DMARC Setup

DMARC Record erstellen –Schritt für Schritt.

Der DMARC-Eintrag ist ein einzelner TXT-Record im DNS. Hier bauen Sie ihn korrekt auf, verstehen jeden Tag und schalten ohne Zustellausfälle bis p=reject scharf.

Ein DMARC-Record wird unter dem Hostnamen _dmarc.ihre-domain.de als TXT-Eintrag veröffentlicht. Er legt fest, wie empfangende Server mit nicht authentifizierten E-Mails umgehen – und an welche Adresse die Reports gesendet werden. Voraussetzung sind gültige SPF- und DKIM-Einträge.

Aufbau eines DMARC-Records

Ein minimaler, gültiger Record sieht so aus:

v=DMARC1; p=none; rua=mailto:dmarc@ihre-domain.de; pct=100

Die wichtigsten Tags

v
Protokollversion, immer v=DMARC1. Muss zuerst stehen.
p
Policy für die Hauptdomain: none (nur beobachten), quarantine (in Spam) oder reject (ablehnen).
rua
Adresse für aggregierte Reports (täglich, im XML-Format). Pflicht für sinnvolles Monitoring.
ruf
Adresse für forensische Einzelreports. Datenschutz beachten, nicht alle Provider senden sie.
pct
Prozentsatz der Mails, auf die die Policy angewendet wird. Ideal zum stufenweisen Ausrollen.
sp
Eigene Policy für Subdomains. Ohne sp gilt der p-Wert auch für Subdomains.
adkim
DKIM-Ausrichtung: r (relaxed) oder s (strict).
aspf
SPF-Ausrichtung: r (relaxed) oder s (strict).

In vier Schritten zum aktiven DMARC

  1. 1

    SPF & DKIM prüfen

    Stellen Sie sicher, dass beide für alle legitimen Versandquellen gültig signieren bzw. ausgerichtet sind.

  2. 2

    Record mit p=none veröffentlichen

    Starten Sie im Monitoring-Modus und sammeln Sie über rua mehrere Wochen Reports.

  3. 3

    Reports auswerten

    Identifizieren Sie alle legitimen Quellen, die noch nicht korrekt authentifizieren – genau hier hilft Conbool DMARC automatisch.

  4. 4

    Auf p=reject hochfahren

    Über pct und sp schrittweise von quarantine zu reject, bis Spoofing zuverlässig blockiert wird.

Der sichere Weg: none → quarantine → reject

p=none

Reine Beobachtung. Keine Auswirkung auf die Zustellung – ideal als Start.

p=quarantine

Nicht authentifizierte Mails landen im Spam. Mit pct=10/25/50 langsam steigern.

p=reject

Spoofing wird hart abgelehnt. Erst aktivieren, wenn die Reports sauber sind.

Häufige Fehler

  • Direkt mit p=reject starten – legitime Mails können verloren gehen.
  • Kein rua hinterlegt – ohne Reports bleibt DMARC blind.
  • Subdomains vergessen – ohne sp erben sie die Hauptdomain-Policy unbeabsichtigt.
  • Mehrere DMARC-Records pro Domain – nur ein einziger TXT-Eintrag ist gültig.

Weiter mit DMARC

Record steht – jetzt automatisch auswerten und durchsetzen.

FAQ

Wo wird der DMARC-Record eingetragen?
Als TXT-Record unter _dmarc.ihre-domain.de in der DNS-Zone Ihrer Domain.
Brauche ich zwingend SPF und DKIM?
Ja. DMARC baut auf der Ausrichtung von SPF und/oder DKIM auf; ohne mindestens eines davon schlägt die Prüfung fehl.
Wie lange sollte ich auf p=none bleiben?
Üblich sind 2–4 Wochen, bis alle legitimen Versandquellen in den Reports sauber authentifizieren.