SPF ist gesetzt, DKIM läuft – und trotzdem landen E-Mails im Spam oder jemand versendet E-Mails in deinem Namen. DMARC schließt die Lücke, die SPF und DKIM allein lassen. Was das Protokoll genau macht, wie du eine DMARC-Policy einrichtest und was die Reports dir sagen, erfährst du hier.
Inhaltsverzeichnis
Was ist DMARC?
DMARC steht für Domain-based Message Authentication, Reporting and Conformance. Es ist ein E-Mail-Authentifizierungsprotokoll, das auf SPF und DKIM aufbaut – und das ergänzt, was beiden fehlt: eine klare Anweisung, was mit E-Mails passieren soll, die die Authentifizierung nicht bestehen.
Kurz gesagt: DMARC sagt Mail Providern, was sie tun sollen, wenn jemand versucht, E-Mails in deinem Namen zu versenden.
Ohne DMARC können SPF und DKIM zwar feststellen, dass etwas nicht stimmt – aber sie können nichts dagegen tun. DMARC gibt dir die Entscheidungsgewalt zurück. Du legst fest, ob verdächtige E-Mails abgelehnt, in Quarantäne gestellt oder trotzdem zugestellt werden.
Gut zu wissen: Gmail, Yahoo und Microsoft verlangen von Absendern, die mehr als 5.000 E-Mails pro Tag versenden, einen gültigen DMARC-Record. Für alle anderen ist DMARC dringend empfohlen. Die vollständigen Absenderanforderungen haben wir in unserem separaten Artikel zusammengefasst.
Wie funktioniert DMARC?
DMARC prüft zwei Dinge gleichzeitig – das ist der Unterschied zu SPF und DKIM allein.
Erstens: Hat die E-Mail entweder SPF oder DKIM bestanden? Mindestens eines der beiden muss erfolgreich sein.
Zweitens: Stimmt die dabei verwendete Domain mit der Domain im „From“-Feld überein, das der Empfänger oder die Empfängerin sieht? Das nennt sich Alignment. Ohne Alignment-Prüfung könnte jemand eine E-Mail mit einer gefälschten Absenderadresse versenden, die SPF und DKIM auf einer ganz anderen Domain besteht – technisch korrekt, aber trotzdem ein Spoofing-Versuch.
Besteht eine E-Mail die DMARC-Prüfung nicht, greift die Policy: Je nach Einstellung wird sie abgelehnt, in den Spam-Ordner verschoben oder trotzdem zugestellt. Außerdem sendet der empfangende Server einen Report an die im Record hinterlegte Adresse – so weißt du, was mit deinen E-Mails passiert.
DMARC-Record erstellen: Schritt für Schritt
Ein DMARC-Record ist ein TXT-Eintrag im DNS deiner Domain unter dem Hostnamen _dmarc.deinedomäne.de. Der Aufbau folgt immer dem gleichen Schema.
Aufbau eines DMARC-Records
Ein minimaler DMARC-Record sieht so aus:
v=DMARC1; p=none; rua=mailto:dmarc-reports@deinedomäne.de
Die wichtigsten Tags im Überblick:
TXT-Eintrag im DNS anlegen
Geh in die DNS-Verwaltung deiner Domain und lege einen neuen TXT-Eintrag an:
Tipp: Fang mit p=none an. Das ist der Monitor-Modus – E-Mails werden normal zugestellt, du bekommst Reports und siehst, wer alles in deinem Namen sendet. Erst wenn du weißt, dass alle legitimen Absender korrekt konfiguriert sind, stufst du hoch.
Die drei DMARC-Policies erklärt
Die Policy (p=) ist die wichtigste Entscheidung bei der Einrichtung. Drei Stufen, drei verschiedene Konsequenzen.
p=none ist der Monitor-Modus. E-Mails, die DMARC nicht bestehen, werden trotzdem zugestellt. Du bekommst Reports, aber es passiert nichts. Das ist der richtige Einstieg – du lernst, wie deine Domain genutzt wird, ohne versehentlich legitime E-Mails zu blockieren.
p=quarantine schickt verdächtige E-Mails in den Spam. Ein guter Zwischenschritt, wenn du weißt, dass deine eigenen Systeme korrekt konfiguriert sind, aber noch nicht ganz sicher bist. Empfänger sehen die E-Mail noch – nur eben im Spam-Ordner.
p=reject lehnt E-Mails komplett ab. Die stärkste Einstellung. E-Mails, die DMARC nicht bestehen, kommen gar nicht erst beim Empfänger an. Wer hier zu früh umstellt, ohne alle legitimen Absender geprüft zu haben, blockiert seine eigenen E-Mails.
