DMARC steht für Domain-based Message Authentication, Reporting und Conformance und ist ein Sicherheitsstandard für E-Mails. Mit diesem Protokoll können Domain-Inhaber den Empfangsservern mitteilen, wie sie E-Mails behandeln sollen, die die Prüfungen von Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) nicht bestehen. DMARC verhindert, dass Angreifer Ihre Domain in der sichtbaren Absenderzeile fälschen. Es schützt vor Phishing, Business-Email-Compromise und anderen Betrugsversuchen. Außerdem liefert es Berichte, die zeigen, wer in Ihrem Namen E-Mails versendet und ob diese authentifiziert sind.

Grundlagen von DMARC und seine Bestandteile

DMARC baut auf SPF und DKIM auf. SPF ermöglicht es einem Domain-Inhaber, im DNS die IP-Adressen oder Mailserver zu veröffentlichen, die zum Versand berechtigt sind. DKIM verwendet kryptografische Signaturen, um nachzuweisen, dass der Inhalt einer E-Mail und die Absenderadresse seit dem Versand nicht verändert wurden. DMARC verknüpft beide Verfahren: Es prüft, ob die Domain im sichtbaren Absender („From") mit den Domains aus SPF und DKIM übereinstimmt. Bestehen entweder SPF oder DKIM und stimmen die Domains überein, gilt die DMARC-Prüfung als bestanden; andernfalls schlägt sie fehl.

Ein DMARC-Eintrag ist ein Textrecord im DNS unter der Subdomain _dmarc.ihrdomainname.de. Er enthält eine Reihe von Tags mit Werten, die durch Semikola getrennt sind. Wichtige Tags sind:

  • v: Die Version des Standards, immer DMARC1.
  • p: Die Richtlinie für den Umgang mit nicht authentifizierten E-Mails. Gültige Werte sind none, quarantine und reject.
  • rua: Eine oder mehrere Adressen, an die tägliche Sammelberichte gesendet werden.
  • ruf: Eine Adresse für Fehlerberichte, die bei einem Misserfolg versendet werden.
  • adkim und aspf: Ausrichtung für DKIM und SPF (r locker, s streng).
  • pct: Prozentsatz der fehlgeschlagenen Nachrichten, auf die die Richtlinie angewendet wird.
  • sp: Separate Richtlinie für Subdomains (optional).

Beispiel-Record:

v=DMARC1; p=reject; rua=mailto:dmarcreports@beispiel.de; ruf=mailto:dmarc-errors@beispiel.de; adkim=s; aspf=s; pct=100;
RichtlinieBedeutungVerhaltenAnwendungsfall
noneNur ÜberwachungZustellenStartphase
quarantineVerdächtigSpam-OrdnerÜbergang
rejectDurchsetzungAblehnenEndzustand

Wie DMARC mit SPF und DKIM funktioniert

Wenn ein Mailserver eine Nachricht empfängt …

  1. SPF gegen Envelope-From prüfen und auf From-Ausrichtung achten.
  2. DKIM-Signaturen prüfen und d= gegen From ausrichten.
  3. Mindestens eine Prüfung + Ausrichtung = DMARC bestanden.
  4. Richtlinie (p) anwenden: zustellen, Spam, ablehnen.
  5. Tägliche RUA-Berichte, optionale RUF-Berichte.

Ausrichtung: streng (= identische Domains) vs. locker (= Organisationsdomäne).

Warum DMARC wichtig ist

E-Mail ist ein bevorzugtes Einfallstor … Ohne DMARC können Angreifer trotz vorhandener SPF/DKIM die Absenderadresse fälschen … DMARC verbessert Sicherheit, Zustellbarkeit und ist Voraussetzung für BIMI.

DMARC-Berichte und Monitoring

Sammelberichte (RUA) im XML-Format … Forensik (RUF) für Einzelfälle … Manuelle Auswertung ist aufwändig, Tools/Plattformen helfen.

DMARC Schritt für Schritt einführen

  1. Vorbereitung. SPF/DKIM korrekt einrichten, Absender inventarisieren.
  2. Monitoring-Record. p=none, rua= setzen, locker starten.
  3. Berichte auswerten. Legitimes vs. illegitimes Senden erkennen, Konfigurationen fixen.
  4. Durchsetzung erhöhen. p=quarantine, optional pct.
  5. Auf reject wechseln. Danach weiter beobachten.
  6. Wartung. Bei neuen Diensten/Domains Records pflegen, Provider-Vorgaben im Blick behalten.

Herausforderungen: Mailinglisten/Weiterleitungen (brechen DKIM), Umschreiben der From-Adresse, Drittanbieter korrekt konfigurieren.

Die richtige DMARC-Lösung wählen

DMARCFlow bietet u. a. AI-Monitoring, übersichtliche Dashboards, geführte Einrichtung, Multi-Domain-Verwaltung, umfassende Reports, EU-Datenschutz (DSGVO), schnellen Start und echten Support.

Fazit

DMARC verknüpft Absenderadresse mit authentifizierten Domains, verbessert Sicherheit & Zustellung. Mit einer Plattform wie DMARCFlow gelingt der Weg zur DMARC-Konformität schneller und nachhaltiger.

← Zurück zur Übersicht