Häufige Fragen zu DMARC.
Direkte Antworten auf die Fragen, die uns am häufigsten gestellt werden, zu DMARC, Monitoring, der Taskforce und DSGVO-konformer Datenhaltung.
Grundlagen.
Was DMARC ist, wie es mit SPF und DKIM zusammenspielt und was die Policy-Stufen bedeuten.
DMARC steht für Domain-based Message Authentication, Reporting & Conformance. Es ist ein E-Mail-Authentifizierungsprotokoll, das festlegt, was mit E-Mails passiert, die behaupten von deiner Domain zu kommen, aber es nicht nachweislich sind. DMARC baut auf SPF und DKIM auf und fügt eine Policy-Ebene hinzu: Zustellen, in Spam verschieben oder ablehnen.
Ausführliche Erklärung: Was ist DMARC? →Die drei DMARC-Policy-Stufen legen fest, was mit nicht-authentifizierten E-Mails passiert. p=none bedeutet: nichts wird blockiert, du bekommst nur Reports. p=quarantine bedeutet: verdächtige E-Mails landen im Spam-Ordner. p=reject bedeutet: verdächtige E-Mails werden vollständig abgelehnt und kommen nie an. p=reject ist das Schutzziel, aber der Weg dorthin braucht Vorbereitung.
Ja, und am besten beide. DMARC braucht mindestens einen der beiden Mechanismen (SPF oder DKIM) korrekt konfiguriert und auf eure Absenderdomain ausgerichtet. Empfehlung ist trotzdem, beide einzurichten: DKIM bleibt bei Weiterleitungen intakt, SPF wirkt unabhängig vom Mailinhalt. In der Praxis heißt das: DMARC einrichten ist der erste Schritt, aber alle sendenden Systeme müssen entweder in SPF oder in DKIM korrekt aligned sein.
Zustellrate beschreibt den Anteil gesendeter E-Mails, die tatsächlich beim Empfänger ankommen, aufgeteilt in zwei Ebenen. Technische Zustellung: Die E-Mail erreicht den Mailserver des Empfängers überhaupt, scheitert zum Beispiel durch Blacklisting oder p=reject. Inbox Placement: Die E-Mail landet im Posteingang und nicht im Spam, das entscheidet der Mailbox-Provider anhand der Sender-Reputation der Domain. DMARC beeinflusst primär die technische Zustellung. Inbox Placement verbessert sich langfristig durch eine saubere, konsistente DMARC-Konfiguration, aber DMARC ist kein Spam-Filter.
Indirekt ja, aber nicht direkt. DMARC stellt sicher, dass legitime E-Mails, die SPF und DKIM korrekt bestehen, nicht fälschlicherweise abgelehnt werden. Ob eine E-Mail im Posteingang oder im Spam landet, entscheidet der Mailbox-Provider anhand der Sender-Reputation, und die wird durch eine langfristig saubere DMARC-Konfiguration positiv beeinflusst. Wer nach der DMARC-Einrichtung schlechte Inbox-Placement-Raten hat, hat meistens ein Reputationsproblem, das unabhängig von DMARC besteht.
Zustellprobleme analysieren: DMARC Record prüfen →Alignment bedeutet, dass die Domain im From-Header einer E-Mail mit der Domain übereinstimmt, die SPF oder DKIM authentifiziert haben. Nur wenn dieses Alignment stimmt, gilt eine E-Mail als DMARC-konform. Es gibt zwei Modi: relaxed (Subdomains sind erlaubt) und strict (exakte Übereinstimmung erforderlich). Alignment ist das Herzstück von DMARC, und einer der häufigsten Fehler bei der Konfiguration.
RUA steht für Reporting URI for Aggregate reports. Das ist die E-Mail-Adresse, an die Mailbox-Provider täglich ihre DMARC-Aggregate-Reports senden. Ohne eine RUA-Adresse bekommst du keine Reports und siehst nicht, wer E-Mails in deinem Namen versendet. Die RUA-Adresse wird direkt im DMARC-Record eingetragen.
DMARC-Reports lesen und verstehen →Mailbox-Provider senden Aggregate-Reports typischerweise einmal täglich. Nach dem Setzen eines neuen DMARC-Records dauert es in der Regel 24–48 Stunden, bis die ersten Reports eintreffen, abhängig davon, wann und wie viel E-Mail-Verkehr über deine Domain läuft.
