DMARC Record erstellen –Schritt für Schritt.
Der DMARC-Eintrag ist ein einzelner TXT-Record im DNS. Hier bauen Sie ihn korrekt auf, verstehen jeden Tag und schalten ohne Zustellausfälle bis p=reject scharf.
Ein DMARC-Record wird unter dem Hostnamen _dmarc.ihre-domain.de als TXT-Eintrag veröffentlicht. Er legt fest, wie empfangende Server mit nicht authentifizierten E-Mails umgehen – und an welche Adresse die Reports gesendet werden. Voraussetzung sind gültige SPF- und DKIM-Einträge.
Aufbau eines DMARC-Records
Ein minimaler, gültiger Record sieht so aus:
v=DMARC1; p=none; rua=mailto:dmarc@ihre-domain.de; pct=100Die wichtigsten Tags
- v
- Protokollversion, immer v=DMARC1. Muss zuerst stehen.
- p
- Policy für die Hauptdomain: none (nur beobachten), quarantine (in Spam) oder reject (ablehnen).
- rua
- Adresse für aggregierte Reports (täglich, im XML-Format). Pflicht für sinnvolles Monitoring.
- ruf
- Adresse für forensische Einzelreports. Datenschutz beachten, nicht alle Provider senden sie.
- pct
- Prozentsatz der Mails, auf die die Policy angewendet wird. Ideal zum stufenweisen Ausrollen.
- sp
- Eigene Policy für Subdomains. Ohne sp gilt der p-Wert auch für Subdomains.
- adkim
- DKIM-Ausrichtung: r (relaxed) oder s (strict).
- aspf
- SPF-Ausrichtung: r (relaxed) oder s (strict).
In vier Schritten zum aktiven DMARC
- 1
SPF & DKIM prüfen
Stellen Sie sicher, dass beide für alle legitimen Versandquellen gültig signieren bzw. ausgerichtet sind.
- 2
Record mit p=none veröffentlichen
Starten Sie im Monitoring-Modus und sammeln Sie über rua mehrere Wochen Reports.
- 3
Reports auswerten
Identifizieren Sie alle legitimen Quellen, die noch nicht korrekt authentifizieren – genau hier hilft Conbool DMARC automatisch.
- 4
Auf p=reject hochfahren
Über pct und sp schrittweise von quarantine zu reject, bis Spoofing zuverlässig blockiert wird.
Der sichere Weg: none → quarantine → reject
Reine Beobachtung. Keine Auswirkung auf die Zustellung – ideal als Start.
Nicht authentifizierte Mails landen im Spam. Mit pct=10/25/50 langsam steigern.
Spoofing wird hart abgelehnt. Erst aktivieren, wenn die Reports sauber sind.
Häufige Fehler
- Direkt mit p=reject starten – legitime Mails können verloren gehen.
- Kein rua hinterlegt – ohne Reports bleibt DMARC blind.
- Subdomains vergessen – ohne sp erben sie die Hauptdomain-Policy unbeabsichtigt.
- Mehrere DMARC-Records pro Domain – nur ein einziger TXT-Eintrag ist gültig.
Weiter mit DMARC
Record steht – jetzt automatisch auswerten und durchsetzen.
DMARC E-Mail-Authentifizierung
SPF, DKIM und DMARC korrekt ausrichten — Schritt für Schritt zu p=reject.
Mehr erfahrenEasyDMARC-Alternative
DMARC-Auswertung aus der EU, ohne US-Cloud und mit Aktivschutz.
Mehr erfahrendmarcian vs. EasyDMARC
Die gängigen DMARC-Tools im Vergleich — und wo Conbool DMARC steht.
Mehr erfahrenPhishing- & Spoofing-Schutz
DMARC stoppt Domain-Spoofing — kombiniert mit aktiver Phishing-Abwehr.
Mehr erfahrenCEO-Fraud-Schutz
Gefälschte Absenderdomains bei BEC und CEO-Fraud zuverlässig blocken.
Mehr erfahrenDANE und TLSA
DNSSEC-verankerte Transportverschlüsselung als Ergänzung zur DMARC-Authentifizierung.
Mehr erfahrenMTA-STS
Erzwungene TLS-Verschlüsselung für den Transport, ergänzend zu SPF, DKIM und DMARC.
Mehr erfahrenTLS-RPT
Reporting über fehlgeschlagene TLS-Verbindungen, ergänzend zu MTA-STS und DANE.
Mehr erfahrenConbool MailGuard
Aktiver Inbound-Schutz, der DMARC-Erkenntnisse direkt durchsetzt.
Mehr erfahren