Die wichtigsten Erkenntnisse:
- DMARC legt fest, wie empfangende Server mit E-Mails verfahren, die SPF- und DKIM-Prüfungen nicht bestehen.
- Die drei DMARC-Richtlinien sind p=none, p=quarantine und p=reject.
- p=none sammelt Berichte, ohne E-Mails zu blockieren.
- p=quarantine verschiebt fehlgeschlagene Nachrichten in den Spam-Ordner.
- p=reject blockiert fehlgeschlagene Nachrichten vollständig.
- Eine vollständige DMARC-Durchsetzung kann die Posteingangsrate um 10 % bis 15 %
- Die ordnungsgemäße Implementierung dauert in der Regel 3 bis 6 Monate.
- Monitoring-Tools wie PowerDMARC vereinfachen das Reporting und die DNS-Verwaltung.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) schützt Ihre Domain vor Spoofing, Phishing und E-Mail-Betrug. Im Jahr 2024 verpflichteten Google und Yahoo Massenabsender zur Veröffentlichung einer DMARC-Richtlinie, wodurch eine korrekte E-Mail-Authentifizierung für die Posteingangszustellung etwa in Apple Mail zwingend erforderlich wurde.
Was genau ist eine DMARC-Richtlinie?
Stellen Sie sich DMARC als eine Reihe von Anweisungen für den Mailserver vor, der Ihre Nachricht erhält. Die Richtlinie ist in Ihrem DNS hinterlegt. Wenn ein Mailserver eine E-Mail sieht, die vorgeblich von Ihnen stammt, aber die Sicherheitsprüfungen nicht besteht, schaut er in Ihrem DMARC-Eintrag nach, was als Nächstes zu tun ist.
Das Herzstück dieses Eintrags ist das p=-Tag. Dies ist Ihre „Anweisung“ an die Welt. Sie haben drei Hauptoptionen:
| Richtlinie | Das Tag | Das Ergebnis |
| None (Keine) | p=none | Die Mail geht durch. Sie erhalten lediglich einen Bericht. |
| Quarantine (Quarantäne) | p=quarantine | Die Mail wird in den Junk- oder Spam-Ordner verschoben. |
| Reject (Ablehnen) | p=reject | Die Mail wird blockiert. Sie kommt niemals an. |
Mit Tools wie PowerDMARC können Unternehmen Authentifizierungsdaten überwachen, Missbrauch verhindern und sicher zur vollständigen Durchsetzung übergehen, ohne den legitimen E-Mail-Fluss zu unterbrechen.
Ein genauerer Blick auf Ihre 3 Optionen
1. Der „Beobachtungs“-Modus (None)
Dies ist die DMARC-Richtlinie, mit der jeder beginnen sollte. Mit p=none blockieren Sie nichts. Sie schauen nur zu.
- Warum nutzen? Sie sehen genau, wer auf Ihrer Liste der E-Mail-Quellen steht.
- Der Vorteil: Ihr E-Mail-Fluss wird nicht unterbrochen, während Sie Daten sammeln.
- Der Haken: Es bietet keinerlei Schutz gegen Fälschungen.
2. Der „Spam“-Modus (Quarantine)
Dies ist der Mittelweg. Wenn eine Nachricht gefälscht aussieht, verschiebt der Empfänger sie in den Spam-Ordner.
- Warum nutzen? Es dient als Sicherheitsnetz. Falls Sie eine gültige Mail-Quelle übersehen haben, kann der Empfänger die Nachricht immer noch in seinem Junk-Ordner finden.
- Der Vorteil: Es beginnt, die Reputation Ihrer Domain zu bereinigen.
3. Der „Blockier“-Modus (Reject)
Dies ist der Goldstandard. Er sagt der Welt: „Wenn es nicht von mir kommt, brich die Verbindung ab.“
- Warum nutzen? Es ist der einzige Weg, Domain-Missbrauch endgültig zu stoppen.
- Der Vorteil: Ihre Marke bleibt sicher, und Hacker können Ihren Namen nicht missbrauchen.
Zwei praktische Zusatz-Optionen
Sie können die Funktionsweise dieser Regeln mit ein paar weiteren Tags verfeinern:
- Das Prozent-Tag (pct=): Sie können Ihre Richtlinie auf nur einen Teil Ihrer Mails anwenden. Beispielsweise blockiert p=reject; pct=20 nur 20 % der Fehlschläge. So können Sie vorsichtig testen.
- Das Subdomain-Tag (sp=): Wenn Sie für ihremarke.com eine andere Regel festlegen möchten als für Ihre Hauptseite, verwenden Sie dieses Tag.
