Start/Was ist DMARC?

Was ist DMARC? Funktionsweise, Phasen und der Weg zu p=reject.

DMARC ist kein Schalter, den man umlegt, sondern ein mehrstufiger Prozess. Diese Seite erklärt, was dahintersteckt, wie Monitoring, Quarantine und Reject im Detail funktionieren – und wo es in der Praxis kompliziert wird.

Lesezeit · 14 Minuten
Passend für · IT-Verantwortliche, CISOs, IT-Leiter
01

Einleitung

Wer im Jahr 2026 unter einer eigenen Domain E-Mails versendet, kommt um DMARC nicht mehr herum. Google und Yahoo machen die Authentifizierung seit 2024 zur Pflicht für Absender mit größerem Volumen, und Microsoft hat nachgezogen.

Die Einführung wird oft unterschätzt. Ein DMARC-Record ist in zehn Minuten veröffentlicht. Die eigentliche Arbeit beginnt danach. Denn DMARC ist nicht nur Konfiguration, sondern auch ein Messinstrument: Es zeigt, wer wirklich in deinem Namen E-Mails versendet. Aber eben nur, wenn man es richtig einsetzt. Und fast immer sind es mehr Systeme, als irgendjemand in der Organisation auf dem Schirm hatte.

Dieser Beitrag erklärt DMARC so, wie wir es im Projekt gegenüber IT-Leitungen tun: technisch korrekt, aber ohne Marketing-Glättung. Inklusive der Stellen, an denen das Thema in der Praxis komplizierter wird als die Dokumentation suggeriert.

02

Was ist DMARC?

DMARC steht für Domain-based Message Authentication, Reporting & Conformance. Seit Mai 2026 ist der Standard in RFC 9989 spezifiziert, das den ursprünglichen RFC 7489 von 2015 ablöst und DMARC vom rein informativen Dokument zum Protokoll auf dem IETF-Standards-Track erhebt. Am grundsätzlichen Mechanismus ändert das nichts: DMARC leistet weiterhin zwei Dinge:

  1. Er legt fest, wie empfangende Mailserver mit E-Mails umgehen sollen, die vorgeben, von deiner Domain zu stammen, aber nicht authentifiziert werden können.
  2. Er sorgt dafür, dass du als Domain-Inhaber Reports über den E-Mail-Verkehr unter deiner Domain erhältst – inklusive legitimer und illegitimer Absender.

Technisch ist DMARC ein DNS-TXT-Record, der auf dem Subdomain _dmarc.deine-domain.de veröffentlicht wird. Ein minimaler Record sieht so aus:

DNS TXT Record_dmarc.deine-domain.de
v=DMARC1; p=none; rua=mailto:reports@deine-domain.de;

Technisch verlangt der Standard nur zwei Tags. Den dritten solltest du trotzdem immer setzen, weil DMARC ohne ihn blind bleibt:

v=DMARC1 Pflicht
Version. Aktuell nur ein gültiger Wert.
p=none Pflicht
Policy. Bestimmt, was mit nicht-authentifizierter Post passiert: none, quarantine oder reject.
rua=mailto:… dringend empfohlen
Reporting-Adresse. Formal optional, in der Praxis aber der eigentliche Sinn von DMARC: Empfänger senden hierhin täglich aggregierte Reports über alle DMARC-Prüfungen. Ohne den rua-Tag erfährst du nie, wer in deinem Namen sendet.
03

Wie DMARC funktioniert

DMARC prüft nicht selbst, ob eine E-Mail legitim ist. Stattdessen baut es auf zwei älteren Standards auf – SPF und DKIM – und ergänzt sie um eine entscheidende zusätzliche Prüfung: die Alignment-Kontrolle.

Der Ablauf in fünf Schritten

  1. Ein Mailserver empfängt eine E-Mail, die vorgibt, von deine-domain.de zu stammen.
  2. Der Server ruft den SPF-Record von deine-domain.de ab und prüft, ob der sendende IP-Adressbereich dort gelistet ist.
  3. Der Server prüft die DKIM-Signatur der E-Mail gegen den öffentlichen Schlüssel im DNS.
  4. Mindestens einer der beiden Checks muss bestanden sein und die authentifizierte Domain muss mit der sichtbaren Absenderdomain (dem From-Header) übereinstimmen. Das ist das Alignment.
  5. Scheitert die Prüfung, wird die DMARC-Policy angewendet: durchlassen, in Spam verschieben oder abweisen. Parallel entsteht ein Eintrag im Report.

Der Alignment-Schritt ist der eigentliche Mehrwert von DMARC. Ohne ihn könnte ein Angreifer mit einer fremden, aber gültig signierten Domain eine E-Mail verschicken, die vorgibt, von deine-bank.de zu stammen – und SPF und DKIM wären zufrieden. Erst DMARC stellt sicher, dass die sichtbare Domain authentifiziert ist.

