Der Prüf­me­cha­nis­mus DMARC – Domain-based Message Au­then­ti­ca­ti­on Reporting and Con­for­mance – wurde ge­schaf­fen, um be­trü­ge­ri­sche E-Mails von echten Mails zu un­ter­schei­den. Vor allem Domain-Inhabende pro­fi­tie­ren von dem Verfahren, das ver­hin­dert, dass die eigene Domain auf Black­lists auftaucht und E-Mails ab­ge­wie­sen oder als Junk-Mails behandelt werden.

Was ist DMARC?

DMARC steht für „Domain-based Message Au­then­ti­ca­ti­on, Reporting and Con­for­mance“. Das Verfahren ergänzt be­stehen­de Au­then­ti­fi­zie­rungs­tech­ni­ken wie SPF und DKIM, indem es Mail­ser­vern klare An­wei­sun­gen gibt, wie sie mit Nach­rich­ten umgehen sollen, die diese Prüfungen nicht bestehen.

Wie funk­tio­niert DMARC?

  • Domain-Inhabende ver­öf­fent­li­chen in einer DNS-Zone einen spe­zi­el­len TXT-Record mit DMARC-Ein­stel­lun­gen.
  • Emp­fan­gen­de Mail­ser­ver prüfen ein­ge­hen­de E-Mails anhand von SPF und/oder DKIM.
  • Falls die Prüfung fehl­schlägt, wendet der emp­fan­gen­de Server die im DMARC-Record hin­ter­leg­te Policy an.
  • Zu­sätz­lich können Reports an die Domain-In­ha­ben­den gesendet werden, damit diese mögliche Angriffe erkennen und Maßnahmen ergreifen können.
Pro­fes­sio­nel­les E-Mail-Hosting ganz nach Ihrem Bedarf
  • Per­so­na­li­sier­te E-Mail-Adresse
  • Zugriff auf E-Mails immer und überall
  • Höchste Si­cher­heits­stan­dards

DMARC-Richt­li­ni­en im Überblick

Policy Bedeutung Typischer Einsatz
none E-Mail wird normal zu­ge­stellt, es erfolgt nur ein Reporting. Erste Testphase, zur Analyse der Reports
quarantine Ver­däch­ti­ge E-Mails werden in den Spam-Ordner oder Qua­ran­tä­ne ver­scho­ben. Geeignet, um Risiken zu ver­rin­gern, ohne legitime Mails komplett ab­zu­leh­nen
reject Ver­däch­ti­ge E-Mails werden ab­ge­wie­sen und gar nicht zu­ge­stellt. Endziel für Domains mit voll­stän­dig eta­blier­ten SPF- und DKIM-Records

DMARC: Reporting

Ein we­sent­li­cher Be­stand­teil von DMARC ist das Feedback-System. Dieses in­for­miert Domain-In­ha­be­rin­nen und -Inhaber über mögliche Miss­brauchs­ver­su­che:

  • Aggregate Reports (rua): Tägliche Über­sich­ten über alle geprüften E-Mails, in der Regel im XML-Format. Diese geben Auf­schluss über Volumen, Quelle und Prü­fungs­er­geb­nis­se.
  • Forensic Reports (ruf): De­tail­lier­te Ein­zel­be­rich­te zu fehl­ge­schla­ge­nen Prüfungen, die konkrete Header- und In­halts­tei­le der ver­däch­ti­gen Nachricht enthalten können.

Wichtig ist, dass Reports sensible Daten (z. B. Mail­adres­sen, Ab­sen­der­infor­ma­tio­nen, tech­ni­sche Details) enthalten können. Bei der Ein­rich­tung sollten daher immer die geltenden Da­ten­schutz­be­stim­mun­gen be­rück­sich­tigt werden.

Hinweis

Die emp­fan­gen­den Mail­ser­ver sind nicht dazu ver­pflich­tet, DMARC-Einträge zu be­rück­sich­ti­gen. Wenn Sie keine Meldungen über fehl­ge­schla­ge­ne DKIM- oder SPF-Checks erhalten, heißt dies nicht zwangs­läu­fig, dass alles in Ordnung ist.

Der Inhalt des DMARC-Eintrags

Ein DMARC-Record wird als TXT-Record im DNS einer Domain hin­ter­legt. Er besteht aus ver­schie­de­nen Pa­ra­me­tern, die zusammen festlegen, wie mit ein­ge­hen­den E-Mails um­ge­gan­gen wird.

DMARC-Felder und ihre Bedeutung

Feld / Tag Bedeutung Typische Werte / Optionen
v Version des DMARC-Eintrags DMARC1 (aktuelle Version)
p Policy der Haupt­do­main none = nur Mo­ni­to­ring, quarantine = ver­däch­ti­ge Mails in Spam/Qua­ran­tä­ne, reject = ver­däch­ti­ge Mails ablehnen
sp Policy für Sub­do­mains none, quarantine, reject
pct Pro­zent­wert der durch DMARC geprüften Mails Standard: 100 (alle Mails). Kann z. B. auf 50 gesetzt werden, um DMARC schritt­wei­se ein­zu­füh­ren
rua Adresse(n) für agg­re­gier­te Reports Beispiel: rua=mailto:dmarc-reports@ihredomain.de
ruf Adresse(n) für fo­ren­si­sche Reports Beispiel: ruf=mailto:dmarc-forensic@ihredomain.de
fo Failure Reporting Options – wann ein Fehler gemeldet wird fo=0 = nur wenn SPF und DKIM fehl­schla­gen (Standard); fo=1 = wenn min­des­tens eine Prüfung fehl­schlägt; fo=d = de­tail­lier­te DKIM-Fehler; fo=s = de­tail­lier­te SPF-Fehler
rf Format für fo­ren­si­sche Reports afrf (Standard, Au­then­ti­ca­ti­on Failure Reporting Format), iodef
ri Reporting-Intervall in Sekunden Standard: 86400 (24 Stunden)
adkim Alignment für DKIM r = relaxed (Sub­do­mains erlaubt), s = strict (exakte Über­ein­stim­mung er­for­der­lich)
aspf Alignment für SPF r = relaxed, s = strict

