dmarc-missing
DMARC-Eintrag fehlt
DMARC ist das Regelwerk, das empfangenden Mailservern sagt, was sie tun sollen, wenn eine Mail in Ihrem Namen die Prüfung nicht besteht. Ohne DMARC läuft selbst ein perfektes SPF-Setup an vielen Anbietern vorbei.
Worum es geht
DMARC ist das dritte Stück im E-Mail-Schutz-Trio neben SPF und DKIM. Es erfüllt zwei Aufgaben gleichzeitig:
- Es legt fest, was empfangende Mailserver tun sollen, wenn eine vermeintliche Mail von Ihrer Domain die Prüfung nicht besteht: zustellen, in Spam einsortieren oder gleich ablehnen.
- Es liefert Berichte dieser Mailserver über jeden Versuch (echt wie gefälscht), Mail in Ihrem Namen zu versenden.
Ohne DMARC schützt das aufwändige SPF-Setup (siehe unseren SPF-Artikel) nur jene Empfänger, die SPF aktiv streng durchsetzen. Viele kleinere Mailprovider und die meisten kostenfreien Webmailer tun das nicht: verdächtige Mail wird einfach zugestellt, die Entscheidung bleibt der Nutzerin überlassen. Hier kommt DMARC ins Spiel: Sie veröffentlichen selbst die Entscheidung “wenn die Prüfung fehlschlägt, nicht zustellen”.
Warum das wichtig ist
Steht DMARC auf “reject”, endet bei Gmail, Outlook, Apple Mail, Yahoo, GMX und web.de der Großteil der Spoofing-Angriffe gegen Ihre Domain. Allein das ist eine spürbare Verteidigung gegen die Rechnungsbetrug-, “CEO-Fraud”- und Phishing-gegen-Kund:innen-Muster aus unserem SPF-Artikel.
Hinzu kommen zwei praktische Vorteile:
- Sichtbarkeit. Sie erhalten tägliche Berichte über jede IP, die Mail in Ihrem Namen versendet. Vergessene legitime Versender fallen so auf (das stillgelegte Newsletter-Tool, der Drucker mit Scan-Funktion, das alte HR-System), ebenso wie Betrüger, die Ihre Domain aktiv missbrauchen.
- Zustellbarkeit. Seit 2024 verlangen Google und Yahoo einen zumindest einfachen DMARC-Eintrag von jedem Versender mit nennenswertem Volumen. Ohne DMARC wird Bulk-Mail bereits am Eingang abgewiesen.
So beheben Sie das
Springen Sie nicht direkt auf “reject”. DMARC führt man am besten in drei Stufen über vier bis sechs Wochen ein. Ihr Domain-Administrator oder Hosting-Anbieter setzt das um:
Stufe 1: Beobachten (Woche 0)
Im DNS einen kleinen TXT-Eintrag hinterlegen, der sinngemäß sagt: “behandle meine Mail wie bisher, aber schick mir Berichte”. Die technische Zeile:
v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de;
Für die rua-Adresse ein Postfach oder einen
DMARC-Reporting-Dienst einrichten. Postmark, dmarcian, EasyDMARC
oder URIports haben jeweils kostenfreie Tarife.
Stufe 2: Sanfte Durchsetzung (Woche 2-3)
Zeigen die Berichte, dass Ihre echte Mail die Prüfung besteht, hochfahren:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@ihre-domain.de;
Damit gehen 25 % der nicht bestehenden Mails in Spam. Zwei Wochen beobachten, dann auf 100 %.
Stufe 3: Strenge Durchsetzung (Woche 4-6)
Endzustand: jeder empfangende Server lehnt nicht-bestehende Mail ab:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@ihre-domain.de;
Hinweis zu Subdomains
DMARC vererbt sich automatisch nach unten. Ein Eintrag auf
ihre-domain.de deckt auch shop.ihre-domain.de und
marketing.ihre-domain.de mit ab. Eine eigene Policy auf einer
Subdomain brauchen Sie nur, wenn dort eine andere Regel gelten soll.
Der blueredix-Scanner berücksichtigt das und prüft die übergeordnete
Domain, bevor er eine Subdomain als fehlend markiert.
Mehr dazu
- MXToolbox DMARC-Check: kostenfreie Sofortprüfung Ihres Eintrags.
- Google Sender-Anforderungen (2024): die Regeln, die Google bei Volumenversand durchsetzt.
- BSI-Hinweise zur E-Mail-Authentifizierung
- RFC 7489 — DMARC-Spezifikation (formelle Spezifikation)