04

SPF, DKIM und DMARC – das Zusammenspiel

In der Praxis werden die drei Standards oft in einen Topf geworfen. Sie beantworten aber unterschiedliche Fragen:

SPF
DKIM
DMARC
Beantwortet die Frage
Beantwortet die Frage
Beantwortet die Frage
Darf dieser Server überhaupt Post im Namen der Domain verschicken?
Wurde die Nachricht unverändert von jemandem mit dem privaten Schlüssel signiert?
Stimmt die sichtbare Absenderdomain mit dem überein, was SPF oder DKIM authentifiziert haben?
Prüft
Prüft
Prüft
Sender-IP gegen DNS-Liste.
Kryptographische Signatur im Mail-Header.
Übereinstimmung der Domains (Alignment).

Erst die Kombination der drei ergibt einen funktionierenden Spoofing-Schutz. SPF und DKIM sind die Vorab-Checks, DMARC ist die Regel, die darauf aufbaut und dem empfangenden Mailserver sagt, wie er mit dem Ergebnis umgehen soll: durchlassen, in Spam verschieben oder abweisen.

iHinweis

Ein häufiges Missverständnis: DMARC „ersetzt" nicht SPF oder DKIM. Wenn SPF fehlerhaft oder DKIM nicht eingerichtet ist, nützt auch die beste DMARC-Policy nichts – im Gegenteil, eine Policy auf reject bei defektem SPF-Setup verbrennt legitime E-Mails.

05

Der Weg zu p=reject

Das eigentliche Ziel jeder DMARC-Einführung ist p=reject. Erst dort bietet DMARC echten Schutz vor Domain-Spoofing – vorher ist es Beobachtung. Der Weg dorthin führt praktisch immer über drei Phasen, die nicht übersprungen werden sollten.

Warum nicht direkt auf reject? Weil niemand am ersten Tag weiß, wer tatsächlich alles unter der eigenen Domain sendet. Eine zu frühe Durchsetzung trifft die Drittsysteme als erstes – und sie sind in der Regel geschäftskritisch.

1
Phase 1 · Monitoring
p=none · Beobachtung, keine Auswirkung auf Zustellung
Typische Dauer
2–4 Wochen

Was in dieser Phase passiert

Der DMARC-Record wird mit Policy p=none veröffentlicht. E-Mails werden normal zugestellt. Im Hintergrund beginnen Empfänger wie Google, Microsoft und Yahoo, täglich aggregierte XML-Reports an die in rua angegebene Adresse zu senden.

Ziel ist eine vollständige Bestandsaufnahme: Welche IPs versenden unter deiner Domain? Welche davon sind legitim?

Ziel am Ende der Phase

  • Jeder legitime Absender ist identifiziert und in der SPF- und DKIM-Konfiguration berücksichtigt.
  • Der Anteil an E-Mails, die DMARC bestehen, liegt stabil über 98 %.
  • Die verbleibenden Fehlschläge sind erklärt.
!Was hier regelmäßig fehlt

Die Phase scheitert fast nie an der Technik, sondern am Weg der Reports. Nach zwei Tagen liegen die ersten XML-Dateien im Postfach, niemand weiß, wohin damit, und ab Woche drei öffnet sie niemand mehr.

Zweiter wiederkehrender Fehler: Der erste DKIM-Drittanbieter wird berücksichtigt, der zweite nicht. In einer typischen Mittelstandsorganisation versenden zwischen zehn und zwanzig verschiedene Systeme unter der Firmendomain.

2
Phase 2 · Quarantine
p=quarantine · Nicht authentifizierte Post wandert in Spam
Typische Dauer
4–6 Wochen

Was in dieser Phase passiert

Die Policy wird auf p=quarantine angehoben. Empfänger behandeln nicht-authentifizierte E-Mails unter deiner Domain ab jetzt wie Spam, meist landen sie im Junk-Ordner.

Ziel am Ende der Phase

  • Keine geschäftskritischen E-Mails landen mehr aufgrund fehlender Authentifizierung im Spam.
  • Die SPF- und DKIM-Abdeckung ist über 99 % und stabil.
!Warum p=quarantine nicht reicht

Quarantine ist eine Zwischenstation, kein Ziel. Gespooftes E-Mail landet unter quarantine im Junk-Ordner des Empfängers, nicht im Nirgendwo. Klickt jemand dort auf eine gefälschte Rechnung, ist das juristisch und organisatorisch schwieriger zu verteidigen als bei reject.

3
Phase 3 · Enforcement
p=reject · Nicht authentifizierte Post wird abgewiesen
Dauer
dauerhaft

Was in dieser Phase passiert

Die Policy steht auf p=reject. Empfangende Server weisen jede E-Mail, die sich nicht als von deiner Domain authentifizieren lässt, endgültig ab. Gespoofte Nachrichten erreichen den Empfänger nicht. Das ist das Ziel.

Wann ist eine Domain wirklich bereit für reject?

