DMARC (Domain-based Message Authentication, Reporting and Conformance) hilft Domaininhabern, exakte Domain-Imitationen zu stoppen, die Zustellbarkeit zu verbessern und Transparenz über alle Absender zu erhalten. DMARC baut auf SPF und DKIM auf und weist empfangende Server an, wie Nachrichten zu behandeln sind, die Authentifizierung und Alignment nicht bestehen. Dieser Artikel erklärt die DMARC-Richtlinien und beschreibt einen sicheren, nachvollziehbaren Weg zur Durchsetzung, inklusive praxisnaher Hinweise, wie DMARCFlow die Umsetzung beschleunigt.

Was die DMARC-Richtlinien bewirken

Der DMARC-Eintrag ist ein DNS-TXT-Record mit Tags, die festlegen, wie streng empfangende Server mit fehlschlagenden Nachrichten umgehen. Zentrales Tag ist p (Policy):

Richtlinie Wirkung bei Fehlschlag Einsatzzeitpunkt
p=none Keine Zustellmaßnahme; Zustellung wie gewohnt. Sie erhalten Aggregatberichte (RUA) und optional forensische Berichte (RUF) zur Sichtbarkeit. Startphase für Überwachung und Discovery. Nicht dauerhaft verwenden, da Nutzer sonst weiter Spoofing ausgesetzt sind.
p=quarantine Empfänger verschieben fehlschlagende Mails in Spam oder Quarantäne. Zwischenstufe, um Durchsetzung mit geringem Risiko zu testen und Alignment zu verfeinern.
p=reject Empfänger lehnen fehlschlagende Mails am Gateway ab. Zielzustand zum Schutz vor Domain-Spoofing, sobald legitime Absender SPF oder DKIM mit Alignment bestehen.

Schritt-für-Schritt zur Durchsetzung

  1. p=none mit Reporting veröffentlichen. RUA (und optional RUF) aktivieren und den Eingang der Berichte sicherstellen.
  2. Alle Absender erfassen und authentifizieren. Pro Dienst SPF und DKIM korrekt setzen. Alignment sicherstellen: Return-Path (SPF) und DKIM d= sollen mit der sichtbaren From-Domain übereinstimmen.
  3. pct für die schrittweise Durchsetzung nutzen. Zuerst mit pct=25 (oder ähnlich) testen; bei Bedarf sp für Subdomain-Policy setzen. Auswirkungen beobachten und den Wert erhöhen.
  4. Auf p=quarantine wechseln. Bei hoher Compliance (häufig 98%+ legitime Mails) Quarantäne aktivieren. Bounces und Spamfolder weiterhin überwachen.
  5. Auf p=reject anheben. Sobald alle legitimen Quellen bestehen und ausgerichtet sind, auf Reject wechseln. Neue Sender und Konfigurationsdrift kontinuierlich überwachen.
  6. Pflege als Programm. DMARC ist laufender Betrieb: DKIM-Schlüssel rotieren, SPF-Auflösungen prüfen, neue Anbieter auditieren, Shadow IT und Lookalike-Domains beobachten.

Wichtige DMARC-Tags

  • rua= Ziele für Aggregatberichte.
  • ruf= Ziele für optionale Forensik (wo zulässig).
  • pct= Prozentsatz, auf den die Policy angewendet wird (stufenweiser Rollout).
  • sp= Subdomain-Policy (kann von der Hauptdomain abweichen).
  • aspf= und adkim= Alignment-Modi (relaxed/strict) für SPF und DKIM.
  • fo= Optionen für Failure-Reporting (wo erlaubt).

Häufige Stolpersteine

  • Dauerhaftes p=none. Monitoring ist kein Schutz. Ziele für Quarantäne und Reject festlegen.
  • Zu viele SPF-Lookups. SPF-Eintrag refaktorieren, Includes konsolidieren, Guardrails nutzen.
  • DKIM nicht ausgerichtet. DKIM-Signaturdomain organisatorisch zur From-Domain ausrichten.
  • Kein Verantwortlicher pro Absender. Business- und Technikverantwortung klar zuweisen.
  • Subdomains vergessen. sp gezielt setzen und versteckte oder historische Subdomains entdecken.