Warum Sie sich darum kümmern sollten
- Bessere Posteingangsraten: E-Mail-Anbieter vertrauen Ihnen mehr, wenn Ihre Technik solide ist. Die meisten verzeichnen einen Boost von 10 % bis 15 % bei Mails, die tatsächlich den Posteingang erreichen.
- Sicherheit zuerst: Es stoppt Betrüger, die Ihre Marke nutzen wollen, um Ihre Kunden zu täuschen.
- Die Regeln: Sie bleiben auf der sicheren Seite bei Google, Yahoo und Gesetzen wie der DSGVO oder HIPAA.
Der schwierige Teil
Es ist nicht alles ganz einfach. Sie müssen jedes einzelne Tool finden, das in Ihrem Namen E-Mails versendet – wie Ihr CRM, Ihren Helpdesk oder Ihre Lohnabrechnungs-App. Wenn Sie eines vergessen und zu schnell auf p=reject umstellen, werden diese wichtigen E-Mails einfach verschwinden. In der Regel dauert es 3 bis 6 Monate, um dies korrekt umzusetzen.
Wenn Sie die Fehlermeldung „DMARC Policy Not Enabled“ sehen, bedeutet dies lediglich, dass Sie entweder keinen Eintrag haben oder sich noch im Modus p=none befinden. Um dies zu beheben, müssen Sie zu einer strengeren Einstellung übergehen, sobald Sie wissen, dass Ihre Daten „sauber“ sind.
PowerDMARC macht diesen Weg deutlich reibungsloser. Es verwandelt unübersichtlichen Code in klare Diagramme, damit Sie sehen, wer wer ist. Es ist der sicherste Weg, eine vollständige Blockierung von Fälschungen zu erreichen, ohne den Aufwand manueller DNS-Bearbeitungen.
Zusammenfassend
Der Weg zu einer sicheren Domain ist kein Sprint, sondern ein stetiger Marsch. Sie beginnen mit einem „Schauen, aber nicht Anfassen“-Ansatz, um zu sehen, wer Ihren Namen nutzt. Sobald die Daten bereinigt sind, ziehen Sie die Daumenschrauben an. Wenn Sie die vollständige Blockierung erreichen, ist Ihre Marke eine Festung. Sie hält die Bösewichte draußen und stellt sicher, dass Ihre echten Nachrichten genau dort landen, wo sie hingehören: im Posteingang.
Kurze Antworten auf häufige Fragen (FAQ)
Was ist die Standard-DMARC-Richtlinie?
Technisch gesehen gibt es keinen „Standard“, der einfach so existiert. Wenn Sie keinen Eintrag in Ihrem DNS erstellen, haben Sie gar keine Richtlinie. Die meisten Experten raten jedoch dazu, mit p=none zu beginnen. Dies dient als Basis, um risikofrei Daten zu sammeln.
Welche DMARC-Richtlinie ist die beste?
Für absolute Sicherheit ist p=reject der Gewinner. Es ist die einzige Einstellung, die einen Betrüger wirklich stoppt. Aber „am besten“ hängt davon ab, wo Sie im Prozess stehen. Wenn Sie gerade erst anfangen, ist p=none die beste Wahl, um ein selbst verursachtes E-Mail-Desaster zu vermeiden.
Wie behebe ich einen DMARC-Fehler?
Die meisten Fehler resultieren aus Tippfehlern in Ihrem DNS-Eintrag. Sie können dies durch eine schnelle Bearbeitung Ihres TXT-Eintrags korrigieren. Wenn Sie eine Warnung wie „Enforcement Not Enabled“ sehen, bedeutet das, dass Sie von p=none zu p=quarantine oder p=reject wechseln müssen. Stellen Sie nur sicher, dass Ihr SPF und DKIM vorher stabil sind!
Was passiert, wenn eine Mail die DMARC-Prüfung unter einer Reject-Richtlinie nicht besteht?
Der Server des Empfängers verwirft die Mail einfach. Sie landet weder im Posteingang noch im Spam-Ordner. Sie verschwindet einfach. Deshalb müssen Sie zu 100 % sicher sein, dass Ihre eigenen E-Mail-Quellen korrekt sind, bevor Sie diesen Schalter umlegen.
Kann ich nicht einfach nur SPF und DKIM verwenden?
Das können Sie, aber das sind nur „Ausweise“. DMARC ist der „Türsteher“ an der Tür. Ohne eine DMARC-Richtlinie sieht ein Server vielleicht eine fehlgeschlagene Prüfung, lässt die Mail aber trotzdem durch. DMARC gibt diesem Server einen klaren Befehl, was mit den Fehlschlägen geschehen soll.
