dmarc-missing
DMARC-Eintrag fehlt
DMARC sagt Mailservern, was bei gefälschten Nachrichten von Ihrer Domain zu tun ist. Ohne DMARC nützen auch korrektes SPF und DKIM wenig. So richten Sie DMARC ein.
Worum es geht
DMARC ist der dritte Baustein im E-Mail-Schutz-Trio neben SPF und DKIM. Es erfüllt zwei Aufgaben gleichzeitig:
- Es legt fest, was empfangende Mailserver tun sollen, wenn eine vermeintliche Mail von Ihrer Domain die Prüfung nicht besteht: zustellen, in Spam einsortieren oder gleich ablehnen.
- Es liefert Berichte dieser Mailserver über jeden Versuch (echt wie gefälscht), Mail in Ihrem Namen zu versenden.
Ohne DMARC schützt das aufwändige SPF-Setup nur jene Empfänger, die SPF aktiv streng durchsetzen (siehe unseren SPF-Artikel). Viele kleinere Mailprovider und die meisten kostenfreien Webmailer tun das nicht: verdächtige Mail wird einfach zugestellt, die Entscheidung bleibt der Empfängerin überlassen. Hier kommt DMARC ins Spiel: Sie veröffentlichen selbst die Entscheidung “wenn die Prüfung fehlschlägt, nicht zustellen”.
Warum das wichtig ist
Steht DMARC auf “reject”, endet bei Gmail, Outlook, Apple Mail, Yahoo, GMX und web.de der Großteil der Spoofing-Angriffe gegen Ihre Domain. Allein das ist eine spürbare Verteidigung gegen die Rechnungsbetrug-, “CEO-Fraud”- und Phishing-gegen-Kund:innen-Muster aus unserem SPF-Artikel.
Hinzu kommen zwei praktische Vorteile:
- Sichtbarkeit. Sie erhalten tägliche Berichte über jede IP, die Mail in Ihrem Namen versendet. Vergessene legitime Versender fallen so auf (das stillgelegte Newsletter-Tool, der Drucker mit Scan-Funktion, das alte HR-System), ebenso wie Betrüger, die Ihre Domain aktiv missbrauchen.
- Zustellbarkeit. Seit 2024 verlangen Google und Yahoo einen zumindest einfachen DMARC-Eintrag von jedem Versender mit nennenswertem Volumen. Ohne DMARC wird Bulk-Mail bereits am Eingang abgewiesen.
So beheben Sie das
Stellen Sie nicht sofort auf “reject” um. DMARC führt man am besten in drei Stufen über vier bis sechs Wochen ein. Ihr Domain-Administrator oder Hosting-Anbieter setzt das um:
Stufe 1: Beobachten (Woche 0)
Im DNS einen kleinen TXT-Eintrag hinterlegen, der sinngemäß sagt: “behandle meine Mail wie bisher, aber schick mir Berichte”. Die technische Zeile:
v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de;
Für die rua-Adresse ein Postfach oder einen
DMARC-Reporting-Dienst einrichten. Postmark, dmarcian, EasyDMARC
oder URIports haben jeweils kostenfreie Tarife.
Stufe 2: Sanfte Durchsetzung (Woche 2-3)
Zeigen die Berichte, dass Ihre echte Mail die Prüfung besteht, hochfahren:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@ihre-domain.de;
Damit gehen 25 % der nicht bestehenden Mails in Spam. Zwei Wochen beobachten, dann auf 100 % erhöhen.
Stufe 3: Strenge Durchsetzung (Woche 4-6)
Endzustand: jeder empfangende Server lehnt nicht-bestehende Mail ab:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@ihre-domain.de;
Hinweis zu Subdomains
DMARC vererbt sich automatisch nach unten. Ein Eintrag auf
ihre-domain.de deckt auch shop.ihre-domain.de und
marketing.ihre-domain.de mit ab. Eine eigene Policy auf einer
Subdomain brauchen Sie nur, wenn dort eine andere Regel gelten soll.
Der blueredix-Scanner berücksichtigt das und prüft die übergeordnete
Domain, bevor er eine Subdomain als fehlend markiert.
Mehr dazu
- MXToolbox DMARC-Check: kostenfreie Sofortprüfung Ihres Eintrags.
- Google Sender-Anforderungen (2024): die Regeln, die Google bei Volumenversand durchsetzt.
- RFC 7489 — DMARC-Spezifikation (formelle Spezifikation)