  • Die DMARC-Pass-Rate ist dauerhaft stabil auf einem Niveau, das keine geschäftskritischen Fehler mehr erwarten lässt.
  • Jede verbleibende Fehlermeldung ist konkret einem System zugeordnet – kein „unbekannter Absender" mehr in den Reports.
  • Es gibt keine neuen Drittanbieter-Onboardings in der Pipeline, die noch nicht authentifiziert sind.
!Der teuerste Fehler

Ein voreiliges p=reject führt regelmäßig zum gleichen Ergebnis: Am Tag der Umstellung funktionieren Rechnungsversand oder Bewerberbenachrichtigungen nicht mehr, weil das entsprechende Drittsystem DKIM nie vollständig hatte.

06

DMARC-Reports: Was sie zeigen

Reports sind das Herzstück von DMARC. Ohne sie ist die Policy blind. Empfänger wie Google senden täglich ein oder mehrere XML-Dokumente an die rua-Adresse.

google.com!ihre-domain.de!1712534400.xml
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
  </report_metadata>
  <record>
    <row>
      <source_ip>52.28.144.77</source_ip>
      <count>1842</count>
      <policy_evaluated>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

Jeder Report enthält pro sendender IP-Adresse die Anzahl der Mails, das Ergebnis für SPF und DKIM und die angewendete Policy.

iIn der Realität

Eine Mittelstandsdomain bekommt zwischen 100 und 1.000 solcher Dateien pro Monat. Ohne Tool sind die Daten für Menschen praktisch nicht nutzbar.

07

Warum es jetzt wichtig ist

DMARC ist seit 2012 spezifiziert, seit Mai 2026 ist es mit RFC 9989 ein offizieller Standard auf dem IETF-Standards-Track und bei den großen Mailprovidern faktisch verpflichtend. Der Druck zur Durchsetzung ist in den vergangenen Jahren messbar gestiegen. Mehrere Faktoren wirken dabei zusammen:

ab 5.000
Google & YahooVerpflichtende DMARC-Authentifizierung für Absender ab 5.000 Mails/Tag.
M365
MicrosoftOutbound-Tenants erfordern DMARC-Alignment, sonst drohen Rate-Limits und Quarantäne.
#1
Angriffsvektor E-MailDie meisten Angriffe starten per E-Mail. DMARC unterbindet genau das Fälschen der eigenen Absenderdomain.

Was früher eine Best Practice war, ist damit eine Voraussetzung für regulären Mailbetrieb mit größeren Empfängern geworden.

08

Wo es in der Praxis komplex wird

Die Dokumentation macht DMARC zu einem linearen Prozess. In echten Setups gibt es einige Stellen, an denen es regelmäßig hakt.

SPF-Flattening und das 10-Lookup-Limit

SPF erlaubt maximal zehn DNS-Lookups pro Record. Wer vier oder fünf Drittanbieter eingebunden hat, läuft schnell gegen diese Grenze. Das Ergebnis ist ein permerror – SPF ist faktisch kaputt.

Drittanbieter-DKIM bei Marketing- und Transaktionsmail

Dienste wie Mailchimp, Sendgrid oder Salesforce Marketing Cloud können grundsätzlich DKIM-Signierung übernehmen – aber nur, wenn der Kunde seitens der Domain passende CNAMEs setzt und die Schlüssel rotiert werden.

E-Mail-Weiterleitungen

Wenn ein Empfänger die Mail weiterleitet, bricht SPF praktisch immer – die Sender-IP ist dann nicht mehr die ursprünglich autorisierte. DKIM bleibt in der Regel intakt.

Edge Cases: Mailinglisten, Shared Services, Legacy-Dienste

Es gibt Konstellationen, die sich nicht sauber lösen lassen. Mailinglisten ändern den From-Header oft nicht und brechen dadurch DMARC. Alte Faxgateways, Ticketsysteme oder intern betriebene Mailer haben keine Möglichkeit zur DKIM-Signierung.

iWas uns in der Praxis auffällt

Etwa drei von fünf Organisationen unterschätzen bei der Bestandsaufnahme die Anzahl der tatsächlich sendenden Systeme um Faktor zwei oder drei. In fast allen Fällen ist der eigentliche Aufwand nicht technisch, sondern organisatorisch.

Erste Schritte

Drei Wege, DMARC in den Griff zu bekommen.

Je nach interner Kapazität und gewünschtem Tempo. Alle drei führen letztlich zu p=reject , der Unterschied liegt darin, wie viel du selbst trägst.

Selbst prüfen

Record Analyser & Generator.

Kostenlose Tools

Sofort prüfen, was aktuell im DNS steht. Einen ersten DMARC-Record generieren. Ohne Anmeldung, ohne Bindung.

Record analysieren →
Vollständig übergeben

DomainSecurity Taskforce.

Wir machen es für dich.

Unser Team übernimmt die gesamte Einführung bis p=reject. Mit Score-80-Garantie.

Taskforce kennenlernen →