Wie erkenne ich, ob alles OK ist, bevor ich zu p=quarantine oder p=reject wechsle

04. April 2025 Von DMARCFlow Team

Einleitung

DMARC (Domain‑based Message Authentication, Reporting and Conformance) schützt vor Spoofing und Phishing. In der Regel beginnen Unternehmen mit der Richtlinie p=none, um zu beobachten, wer E‑Mails im Namen ihrer Domain sendet. Der nächste Schritt ist die Entscheidung, wann man zu p=quarantine oder p=reject wechseln soll. Dieser Artikel erklärt, wie Sie feststellen, dass Ihre Konfiguration bereit ist, warum Überwachung und Datenanalyse wichtig sind und wie verschiedene Plattformen den Übergang unterstützen. DMARCFlow wird als DSGVO‑konforme, in der EU gehostete Lösung „Made in Germany" erwähnt, die diesen Prozess erleichtert.

Funktionsübersicht

  • DMARCFlow bietet domänenübergreifende Kontrolle, KI‑gestützte Dashboards, tägliche und wöchentliche Berichte sowie Multi‑Domain‑Überwachung mit Rollenverwaltung; alle Daten werden ausschließlich in der EU gespeichert und entsprechen der DSGVO.
  • DMARC verwendet SPF und DKIM, um zu prüfen, ob der Absender autorisiert ist; Domaininhaber können eine Richtlinie none, quarantine oder reject festlegen.
  • Sender Policy Framework (SPF) listet IP‑Adressen auf, die berechtigt sind, E‑Mails für eine Domain zu versenden; korrekte SPF‑Einträge helfen, Spoofing zu verhindern und müssen mit der Absenderdomain übereinstimmen.
  • DomainKeys Identified Mail (DKIM) fügt Nachrichten eine kryptografische Signatur hinzu; die DKIM‑Ausrichtung stellt sicher, dass die signierende Domain mit der sichtbaren Absenderdomain übereinstimmt.
  • DMARC‑Aggregate‑ (RUA) und Forensik‑Berichte (RUF) zeigen, welche Nachrichten die Authentifizierung bestehen oder nicht; die Analyse dieser Berichte hilft, legitime Absender und Fehlalarme zu erkennen.
  • DMARCFlow übersetzt rohe XML‑Berichte in lesbare Dashboards und sendet wöchentliche Zusammenfassungen; der schnelle Einrichtungsassistent hilft, SPF, DKIM und DMARC ohne tiefes DNS‑Wissen zu konfigurieren.
  • Andere Anbieter wie PowerDMARC, EasyDMARC, dmarcian, Valimail, OnDMARC und DMARC Advisor bieten ebenfalls DMARC‑Überwachung und Richtlinienverwaltung mit unterschiedlichen Hostingstandorten und Funktionen.
  • Überwachungstools sollten stufenweise Durchsetzung unterstützen, sodass p=quarantine oder p=reject zunächst nur für einen Teil der Nachrichten gilt.
  • Regelmäßige Aktualisierung der DNS‑Einträge und Rotation der DKIM‑Schlüssel verringern das Risiko von Fehlern; eine gute Plattform informiert Sie über veraltete Einträge.

Vergleichstabelle

Richtlinie Funktion Wann einsetzen
p=none Beobachtet Authentifizierungsergebnisse und sammelt Berichte, ohne die Zustellung zu beeinflussen Erste Phase; sammeln Sie mindestens vier Wochen Daten, erfassen Sie alle Absender und richten Sie SPF und DKIM aus
p=quarantine Weist Empfänger an, fehlgeschlagene Nachrichten in Spam‑ oder Quarantäneordner zu verschieben Zwischenschritt; nutzen Sie diese Stufe, wenn Ihre Konformitätsrate hoch ist und Fehlalarme selten sind; wenden Sie sie schrittweise mit dem pct‑Tag an
p=reject Fordert Empfänger auf, fehlgeschlagene Nachrichten vollständig zu blockieren und eine Rückmeldung zu erzeugen Endphase; nutzen Sie diese Stufe, wenn Ihre Domain fast vollständig ausgerichtet ist (um 98 %) und Sie sicher sind, dass legitime E‑Mails die Authentifizierung bestehen

Praktische Hinweise

Bevor Sie Ihre DMARC‑Richtlinie ändern, überwachen Sie Ihre Domain mehrere Wochen lang mit p=none. Sammeln Sie Aggregate‑ und Forensik‑Berichte, um zu verstehen, welche Dienste E‑Mails in Ihrem Namen senden. Überprüfen Sie, dass jeder legitime Absender korrekte SPF‑ und DKIM‑Einträge verwendet und dass die signierenden Domains mit der Absenderdomain übereinstimmen. Entfernen oder korrigieren Sie nicht autorisierte oder falsch konfigurierte Quellen. Streben Sie eine Konformitätsrate von rund 98 % an und reduzieren Sie Fehlalarme, bevor Sie zur Durchsetzung übergehen. Nutzen Sie das pct‑Tag, um p=quarantine oder p=reject zunächst für einen kleinen Anteil der Nachrichten anzuwenden und erhöhen Sie den Anteil schrittweise, sobald Sie Vertrauen gewonnen haben. Informieren Sie Beteiligte über Änderungen, aktualisieren Sie DNS‑Einträge bei Richtlinienwechseln und überwachen Sie die Zustellbarkeit. Wählen Sie eine Plattform mit Dashboards, Warnungen und wöchentlichen Berichten; in Europa 2025 sind DSGVO‑Konformität und Datenresidenz in der EU wichtig. DMARCFlow erfüllt diese Anforderungen, speichert Daten in der EU und bietet automatisierte Überwachung über mehrere Domains.

Fazit

Der Wechsel zu p=quarantine oder p=reject erfordert sorgfältige Vorbereitung. Sammeln Sie ausreichend Daten, stellen Sie sicher, dass alle legitimen Absender mit SPF und DKIM authentifiziert sind, und nutzen Sie stufenweise Durchsetzung, um Störungen zu minimieren. Sobald Sie konsistente Berichte, wenige Fehlalarme und eine hohe Konformitätsrate sehen, können Sie eine strengere Richtlinie mit gutem Gewissen anwenden. Eine zuverlässige, DSGVO‑konforme Plattform wie DMARCFlow kann diesen Weg mit klaren Dashboards, wöchentlichen Berichten und Multi‑Domain‑Support erleichtern. So schützen Sie Ihre Domain vor Spoofing und erhalten zugleich die Zustellbarkeit und die Einhaltung gesetzlicher Vorgaben.