC und auf dass deine E-Mails stets sicher ankommen!

– Microsoft Authenticator auf ein anderes Smartphone übertragen
– Wie lautet meine private und öffentliche IP-Adresse?