Warum jede Domäne DMARC braucht
In der heutigen E-Mail-Sicherheitslandschaft kommt das Fehlen eines DMARC-Eintrags dem Offenlassen einer Tür für Angreifer gleich. Google, Yahoo und Apple haben die E-Mail-Authentifizierung für Massenversender seit 2024 zur Pflicht gemacht, doch auch für Domänen mit geringem Volumen ist DMARC zu einer grundlegenden Voraussetzung für die Zustellbarkeit geworden. Ohne DMARC werden E-Mails von Ihrer Domäne von empfangenden Servern mit größerem Misstrauen behandelt, was die Wahrscheinlichkeit erhöht, dass sie im Spam landen.
Unser DMARC-Generator vereinfacht die Erstellung des Eintrags und macht es überflüssig, sich die Syntax zu merken. Wählen Sie einfach die gewünschten Optionen — Richtlinie, E-Mail für Berichte, Ausrichtungsparameter — und das Tool generiert den TXT-Eintrag zum direkten Kopieren in Ihre DNS-Verwaltung. Aber bevor Sie den Eintrag generieren, ist es wichtig, jeden Parameter und seine Auswirkungen zu verstehen.
Die DMARC-Parameter erklärt
Der Parameter pct ist besonders nützlich beim Rollout: Er erlaubt es, die Richtlinie nur auf einen Prozentsatz der E-Mails anzuwenden. Bei pct=25 werden nur 25 % der nicht authentifizierten E-Mails gemäß der Richtlinie (quarantine oder reject) behandelt, während 75 % wie bei p=none behandelt werden. Dies ermöglicht eine schrittweise und sichere Einführung: Beginnen Sie mit pct=10, überwachen Sie die Berichte, erhöhen Sie auf 25, 50, 75 und schließlich 100.
Workflow zur DMARC-Implementierung
Bevor Sie den DMARC-Eintrag generieren, stellen Sie sicher, dass das Fundament solide ist. Verwenden Sie SPF Lookup, um zu bestätigen, dass der SPF-Eintrag gültig ist und alle Dienste abdeckt, die E-Mails in Ihrem Namen versenden. Überprüfen Sie DKIM für jeden Dienst, der es unterstützt. Erst nachdem Sie bestätigt haben, dass die Authentifizierung funktioniert, können Sie mit DMARC fortfahren.
Der empfohlene Workflow umfasst vier Phasen: Woche 1–2, erstellen Sie einen Eintrag mit p=none und rua, um mit der Datensammlung zu beginnen. Woche 3–4, analysieren Sie die Berichte und beheben Sie eventuelle Authentifizierungsprobleme. Monat 2, wechseln Sie zu p=quarantine mit pct=25 und erhöhen Sie schrittweise. Monat 3+, wenn die Berichte bestätigen, dass alle legitimen E-Mails die Authentifizierung bestehen, aktivieren Sie p=reject mit pct=100.
Häufige Fehler bei der DMARC-Konfiguration
Der häufigste Fehler ist das Überspringen der Überwachungsphase und die direkte Aktivierung von p=reject. Dies kann legitime E-Mails von Drittanbieterdiensten (CRM, Newsletter, Rechnungsstellung) blockieren, die nicht von SPF oder DKIM abgedeckt sind. Ein weiterer Fehler ist, rua nicht anzugeben: Ohne aggregierte Berichte navigieren Sie blind und können nicht wissen, ob legitime E-Mails durch Ihre Richtlinie blockiert werden.
Achten Sie auch auf die Ausrichtung: Bei aspf=s (strict) muss die Domäne im Return-Path exakt mit der Domäne im From übereinstimmen. Drittanbieterdienste, die ihre eigene Domäne im Return-Path verwenden, werden die strenge Ausrichtung nicht bestehen. Verwenden Sie relaxed (r), es sei denn, Sie haben spezifische Sicherheitsanforderungen, die strict erfordern. Dasselbe gilt für adkim: relaxed erlaubt die Ausrichtung von Subdomänen, strict erfordert exakte Übereinstimmung.
Ein häufiger technischer Fehler ist das Einfügen des TXT-Eintrags unter einem falschen Hostnamen. Der DMARC-Eintrag muss exakt unter _dmarc.ihredomäne.com liegen, nicht im Root der Domäne und nicht unter dmarc.ihredomäne.com (ohne Unterstrich). Überprüfen Sie mit unserem DMARC Lookup, ob der Eintrag nach der Bereitstellung sichtbar und syntaktisch korrekt ist. Die DNS-Propagierung dauert typischerweise von wenigen Minuten bis zu einigen Stunden.