1. Was bedeutet DMARC-Konformität genau?
Eine E-Mail gilt als DMARC-konform, wenn zwei Voraussetzungen gleichzeitig erfüllt sind:
- Es ist ein gültiger DMARC-Record für die sendende Domain im DNS veröffentlicht.
- Die E-Mail besteht entweder SPF-Alignment oder DKIM-Alignment – oder beides.
Ein bloßer SPF-Pass reicht nicht. Wenn der SPF-Record zwar gültig ist, aber die geprüfte Domain nicht mit der sichtbaren From:-Domain übereinstimmt, ist die E-Mail trotzdem nicht DMARC-konform. Dieses Alignment-Konzept ist das Herzstück von DMARC und der häufigste Stolperstein in der Praxis.
Wichtig: Der DMARC-Record muss eine Policy enthalten (p=none, p=quarantine
oder p=reject). Ohne Policy ignorieren viele Mailserver den Record vollständig.
2. SPF-Alignment vs. DKIM-Alignment erklärt
Die beiden Alignment-Typen funktionieren unterschiedlich und werden separat geprüft:
| Merkmal | SPF-Alignment | DKIM-Alignment |
|---|---|---|
| Geprüfte Domain | Return-Path-Domain (MAIL FROM) | d=-Tag der DKIM-Signatur |
| Verglichen mit | From:-Header-Domain | From:-Header-Domain |
| Alignment-Modus | Strict (aspf=s) oder Relaxed (aspf=r) |
Strict (adkim=s) oder Relaxed (adkim=r) |
| Relaxed bedeutet | Subdomains der gleichen Organisationsdomain sind erlaubt | Subdomains der gleichen Organisationsdomain sind erlaubt |
| Typisches Problem | ESP verwendet eigene Bounce-Domain als Return-Path | ESP signiert mit eigener Domain statt mit From:-Domain |
Der Standard-Alignment-Modus ist Relaxed. Das bedeutet:
mail.beispiel.de besteht Alignment für beispiel.de, weil beide zur
gleichen Organisationsdomain gehören. Im Strict-Modus müssen die Domains exakt übereinstimmen.
3. Schritt-für-Schritt zur DMARC-Konformität
Der Weg zur vollständigen DMARC-Konformität lässt sich in fünf konkrete Schritte unterteilen:
Schritt 1: DMARC-Record prüfen
Starten Sie mit dem DMARC Checker. Er zeigt Ihnen, ob ein Record
vorhanden ist, welche Policy gesetzt ist und ob die Alignment-Einstellungen korrekt sind. Wenn noch
kein Record existiert, ist das der wichtigste erste Schritt.
Schritt 2: SPF prüfen
Nutzen Sie den SPF Checker, um Ihren SPF-Record zu validieren. Achten
Sie auf die 10-Lookup-Grenze und stellen Sie sicher, dass alle legitimen Versender in Ihrem
SPF-Record aufgeführt sind. Fehlende Einträge führen zu SPF-Fails und damit zu DMARC-Fehlern.
Schritt 3: DKIM prüfen
Mit dem DKIM Checker überprüfen Sie, ob Ihre DKIM-Signatur gültig ist
und ob der d=-Tag mit Ihrer From:-Domain übereinstimmt. Gerade wenn Sie
E-Mail-Dienstleister (ESPs) nutzen, ist dieser Schritt entscheidend.
Schritt 4: DMARC-Policy schrittweise verschärfen
Setzen Sie die Policy zunächst auf p=quarantine, dann auf p=reject.
Verwenden Sie den DMARC Generator, um den Record korrekt zu
erstellen. Aktivieren Sie unbedingt den rua-Tag, um Aggregate Reports zu empfangen –
nur so wissen Sie, was passiert.
Schritt 5: DMARC-Reports auswerten
DMARC-Reports kommen täglich als XML-Dateien von Mailservern weltweit. Sie zeigen, welche Server
E-Mails in Ihrem Namen versenden, wie viele davon DMARC-konform sind und wo Probleme auftreten. Ohne
Auswertung dieser Reports ist eine sichere Migration zu p=reject kaum möglich – hier
setzt DMARCFlow an.
4. Warum schlägt DMARC fehl, obwohl SPF und DKIM passen?
Das häufigste Missverständnis: SPF und DKIM bestehen, aber DMARC schlägt trotzdem fehl. Der Grund ist fast immer ein Alignment-Problem.
Ein typisches Beispiel: Sie nutzen Mailchimp für Newsletter. Mailchimp sendet E-Mails mit Ihrer
From:-Adresse (newsletter@beispiel.de), aber der Return-Path und die DKIM-Signatur
verwenden Mailchimps eigene Domain (mcsv.net). SPF und DKIM bestehen zwar für mcsv.net,
aber das Alignment schlägt fehl, weil mcsv.net nicht zur gleichen Organisationsdomain
wie beispiel.de gehört.
Die Lösung: Richten Sie bei Ihrem ESP eine Custom Domain ein, sodass DKIM mit
d=beispiel.de signiert wird. Die meisten großen ESPs (Mailchimp, Brevo, HubSpot etc.)
unterstützen das. Prüfen Sie anschließend mit dem DKIM Checker, ob
das Alignment korrekt ist.
5. Checkliste: DMARC-Konformität sicherstellen
- DMARC-Record ist im DNS vorhanden und syntaktisch korrekt
- Policy ist mindestens
p=quarantine, idealerweisep=reject rua-Tag ist gesetzt und E-Mail-Adresse für Reports ist aktiv- SPF-Record enthält alle legitimen Versender der Domain
- SPF-Record bleibt unter 10 DNS-Lookups
- DKIM-Signatur ist für alle sendenden Systeme aktiviert
- DKIM-
d=-Tag stimmt mit der From:-Domain überein (Alignment) - Return-Path-Domain stimmt mit der From:-Domain überein (SPF-Alignment)
- Subdomains sind separat abgesichert oder durch
sp=-Tag abgedeckt - DMARC-Reports werden regelmäßig ausgewertet
DMARC-Reports automatisch auswerten mit DMARCFlow
DMARCFlow liest Ihre DMARC-Aggregate Reports automatisch aus, visualisiert
Alignment-Fehler und zeigt Ihnen, welche Versender noch nicht konform sind – damit Sie sicher zu
p=reject wechseln können.