Praxis · Leitfaden

DMARC-Policy-Guide: sicher auf p=reject.

Der stufenweise Weg von Monitoring zu vollem Schutz — so gewinnen Sie Sicherheit, ohne legitime E-Mails zu verlieren.

Die drei Stufen im Überblick

1. p=none Monitoring 2–6 Wochen 2. p=quarantine Spam-Ordner 2–4 Wochen 3. p=reject Volle Abwehr dauerhaft
Empfohlener Zeitplan — in Summe 1–3 Monate

Stufe 1 — p=none (Monitoring)

Ziel: verstehen, wer unter Ihrem Namen versendet. Noch keine Auswirkung auf Zustellung.

"v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"

Was tun Sie in dieser Phase?

Reports kommen als XML und sind in Rohform schwer lesbar. Mailantis parst, aggregiert und visualisiert sie — Sie sehen auf einen Blick, welche IP es noch nicht schafft.

Stufe 2 — p=quarantine (pct=100)

Wenn die Monitoring-Reports sauber aussehen: Policy direkt auf quarantine mit pct=100. Ein gestaffelter Rollout über pct=10/25/50/75 klingt vorsichtig, schwächt aber den Schutz: Angreifer können die unbeschützten Prozent zufällig treffen — und der pct-Wert wird vom Empfänger via Aggregate-Reports ohnehin sichtbar.

"v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected]"

Halten Sie diese Stufe mindestens 2–4 Wochen und prüfen Sie die Reports: keine legitimen Sender mehr im Spam-Ordner, sichtbares Spoofing wird abgefangen — dann ist p=reject dran. Voraussetzung für den direkten Sprung: Stufe 1 wurde gewissenhaft durchlaufen und alle eigenen Sender bestehen DMARC.

Stufe 3 — p=reject

Die Zielgerade. Ab jetzt werden nicht authentifizierte Mails vom Empfänger-Server direkt abgelehnt — nicht einmal mehr im Spam sichtbar.

"v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]; adkim=s; aspf=s"

Häufige Stolperfallen

Zeitplan — Richtwert

WocheAktion
1SPF + DKIM für alle Hauptsysteme aufsetzen.
2DMARC p=none mit rua veröffentlichen.
3–6Reports auswerten, Abweichungen fixen.
7–10p=quarantine; pct=100 — Aggregate-Reports überwachen, legitime Sender im Spam-Ordner prüfen.
11–12p=reject.

Häufige Fragen

Wie wähle ich den richtigen pct-Wert?

pct steuert, auf wie viele Prozent der Mails die Policy angewendet wird. Unsere Empfehlung: Bei p=none ist pct irrelevant. Beim Wechsel auf p=quarantine direkt pct=100 setzen — ein gestaffelter Rollout (10/25/50/75) lässt den unbeschützten Anteil offen für Spoofing und ist im Aggregate-Report ohnehin sichtbar. Statt am pct zu schrauben, lieber bei p=none länger monitoren, bis alle eigenen Sender sauber alignen.

Was tun bei Newsletter-Tools?

Newsletter-ESPs (Mailchimp, Sendgrid, Brevo) müssen Custom-Domain-Authentication aktiviert haben. Sonst alignen weder SPF noch DKIM mit Ihrer From-Domain — und DMARC scheitert beim ESP-Versand.

Wie identifiziere ich legitime Sender?

Aus den DMARC-Aggregate-Reports: source_ip durch Reverse-Lookup auflösen, Provider-Erkennung, Volumen-Vergleich. Mailantis erkennt die 50 häufigsten Provider automatisch.

Wann ist es sicher, p=reject zu setzen?

Wenn 4+ Wochen lang alle Aggregate-Reports zeigen: 100 % der eigenen Sender bestehen DMARC, und sichtbare Spoofing-Versuche werden bereits durch p=quarantine im Spam landen.

Was passiert mit Auto-Forwarding?

Reine SPF-Weiterleitung scheitert (Sender-IP ändert sich). DKIM überlebt fast immer. Daher ist DKIM für Forwarding-resiliente DMARC-Konfigurationen kritisch.