Was ist DMARC-Konformität und wie erreicht man sie

E-Mail-Spoofing und Phishing sind nach wie vor häufige Probleme. Angreifer können die Absenderadresse fälschen und Empfänger dazu bringen, bösartige Nachrichten zu öffnen. Doma

2025-10-24 · 7 min read

E-Mail-Spoofing und Phishing gehören zu den häufigsten und kostspieligsten Cyberangriffen. DMARC (Domain-based Message Authentication, Reporting and Conformance) ist das Protokoll, das diese Angriffe technisch unterbindet - indem es sicherstellt, dass nur autorisierte Systeme E-Mails im Namen deiner Domain senden können. DMARC-Konformität bedeutet, alle drei Authentifizierungsebenen (SPF, DKIM, DMARC) korrekt einzurichten und kontinuierlich zu überwachen.

Was DMARC-Konformität technisch bedeutet

Eine E-Mail gilt als DMARC-konform, wenn sie mindestens einen der folgenden Tests besteht:

  • SPF-Alignment: Die Domain im Return-Path (Envelope-Absender) stimmt mit der Domain im From-Header überein, und SPF gibt ein "pass" zurück.
  • DKIM-Alignment: Die Domain in der DKIM-Signatur (d=) stimmt mit der Domain im From-Header überein, und die Signaturprüfung ist erfolgreich.

Alignment kann in zwei Modi konfiguriert werden:

  • Relaxed (Standard): Subdomains der From-Domain werden akzeptiert. mail.beispiel.de gilt als aligned mit beispiel.de.
  • Strict: Nur exakte Übereinstimmung. mail.beispiel.de gilt nicht als aligned mit beispiel.de. Erhöht die Sicherheit, kann aber legitime Subdomains ausschließen.

Warum DMARC-Konformität heute Pflicht ist

Die regulatorischen und marktlichen Anforderungen an DMARC haben sich in kurzer Zeit stark verschärft:

  • Google und Yahoo (2024): Massenversender müssen DMARC p=quarantine oder höher für alle sendenden Domains implementieren, sonst werden Nachrichten abgeblockt.
  • PCI DSS v4 (ab März 2025): SPF, DKIM und DMARC sind als Mindestanforderung für E-Mail-Authentifizierung explizit gefordert.
  • NIS2 und ISO 27001: Beide Regularien erwarten technische Kontrollmaßnahmen für E-Mail-Sicherheit, wobei DMARC als Best-Practice-Kontrolle gilt.
  • Cyber-Versicherungen: Underwriter bewerten DMARC-Status als Risikoindikator - Domains ohne p=quarantine oder p=reject erhalten höhere Prämien oder eingeschränkten Schutz bei BEC-Schäden.

Die drei Schlüsselkomponenten im Detail

SPF: Autorisierte Absender definieren

SPF ist ein DNS-TXT-Record, der listet, welche Mailserver E-Mails von deiner Domain senden dürfen. Ein minimaler Record für eine reine Microsoft-365-Domain:

v=spf1 include:spf.protection.outlook.com ~all

Für Google Workspace: v=spf1 include:_spf.google.com ~all. Kritische Punkte: maximal 10 DNS-Lookups (RFC-Limit), kein +all (erlaubt jeden Server), alle aktuell genutzten Sendesysteme müssen eingetragen sein.

DKIM: Kryptografische Signatur

DKIM signiert jede ausgehende Nachricht mit einem privaten Schlüssel. Der öffentliche Schlüssel ist im DNS hinterlegt. Empfangende Server prüfen die Signatur und verifizieren damit, dass die Nachricht nicht manipuliert wurde und von einem autorisierten System stammt. DKIM überlebt Weiterleitungen - deshalb ist DKIM für stabile DMARC-Konformität wichtiger als SPF.

DMARC-Record: Policy und Reporting

Der DMARC-Record wird unter _dmarc.deinedomain.de als TXT-Record veröffentlicht. Ein vollständiger Startrecord:

v=DMARC1; p=none; rua=mailto:dmarc@deinedomain.de; ruf=mailto:forensics@deinedomain.de; fo=1; ri=86400

Die wichtigsten Parameter:

  • p=: Policy (none / quarantine / reject)
  • rua=: Adresse für tägliche Aggregatberichte
  • ruf=: Adresse für forensische Einzelberichte bei Fehlern
  • fo=1: Forensikberichte auch bei Einzelfehler senden
  • pct=: Prozentsatz der Nachrichten, auf die die Policy angewendet wird (für schrittweisen Rollout)
  • sp=: Separate Policy für Subdomains

Schritte zur vollständigen DMARC-Konformität

  1. Domänen inventarisieren. Alle Domains und Subdomains auflisten, inkl. Legacy-Domains aus Übernahmen. Für jede Domain prüfen, ob SPF, DKIM und DMARC bereits existieren.
  2. SPF für jede sendende Domain einrichten. Alle autorisierten Mailsysteme im SPF-Record listen. Lookup-Limit prüfen und ggf. Includes konsolidieren.
  3. DKIM für alle Mailstreams aktivieren. Transaktionale Mail, Marketing-Automation, Helpdesk - jedes System braucht DKIM-Signierung mit einer Domain, die zur From-Domain aligned ist.
  4. DMARC p=none mit rua-Reporting starten. 30 Tage Monitoring: Welche Quellen senden in deinem Namen? Was besteht, was schlägt fehl?
  5. Fehlschlagende Quellen bereinigen. Für jede failing source entscheiden: konfigurieren, migrieren oder abschalten.
  6. Auf p=quarantine eskalieren. Schrittweise mit pct=10 → pct=50 → pct=100. Zwei Wochen beobachten, dann weiter.
  7. Auf p=reject finalisieren. Der Zielzustand: Domain-Spoofing technisch unterbunden, Reputation aufgebaut, Compliance erfüllt.
  8. Kontinuierliches Monitoring einrichten. DMARC-Reports dauerhaft überwachen, neue Quellen automatisch erkennen, halbjährliche Audits durchführen.

Warum DMARCFlow DMARC-Konformität vereinfacht

Der größte Aufwand bei DMARC liegt nicht in der initialen Konfiguration, sondern im laufenden Monitoring. DMARCFlow automatisiert genau das:

  • Automatisches Report-Parsing: XML-Aggregatberichte werden täglich empfangen und in lesbare Dashboards umgewandelt.
  • Multi-Domain-Verwaltung: Alle Domains in einer Übersicht, inklusive Policy-Status und Alignment-Metriken.
  • DSGVO-konforme Datenverarbeitung: Alle Report-Daten werden ausschließlich in der EU gespeichert.
  • Compliance-Exporte: Dokumentation für Versicherungsaudits, ISO-Zertifizierungen und Behörden-Ausschreibungen mit einem Klick.
  • Früherkennung neuer Quellen: Alert, sobald ein unbekanntes System beginnt, E-Mails unter deiner Domain zu senden.

Fazit

DMARC-Konformität ist heute keine Option mehr, sondern eine Voraussetzung für sichere, zustellbare und compliance-konforme E-Mail-Kommunikation. Der Weg dorthin ist strukturierbar: Inventur, SPF/DKIM-Bereinigung, Monitoring mit p=none, schrittweise Eskalation zu p=reject. Starte noch heute mit dem DMARCFlow DMARC-Prüfer, um deinen aktuellen Konformitätsstatus zu sehen.

← Zurück zur Übersicht