Zum Inhalt springen
0
0228 / 96 96 77-0
Kontakt

DMARC

DMARC in einfacher Sprache
Zuletzt aktualisiert: 06.04.2026Autor: Redaktion DomainProvider.de · Lesezeit: 4 Min.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein E-Mail-Authentifizierungsprotokoll, das Domaininhaber vor E-Mail-Spoofing und Phishing schützt. Es baut auf SPF und DKIM auf, kombiniert deren Ergebnisse und legt fest, wie empfangende Mailserver mit nicht authentifizierten E-Mails umgehen sollen. Zusätzlich liefert DMARC Berichte über den E-Mail-Verkehr einer Domain.

Was leistet DMARC?

DMARC verbindet SPF und DKIM zu einer einheitlichen E-Mail-Authentifizierung und gibt dem Domaininhaber die Kontrolle über nicht autorisierte E-Mails.

  • Authentifizierung: DMARC prüft, ob eine E-Mail sowohl die SPF- als auch die DKIM-Prüfung besteht, und gleicht das Ergebnis mit der Absender-Domain ab.
  • Richtlinien: Domaininhaber legen fest, ob nicht authentifizierte E-Mails zugestellt, in den Spam verschoben oder abgelehnt werden.
  • Berichterstellung: DMARC sendet aggregierte und forensische Berichte über alle E-Mails, die im Namen der Domain versendet werden.
  • Schutz vor Missbrauch: Angreifer können keine gefälschten E-Mails mehr im Namen der Domain versenden, wenn die Richtlinie auf Reject steht.

Große E-Mail-Anbieter setzen DMARC zunehmend voraus: Google verlangt seit Februar 2024 von Absendern mit mehr als 5.000 E-Mails pro Tag einen gültigen DMARC-Record zusätzlich zu SPF und DKIM.

Wie funktioniert DMARC?

DMARC arbeitet in vier Schritten: Authentifizierung, Abgleich, Richtlinien-Umsetzung und Berichterstellung.

  1. Authentifizierung: Der empfangende Mailserver prüft, ob die E-Mail die SPF- und/oder DKIM-Authentifizierung besteht.
  2. Abgleich: Der Server prüft, ob die Absender-Domain mit der in SPF/DKIM authentifizierten Domain übereinstimmt (Alignment).
  3. Richtlinien-Umsetzung: Je nach DMARC-Richtlinie (None, Quarantine, Reject) wird die E-Mail zugestellt, als Spam markiert oder abgelehnt.
  4. Berichterstellung: Der empfangende Server sendet einen Bericht an die im DMARC-Record hinterlegte Adresse.

Welche DMARC-Richtlinien gibt es?

Die Richtlinie bestimmt, wie empfangende Server mit E-Mails umgehen, die die Authentifizierung nicht bestehen.

  • None (p=none): E-Mails werden normal zugestellt. Der Domaininhaber erhält nur Berichte — ideal zum Beobachten vor der Verschärfung.
  • Quarantine (p=quarantine): Nicht authentifizierte E-Mails werden in den Spam-Ordner verschoben.
  • Reject (p=reject): Nicht authentifizierte E-Mails werden vollständig abgelehnt — der stärkste Schutz.

Empfehlung: Mit p=none starten, Berichte auswerten und schrittweise auf p=reject verschärfen.

Wie sieht ein DMARC-DNS-Record aus?

Ein DMARC-Record wird als DNS-TXT-Eintrag unter _dmarc.domain.de konfiguriert. Mit einem DMARC-Record-Generator lässt sich dieser Eintrag schnell und fehlerfrei erstellen.

_dmarc.meine-domain.de. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@meine-domain.de; ruf=mailto:forensics@meine-domain.de; fo=1"

Erklärung der Parameter:

  • v: Version des DMARC-Protokolls (immer DMARC1)
  • p: Richtlinie (none, quarantine, reject)
  • rua: Adresse für aggregierte Berichte (tägliche Zusammenfassung)
  • ruf: Adresse für forensische Berichte (Einzelfälle)
  • fo: Bedingungen für forensische Berichte (1 = bei jedem Fehler)

Welche Vorteile bietet DMARC?

DMARC gibt Domaininhabern erstmals die Kontrolle darüber, was mit gefälschten E-Mails passiert.

  • Schutz vor Phishing: Gefälschte E-Mails im Namen der Domain werden blockiert.
  • Transparenz: Berichte zeigen, wer E-Mails im Namen der Domain versendet — legitim und missbräuchlich.
  • Verbesserte Zustellbarkeit: E-Mails von DMARC-geschützten Domains werden von Empfängern als vertrauenswürdiger eingestuft.
  • Pflicht bei großen Anbietern: Google, Yahoo und Microsoft setzen DMARC zunehmend für den E-Mail-Empfang voraus.

Welche Einschränkungen hat DMARC?

DMARC setzt korrekt konfigurierte SPF- und DKIM-Einträge voraus — ohne diese Grundlage funktioniert es nicht.

  • Abhängigkeit von SPF und DKIM: DMARC wertet nur deren Ergebnisse aus. Fehlen SPF- oder DKIM-Einträge, kann DMARC nicht greifen.
  • Fehlkonfiguration: Eine zu strenge Richtlinie (Reject) ohne vorherige Analyse kann legitime E-Mails blockieren — etwa von externen Dienstleistern, die noch nicht im SPF-Record erfasst sind.
  • Wartung: DMARC-Berichte sollten regelmäßig ausgewertet werden, um Fehlkonfigurationen und Missbrauch zu erkennen.

Wie arbeiten SPF, DKIM und DMARC zusammen?

Die drei Protokolle ergänzen sich und bilden gemeinsam eine vollständige E-Mail-Authentifizierung.

  • SPF: Prüft, ob der sendende Server autorisiert ist.
  • DKIM: Signiert E-Mails kryptografisch und stellt sicher, dass der Inhalt nicht verändert wurde.
  • DMARC: Wertet SPF- und DKIM-Ergebnisse aus und definiert, was mit nicht authentifizierten E-Mails geschieht.

Ob alle drei Einträge korrekt konfiguriert sind, lässt sich mit einem SPF, DMARC & DKIM Check prüfen.

Fazit

DMARC ist das Bindeglied zwischen SPF und DKIM. Es wertet deren Ergebnisse aus, definiert Richtlinien für den Umgang mit nicht authentifizierten E-Mails und liefert Berichte über den E-Mail-Verkehr. Die Einrichtung erfordert einen DNS-TXT-Record — ein DMARC-Record-Generator erstellt diesen in wenigen Schritten. Für Domains mit E-Mail-Versand ist DMARC zusammen mit SPF und DKIM unverzichtbar.

Haftungsausschluss (Details anzeigen)(Details ausblenden)

Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.