Beispiel für einen DMARC-Record

_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-forensic@example.com; pct=100; adkim=s; aspf=s"
txt
Sichere E-Mail Adresse für digitale Pri­vat­sphä­re
  • Pro­fes­sio­nel­ler Daten- und Si­cher­heits­schutz
  • E-Mail-Ver­schlüs­se­lung mit SSL/TLS
  • Top-Vi­ren­schutz dank Firewalls und Spam­fil­ter
  • Tägliche Backups, tägliche Ab­si­che­rung

Einen DMARC-Eintrag erstellen

Bevor Sie einen DMARC-Eintrag erstellen können, müssen bereits SPF- und DKIM-Records für Ihre Domain vorhanden sein. Erst wenn diese Basis ein­ge­rich­tet ist, entfaltet DMARC seine volle Wirkung.

Schritt 1: DMARC-Record ge­ne­rie­ren

Nutzen Sie ein Online-Tool, z. B. den DMARC Record Generator von EasyDMARC. Dort geben Sie Ihre Domain sowie ge­wünsch­te Optionen ein (Policy, Reporting-Adressen etc.).

Bild: Screenshot des Tools DMARC Record Generator von easydmarc
DMARC Record Generator

Schritt 2: TXT-Record im DNS anlegen

Als nächstes loggen Sie sich bei Ihrem Domain-Provider ein und öffnen dort die DNS-Ein­stel­lun­gen. Legen Sie einen TXT-Eintrag mit folgenden Werten an, um den DMARC-Eintrag für die Domain zu kon­fi­gu­rie­ren:

  • Subdomain: _dmarc.ihredomain.de
  • Typ: TXT
  • Wert: der vom Generator erstellte DMARC-Eintrag

Beispiel:

_dmarc.ihredomain.de. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihredomain.de"
txt

Schritt 3: Schritt­wei­se Policy einführen

  1. Start mit p=none
  • Nur Mo­ni­to­ring; E-Mails werden normal zu­ge­stellt.
  • DMARC-Reports ana­ly­sie­ren, um zu sehen, ob alle legitimen Server korrekt au­then­ti­fi­ziert sind.
  1. Wechsel auf p=quarantine
  • Ver­däch­ti­ge E-Mails werden in Spam/Qua­ran­tä­ne ver­scho­ben.
  • Risiko für Domain-Miss­brauch sinkt deutlich.
  1. Abschluss mit p=reject
  • Nicht au­then­ti­fi­zier­te E-Mails werden blockiert und gar nicht zu­ge­stellt.
  • Emp­foh­le­ne Endstufe für Domains mit voll­stän­dig eta­blier­ten SPF- und DKIM-Einträgen.

Es empfiehlt sich, die Policy vorerst auf none zu belassen und eine Zeit lang anhand der Reports zu be­ob­ach­ten, ob DMARC wie gewünscht funk­tio­niert.

Schritt 4: Reporting-Adresse ein­rich­ten

Legen Sie eine separate Adresse an, z. B. dmarc-reports@ihredomain.de. Diese Adresse aus­schließ­lich für DMARC-Reports verwenden, um reguläre Post­fä­cher nicht zu über­las­ten. Optional können Sie zu­sätz­lich eine Adresse für fo­ren­si­sche Reports ein­rich­ten, z. B. dmarc-forensic@ihredomain.de. Beachten Sie dabei folgende Punkte:

  • Reports trennen: Verwenden Sie die Adressen aus­schließ­lich für DMARC-Reports. So vermeiden Sie, dass normale Post­fä­cher mit XML-Dateien über­flu­tet werden.
  • DNS-Be­rech­ti­gung si­cher­stel­len: Damit ein fremder Mail­ser­ver Reports an Ihre Domain senden darf, muss Ihre Domain im DNS zustimmen. Ohne diese Zu­stim­mung erhalten Sie keine DMARC-Reports – auch wenn Ihr Eintrag korrekt gesetzt ist.
  • Da­ten­schutz beachten: DMARC-Reports enthalten sensible Daten (z. B. IP-Adressen, Mail­adres­sen). Prüfen Sie, ob die Ver­ar­bei­tung mit Ihren internen Da­ten­schutz­richt­li­ni­en und ggf. der DSGVO im Einklang steht.

Schritt 5: Er­geb­nis­se über­wa­chen

Nutzen Sie spe­zia­li­sier­te Tools, um Reports aus­zu­wer­ten und Miss­brauch schnell zu erkennen. Dienste wie Google Post­mas­ter Tools oder Microsoft SNDS (Smart Network Data Services) vi­sua­li­sie­ren, ob und wie Ihre Domain von An­grei­fern miss­braucht wird, und er­leich­tern die Anpassung Ihrer DMARC-Policy.

Schritt 6: Den DMARC-Record über­prü­fen

Je nach Name­ser­ver dauert es einige Minuten oder Stunden, bis der DMARC-Eintrag ver­öf­fent­licht wird. Wenn Sie über­prü­fen wollen, ob der Eintrag ord­nungs­ge­mäß pu­bli­ziert wurde, können Sie eines der zahl­rei­chen DMARC-Check-Tools im Internet verwenden, z. B. das DMARC Record Lookup Tool von EasyDMARC.

Bild: Screenshot des DMARC Record Lookup Tools von easydmarc.com
DMARC Record Lookup
Zum Hauptmenü