Aggregate Reports (rua) kommen einmal täglich und enthalten statistische Daten über alle E-Mails, die im Namen deiner Domain gesendet wurden: IP-Adressen, Volumen, SPF/DKIM-Ergebnisse. Forensic Reports (ruf) kommen bei jedem einzelnen Fehlschlag und enthalten Details zur spezifischen E-Mail. Viele Mailbox-Provider senden aus Datenschutzgründen keine Forensic Reports mehr.
Monitoring.
Wie aus XML-Rohdaten ein lesbares Dashboard wird, und was dabei sichtbar wird.
DMARC Monitoring bedeutet, dass DMARC-Reports automatisch empfangen, verarbeitet und visualisiert werden. Statt XML-Rohdaten manuell auszuwerten, siehst du in einem Dashboard, wer E-Mails in deinem Namen sendet: konform, mit Warnung oder fehlerhaft. Monitoring ist der zweite Schritt nach dem Setzen des DMARC-Records.
DMARC Monitoring Plattform →Technisch ja. DMARC-Reports kommen als komprimierte XML-Dateien, entpackt lesbar, aber nicht übersichtlich. Wer täglich Reports von mehreren Mailbox-Providern bekommt und dabei den Überblick behalten will, braucht ein Monitoring-Tool. Der eigentliche Aufwand liegt nicht im Lesen, sondern im Interpretieren.
Das Dashboard zeigt alle Systeme, die E-Mails unter deiner Domain versenden, kategorisiert als konform, Warnung oder fehlerhaft. Dazu den aktuellen Policy-Status, Zustellraten, SPF/DKIM-Ergebnisse pro Absender und konkrete Handlungsempfehlungen. Missbräuchliche Absender sind an fehlerhaften oder warnenden Einträgen erkennbar.
Monitoring kostenlos testen →Ja. Das nicmanager Monitoring ist Multi-Domain-fähig und eignet sich sowohl für einzelne Domains als auch für komplexe Domain-Portfolios ohne zusätzlichen operativen Aufwand.
Nein. nicmanager stellt eine eigene RUA-Adresse bereit, die direkt in deinen DMARC-Record eingetragen wird. Reports laufen automatisch ein, du musst nichts manuell weiterleiten oder einrichten.
Taskforce.
Der Managed Service mit Score-80-Garantie: Umfang, Dauer und Abrechnung.
Die Taskforce ist ein Managed Service, bei dem das nicmanager-Team die vollständige DMARC-Implementierung übernimmt: von der Bestandsaufnahme über SPF- und DKIM-Konfiguration bis zum sicheren Wechsel auf p=reject. Mit Score-80-Garantie: Wird der DomainSecurity Score am Projektende nicht 80 oder höher, erstatten wir das Honorar vollständig zurück.
Für IT-Teams, die DMARC einrichten müssen, aber keine freien Kapazitäten haben. Für Unternehmen nach einem Phishing- oder Spoofing-Vorfall, die schnell reagieren müssen. Und für alle, die bei p=none oder p=quarantine feststecken und nicht sicher sind, wie sie sicher zu p=reject kommen.
Die Kosten hängen von der Anzahl der Domains und der Komplexität der E-Mail-Infrastruktur ab. Für eine konkrete Einschätzung ohne Verpflichtung: 15-Minuten-Gespräch buchen. Wichtig: Wird Score 80 nicht erreicht, erstatten wir das Honorar vollständig zurück. Das Ergebnis-Risiko liegt bei uns.
Kostenlose Einschätzung buchen →Im Durchschnitt 3–4 Wochen. Je nach Anzahl der Domains und Komplexität der eingesetzten Drittanbieter-Dienste liegt die Projektdauer zwischen 2 und 8 Wochen. Der Ablauf: Bestandsaufnahme → Konfiguration → Monitoring & Test → p=reject und Dokumentation.
Der DomainSecurity Score misst den Reifegrad eurer E-Mail-Sicherheitskonfiguration auf einer Skala von 0 bis 100. Die Taskforce arbeitet, bis Score 80 oder höher erreicht ist. Wird dieses Ergebnis am Projektende nicht erreicht, erstatten wir das Honorar vollständig zurück. Das Ergebnis-Risiko liegt bei uns.
