DMARC Setup

DMARC Record erstellen –Schritt für Schritt.

Der DMARC-Eintrag ist ein einzelner TXT-Record im DNS. Hier bauen Sie ihn korrekt auf, verstehen jeden Tag und schalten ohne Zustellausfälle bis p=reject scharf.

Conbool kostenlos testen Weiter mit DMARC

Ein DMARC-Record wird unter dem Hostnamen _dmarc.ihre-domain.de als TXT-Eintrag veröffentlicht. Er legt fest, wie empfangende Server mit nicht authentifizierten E-Mails umgehen – und an welche Adresse die Reports gesendet werden. Voraussetzung sind gültige SPF- und DKIM-Einträge.

Aufbau eines DMARC-Records

Ein minimaler, gültiger Record sieht so aus:

v=DMARC1; p=none; rua=mailto:dmarc@ihre-domain.de; pct=100

Die wichtigsten Tags

v: Protokollversion, immer v=DMARC1. Muss zuerst stehen.
p: Policy für die Hauptdomain: none (nur beobachten), quarantine (in Spam) oder reject (ablehnen).
rua: Adresse für aggregierte Reports (täglich, im XML-Format). Pflicht für sinnvolles Monitoring.
ruf: Adresse für forensische Einzelreports. Datenschutz beachten, nicht alle Provider senden sie.
pct: Prozentsatz der Mails, auf die die Policy angewendet wird. Ideal zum stufenweisen Ausrollen.
sp: Eigene Policy für Subdomains. Ohne sp gilt der p-Wert auch für Subdomains.
adkim: DKIM-Ausrichtung: r (relaxed) oder s (strict).
aspf: SPF-Ausrichtung: r (relaxed) oder s (strict).

In vier Schritten zum aktiven DMARC

1
SPF & DKIM prüfen
Stellen Sie sicher, dass beide für alle legitimen Versandquellen gültig signieren bzw. ausgerichtet sind.
2
Record mit p=none veröffentlichen
Starten Sie im Monitoring-Modus und sammeln Sie über rua mehrere Wochen Reports.
3
Reports auswerten
Identifizieren Sie alle legitimen Quellen, die noch nicht korrekt authentifizieren – genau hier hilft Conbool DMARC automatisch.
4
Auf p=reject hochfahren
Über pct und sp schrittweise von quarantine zu reject, bis Spoofing zuverlässig blockiert wird.

Der sichere Weg: none → quarantine → reject

p=none

Reine Beobachtung. Keine Auswirkung auf die Zustellung – ideal als Start.

p=quarantine

Nicht authentifizierte Mails landen im Spam. Mit pct=10/25/50 langsam steigern.

p=reject

Spoofing wird hart abgelehnt. Erst aktivieren, wenn die Reports sauber sind.

Häufige Fehler

Direkt mit p=reject starten – legitime Mails können verloren gehen.
Kein rua hinterlegt – ohne Reports bleibt DMARC blind.
Subdomains vergessen – ohne sp erben sie die Hauptdomain-Policy unbeabsichtigt.
Mehrere DMARC-Records pro Domain – nur ein einziger TXT-Eintrag ist gültig.

Weiter mit DMARC

Record steht – jetzt automatisch auswerten und durchsetzen.

DMARC E-Mail-Authentifizierung

SPF, DKIM und DMARC korrekt ausrichten — Schritt für Schritt zu p=reject.

Mehr erfahren

EasyDMARC-Alternative

DMARC-Auswertung aus der EU, ohne US-Cloud und mit Aktivschutz.

Mehr erfahren

dmarcian vs. EasyDMARC

Die gängigen DMARC-Tools im Vergleich — und wo Conbool DMARC steht.

Mehr erfahren

Phishing- & Spoofing-Schutz

DMARC stoppt Domain-Spoofing — kombiniert mit aktiver Phishing-Abwehr.

Mehr erfahren

CEO-Fraud-Schutz

Gefälschte Absenderdomains bei BEC und CEO-Fraud zuverlässig blocken.

Mehr erfahren

Conbool MailGuard

Aktiver Inbound-Schutz, der DMARC-Erkenntnisse direkt durchsetzt.

Mehr erfahren

FAQ

Wo wird der DMARC-Record eingetragen?

Als TXT-Record unter _dmarc.ihre-domain.de in der DNS-Zone Ihrer Domain.

Brauche ich zwingend SPF und DKIM?

Ja. DMARC baut auf der Ausrichtung von SPF und/oder DKIM auf; ohne mindestens eines davon schlägt die Prüfung fehl.

Wie lange sollte ich auf p=none bleiben?

Üblich sind 2–4 Wochen, bis alle legitimen Versandquellen in den Reports sauber authentifizieren.

Record steht – jetzt automatisch auswerten und durchsetzen.

Aufbau eines DMARC-Records

Ein minimaler, gültiger Record sieht so aus:

v=DMARC1; p=none; rua=mailto:dmarc@ihre-domain.de; pct=100

Die wichtigsten Tags

Protokollversion, immer v=DMARC1. Muss zuerst stehen.

Policy für die Hauptdomain: none (nur beobachten), quarantine (in Spam) oder reject (ablehnen).

rua

Adresse für aggregierte Reports (täglich, im XML-Format). Pflicht für sinnvolles Monitoring.

ruf

Adresse für forensische Einzelreports. Datenschutz beachten, nicht alle Provider senden sie.

pct

Prozentsatz der Mails, auf die die Policy angewendet wird. Ideal zum stufenweisen Ausrollen.

Eigene Policy für Subdomains. Ohne sp gilt der p-Wert auch für Subdomains.

adkim

DKIM-Ausrichtung: r (relaxed) oder s (strict).

aspf

SPF-Ausrichtung: r (relaxed) oder s (strict).

In vier Schritten zum aktiven DMARC

SPF & DKIM prüfen

Stellen Sie sicher, dass beide für alle legitimen Versandquellen gültig signieren bzw. ausgerichtet sind.

Record mit p=none veröffentlichen

Starten Sie im Monitoring-Modus und sammeln Sie über rua mehrere Wochen Reports.

Reports auswerten

Identifizieren Sie alle legitimen Quellen, die noch nicht korrekt authentifizieren – genau hier hilft Conbool DMARC automatisch.

Auf p=reject hochfahren

Über pct und sp schrittweise von quarantine zu reject, bis Spoofing zuverlässig blockiert wird.

FAQ

Wo wird der DMARC-Record eingetragen?

Als TXT-Record unter _dmarc.ihre-domain.de in der DNS-Zone Ihrer Domain.

Brauche ich zwingend SPF und DKIM?

Ja. DMARC baut auf der Ausrichtung von SPF und/oder DKIM auf; ohne mindestens eines davon schlägt die Prüfung fehl.

Wie lange sollte ich auf p=none bleiben?

Üblich sind 2–4 Wochen, bis alle legitimen Versandquellen in den Reports sauber authentifizieren.