Werkzeug

DMARC-Check

Prüfen Sie in Sekunden, ob Ihr DMARC-Record korrekt konfiguriert ist und Ihre Policy wirklich greift.

Permalink: ?domain=… funktioniert auch.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist der dritte Baustein der E-Mail-Authentifizierung — und der einzige, der den beiden anderen, SPF und DKIM, eine bindende Anweisung gibt. Solange nur SPF und DKIM gesetzt sind, prüfen Empfänger zwar, ob eine Mail authentisch ist, treffen aber selbst die Entscheidung, was bei einem Fehlschlag geschieht. DMARC dreht das um: Sie als Domain-Inhaber legen die Policy fest.

Ein DMARC-Record ist ein TXT-Record am Hostnamen _dmarc.example.com. Er definiert drei Dinge: erstens die Policy (p=none, p=quarantine oder p=reject), zweitens die Reporting-Adressen (rua= für aggregierte Tagesberichte, ruf= für Forensik), drittens optional Alignment-Schärfe (adkim, aspf) und Anteil (pct).

Der eigentliche Hebel ist Alignment: DMARC verlangt, dass die Domain im sichtbaren From-Header mit der SPF-Return-Path-Domain bzw. der DKIM-d=-Domain übereinstimmt — sonst schlägt es fehl, selbst wenn SPF/DKIM einzeln passen. Genau das macht es so wirksam gegen Spoofing: ein Angreifer kann zwar eine eigene Mail SPF/DKIM-konform versenden, aber nicht unter Ihrer From-Domain.

Tiefer eintauchen → Was ist DMARC?

Typische Fehler bei DMARC

  1. p=none auf unbestimmte Zeit

    Monitoring-only ist als Einstieg richtig, schützt aber nicht. Wer nach 3 Monaten noch auf p=none steht, hat den eigentlichen Schritt nie gemacht — DMARC bringt dann nur Reports, keine Wirkung.

  2. Kein rua-Tag → keine Reports

    Ohne Reporting-Adresse fliegen Sie blind. Sie wissen nicht, welche Quellen scheitern, und können das Tuning nicht datengetrieben fahren. Setzen Sie eine rua-Mailbox oder einen Report-Aggregator.

  3. pct unter 100 ohne Plan

    Mit pct=10 wendet der Empfänger die Policy nur auf 10 % der nicht-aligned Mails an. Sinnvoll als Rampe, gefährlich als Dauerzustand — die anderen 90 % kommen weiterhin durch.

  4. SPF/DKIM nicht aligned

    SPF passt, DKIM passt — und DMARC schlägt trotzdem fehl, weil die Return-Path-Domain anders heißt als die From-Domain. Häufig bei Marketing-Tools, ESPs und Ticketsystemen, die ihre eigene Bounce-Domain benutzen.

  5. adkim/aspf zu strikt für Subdomains

    Im Strict-Modus muss die Domain exakt übereinstimmen. news.example.com bricht dann gegen example.com. Default relaxed ist für die meisten Setups die richtige Wahl.

  6. Mehrere DMARC-Records am gleichen Host

    RFC erlaubt nur einen TXT mit v=DMARC1 unter _dmarc.. Zwei Records → Empfänger ignorieren beide. Häufig nach Provider-Wechsel, bei dem die alte Konfiguration nicht entfernt wurde.

  7. Quarantine ohne Forensic-Backup

    Wer auf p=quarantine oder p=reject geht, sollte kurzzeitig parallel Forensic-Reports oder Inbox-Monitoring laufen lassen — sonst merken Sie False-Positives erst, wenn der Vertrieb sich beschwert.

Probleme beheben — in 4 Schritten

Reports einrichten

Setzen Sie eine rua-Adresse, die nicht in Ihrer eigenen Mailbox landet — sonst überschwemmen XML-Reports Ihren Posteingang. Idealerweise dedizierte Mailbox oder Report-Aggregator.

_dmarc IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"

Quellen analysieren

Nach 1–2 Wochen liegen die ersten Aggregat-Reports vor. Listen Sie jede sendende IP und Domain auf, ordnen Sie sie einem System zu (CRM, ERP, Marketing-Tool, Helpdesk). Unbekannte Quellen sind die wichtigste Erkenntnis.

Alignment fixen

Für jedes legitime System: SPF-Include eintragen oder DKIM-Selektor setzen, danach prüfen, ob die Mail aligned ankommt. Bei ESPs meist Custom-Return-Path-Domain konfigurieren.

Schrittweise auf p=quarantine → p=reject

Wenn die Reports zeigen, dass alle legitimen Quellen aligned sind: p=quarantine mit pct=10, dann pct=50, pct=100, dann p=reject. Pro Stufe 1–2 Wochen Monitoring.

Wollen Sie alle 8 Standards prüfen?

Der vollständige SelfCheck testet zusätzlich SPF/DKIM/DMARC, BIMI, MTA-STS, TLS-RPT, DNSSEC und MX in einem Durchgang.

Vollständigen SelfCheck starten →

Häufige Fragen zu DMARC

Was bedeutet p=quarantine?
p=quarantine weist empfangende Server an, nicht-authentifizierte Mails in den Spam-Ordner zu verschieben statt direkt zuzustellen. Es ist die mittlere Stufe zwischen p=none (nur Monitoring) und p=reject (komplette Ablehnung).
Wie oft kommen DMARC-Reports?
Aggregat-Reports (rua) werden in der Regel täglich versendet, üblicherweise alle 24 Stunden. Forensic-Reports (ruf) kommen in Echtzeit, sofern der empfangende Server sie überhaupt erzeugt — viele tun das aus Datenschutzgründen nicht mehr.
Wie lange dauert der Weg bis p=reject?
Bei sauber inventarisierter Sender-Landschaft 4–8 Wochen; bei gewachsenen Organisationen mit unbekannten Versendern 3–6 Monate. Wichtiger als Geschwindigkeit ist Vollständigkeit — keine legitime Quelle vergessen.
Brauche ich Forensic-Reports?
In der Regel nicht. Aggregat-Reports zeigen, von welchen IPs SPF/DKIM scheitern. Forensic-Reports enthalten Mail-Header und sind DSGVO-sensitiv; viele Empfänger versenden sie gar nicht mehr.
Was ist Alignment?
Alignment heißt: die Domain im SPF-Return-Path bzw. der DKIM-d=-Tag muss mit der sichtbaren From-Domain übereinstimmen. Ohne Alignment scheitert DMARC, selbst wenn SPF und DKIM einzeln passen.