Technisch ja, die Schritte sind dokumentiert. Die Frage ist nicht, ob ihr es konfigurieren könnt, sondern ob ihr sicher sein könnt, dass es korrekt ist. Unternehmen, die DMARC selbst einrichten, stellen beim Wechsel auf p=reject oft fest, dass ein Drittanbieter fehlt oder ein System selten genug sendet, um im Monitoring unterzugehen. Das ist kein Fehler aus Unkenntnis. Das ist fehlende Erfahrung mit den hundert Varianten, wie es schiefgehen kann.
DSGVO & Datenhaltung.
Wo die Daten liegen, welche Zertifizierungen bestehen und was der AVV regelt.
Alle Daten werden ausschließlich auf Servern in der EU gespeichert und verarbeitet. nicmanager betreibt EU-basiertes Hosting und ist vollständig DSGVO-konform. Es gibt keinen Datentransfer in Drittländer außerhalb der EU.
Ja. nicmanager ist ISO 27001 und ISO 9001 zertifiziert. Zusätzlich ist nicmanager Partner der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Ja. Für alle Kunden, die DMARC-Reports über nicmanager verarbeiten lassen, steht ein standardisierter AVV bereit. Dieser kann im Rahmen der Vertragsunterlagen abgeschlossen werden.
Aggregate Reports enthalten IP-Adressen von sendenden Servern, diese können unter bestimmten Umständen als personenbezogene Daten gelten. Forensic Reports enthalten teilweise E-Mail-Header, die personenbezogene Daten enthalten können. Für die Verarbeitung dieser Daten durch nicmanager ist der AVV die rechtliche Grundlage.
Troubleshooting.
Wenn trotz DMARC etwas schiefgeht, und was die Reports dazu sagen.
Weil DMARC auf p=none steht und noch nichts blockiert, oder weil p=quarantine oder p=reject gesetzt ist, aber nicht alle Empfänger DMARC durchsetzen. Außerdem schützt DMARC nur die eigene Domain im From-Header, nicht Look-alike-Domains oder Display-Name-Spoofing.
Das deutet auf ein SPF- oder DKIM-Alignment-Problem hin. Ein sendender Dienst, häufig ein Newsletter-Tool oder CRM, ist nicht korrekt konfiguriert und besteht den DMARC-Check nicht. Das Monitoring zeigt, welcher Absender betroffen ist.
Kostenlose Einschätzung anfragen →Häufige Ursachen: fehlendes v=DMARC1 am Anfang, falsche Syntax bei der RUA-Adresse, fehlende Semikolons zwischen den Tags, oder der Record steht nicht an der richtigen Stelle im DNS. Mit dem DMARC Record Analyser kannst du deinen Record kostenlos prüfen.
SPF erlaubt maximal 10 DNS-Lookups pro Prüfung. Wer viele Drittanbieter-Dienste eingebunden hat, überschreitet dieses Limit schnell, und SPF schlägt fehl. Das nennt sich SPF Permerror. Es gibt Lösungsansätze, welcher passt, hängt von eurem Drittanbieter-Mix ab. Falsch gemacht schafft man damit ein neues Wartungsproblem.
Mehr zu SPF in der Praxis →Das kann zwei Ursachen haben. Erstens: ein Drittanbieter-Dienst, der im Namen eurer Domain sendet und den ihr nicht explizit eingerichtet habt, zum Beispiel ein altes Newsletter-Tool oder ein automatisches System. Zweitens: ein Spoofing-Versuch. Das Monitoring zeigt für jeden Absender Volumen, IP-Adresse und SPF/DKIM-Ergebnis, so lässt sich beides klar unterscheiden.
Im Monitoring ansehen →Vielleicht ist die Frage noch nicht dokumentiert. Wir antworten im 15-Min-Gespräch direkt.
15-Min-Gespräch buchen →Noch nicht die richtige Antwort gefunden?
Drei Wege weiter, ohne Formularstrecke, ohne Account-Zwang.
nicmanager ist eine Marke der InterNexum GmbH, Blumenstraße 54, 02826 Görlitz. Die InterNexum GmbH ist Mitglied der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) und nach ISO 27001 sowie ISO 9001 zertifiziert.