So unterstützt DMARCFlow den gesamten Prozess

DMARCFlow ist entlang des praktischen Pfads gebaut: entdecken, authentifizieren, durchsetzen, pflegen. Die Pläne decken Reifegrad und Skalierung ab.

Standard-Plan (schneller Start)

Specs: 5 Domains, 3 Benutzer, 12 Monate Datenhaltung, bis 300k DMARC-Nachrichten pro Monat.

Features: RUA plus optional RUF; Dashboards und Trendanalysen; Source Discovery; Policy-Progression (none zu quarantine zu reject); Alerts (Anomalien, neue Absender, Auth-Fehler); PDF/CSV-Exporte und geplante Zusammenfassungen; Webhook für Basis-Automatisierung; Zwei-Faktor-Auth; Geo-Maps; automatische Subdomain-Erkennung; sichere SPF-Checks (Linting, Read-only Guidance); grundlegende MTA-STS- und TLS-RPT-Sichtbarkeit; mehrsprachige UI; 8x5 E-Mail-Support; 99,99% Uptime (Critical: 4 h; High: 1 Business Day). Preis: 45 USD/Monat oder 460 USD/Jahr (–15%).

Enterprise-Plan (Skalierung und Governance)

Specs: 25 Domains, 10 Benutzer, 36 Monate Datenhaltung, bis 3 Mio. DMARC-Nachrichten pro Monat.

Features: Erweitertes RBAC und Audit-Log; SSO (SAML/OIDC) und SCIM; erweiterte API (Write, wo sinnvoll); native Connectoren (Splunk, QRadar, Elastic); Ticketing-Integrationen (Jira, ServiceNow); Datenresidenz-Optionen (z. B. EU); RUF-Verarbeitung und Viewer; dynamisches, sicheres SPF-Management (Flattening, Auto-Includes, Lookup-Guardrails, Vorschlags-Records); Domain-Blacklist- und Lookalike-Monitoring; adaptive Alerts (Slack, Teams, SIEM); Workspaces und Domain-Gruppen mit granularen Rechten; BIMI-Readiness-Checks; MTA-STS- und TLS-RPT-Hosting; 24x7 Critical Support mit benanntem TAM; 99,99% Uptime (Critical: 30 min; High: 2 h). Preis: 300 USD/Monat oder 3.000 USD/Jahr (–15%).

Enterprise+ Plan (Ergebnisse und operative Unterstützung)

Specs: Unbegrenzte Domains, 100 Benutzer, 60 Monate Datenhaltung, individuelles Volumen.

Features: Dedizierter DMARC-Ingenieur und CSM; Hands-on Rollout (SPF-Bereinigung, DKIM-Keying, gestaffelte Durchsetzung); wöchentliche Betriebs-Check-ins und monatliche Executive-Reports; BIMI-Readiness und VMC-Koordination; Threat Intelligence und IP-Reputations-Anreicherung; Managed DKIM (Key Rotation); Managed SPF (Policy-Automation); vierteljährliche Executive Business Reviews und Roadmap; kundenspezifische Datenhaltung und BYO Storage; benannte On-Call-Eskalation; Mehrjahresrabatte; 24x7 benannte Eskalation; individuelle Runbooks und Response-SLAs; vierteljährliche Posture-Reviews; 99,99% Uptime. Preis: 500 USD/Monat oder 5.000 USD/Jahr (–15%).

Bonuses für Enterprise und Enterprise+

  • Onboarding-Workshop (4 h remote)
  • 30-Tage Evaluationsfenster (jederzeit kündbar in 30 Tagen)
  • Monatliche Executive-Reports (Zustellbarkeit, Bedrohungstrends, ROI)
  • Vierteljährliche Security-Briefings (Bedrohungen und Maßnahmen)
  • Managed DNS-Updates und kontinuierliches Monitoring
  • Jährliche Executive Threat Simulation mit Trainingsplan

Fazit

  • Reject ist das Ziel: hier wird Domain-Spoofing effektiv gestoppt.
  • Mit pct, Quarantäne und Subdomain-Policy lässt sich das Risiko schrittweise senken.
  • DMARC ist ein Programm mit laufender Pflege, kein Einmal-Projekt.
  • DMARCFlow bietet Funktionen und Support entlang aller Meilensteine - von den ersten Berichten bis zum vollständigen Reject über viele Domains.

← Zurück zur Übersicht