Die Reihenfolge, die funktioniert: none → Reports auswerten → quarantine → weiter beobachten → reject.
Eine korrekt konfigurierte DMARC-Policy ist außerdem eine wichtige Grundlage für deine Newsletter-Zustellbarkeit.
DMARC testen: So prüfst du deinen Record
Online-Tools
MXToolbox (mxtoolbox.com/dmarc.aspx) – Domain eingeben und sofort sehen, ob der Record vorhanden und syntaktisch korrekt ist.
Google Admin Toolbox (toolbox.googleapps.com/apps/checkmx/) – prüft DMARC zusammen mit SPF und DKIM in einem Durchgang. Gut für einen schnellen Gesamtüberblick.
DMARC Analyzer (dmarcanalyzer.com) – prüft nicht nur die Syntax, sondern gibt auch Empfehlungen zur Policy-Verschärfung.
Test per E-Mail
Schick eine Test-E-Mail an [email protected]. Die automatische Antwort zeigt den vollständigen Authentifizierungsstatus – DMARC, DKIM und SPF in einem.
In Brevo direkt prüfen
Unter Einstellungen → Absender, Domains und dedizierte IPs → Domains zeigt Brevo den DMARC-Status deiner Domain an. Grüner Haken: Record vorhanden und korrekt. Kein Haken: Etwas fehlt noch.
Wenn du verstehen möchtest, wie E-Mails technisch übertragen werden, lohnt sich ein Blick auf unseren Artikel über SMTP Server.
DMARC-Reports lesen: Was steckt drin?
DMARC sendet zwei Typen von Reports – beide landen als XML-Datei in der im Record hinterlegten E-Mail-Adresse.
Aggregate Reports (RUA)
Der täglich versendete Aggregate Report zeigt auf Domain-Ebene, wie viele E-Mails gesendet wurden, von welchen IP-Adressen, ob SPF und DKIM bestanden wurden und welche Disposition angewendet wurde.
Ein typischer Eintrag sieht so aus:
xml
<record>
<row>
<source_ip>185.107.80.2</source_ip>
<count>142</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
</record>
142 E-Mails von einer IP-Adresse, beide Authentifizierungsmethoden bestanden, keine Aktion nötig. Taucht eine unbekannte IP auf – das ist genau der Moment, für den DMARC gebaut wurde.
Forensic Reports (RUF)
Forensic Reports werden pro fehlgeschlagener E-Mail gesendet und enthalten mehr Details – oft den kompletten E-Mail-Header. Nützlich für die Diagnose einzelner Probleme, aber sie erzeugen auch mehr Volumen. Die meisten schalten RUF nur vorübergehend zur Fehlersuche ein.
Tipp: Rohe XML-Reports manuell zu lesen ist mühsam. Tools wie DMARC Analyzer visualisieren die Daten übersichtlich. Für den Einstieg reicht es, die Reports im Text-Editor zu öffnen und nach unbekannten IPs oder fail-Einträgen zu suchen.
Häufige Fehler bei der DMARC-Einrichtung
Zu schnell auf p=reject umstellen. Der häufigste Fehler – und der folgenreichste. Newsletter-Dienste, CRM, Helpdesk-Tools, externe Agenturen: wer auch nur einen legitimen Absender vergisst, blockiert echte E-Mails. Erst none, Reports lesen, dann hochstufen.
Alignment-Fehler übersehen. DMARC kann fehlschlagen, auch wenn DKIM und SPF technisch bestehen – nämlich wenn die verwendete Domain nicht mit der „From“-Adresse übereinstimmt. Passiert oft bei E-Mails über Drittanbieter, deren Subdomain nicht korrekt konfiguriert ist.
Kein rua-Tag. Ohne Reporting-Adresse bekommst du keine Reports. Du weißt dann nicht, ob deine Domain missbraucht wird – auch im none-Modus nicht. Deshalb immer eine Adresse hinterlegen.
pct vergessen anzupassen. Wer den Tag zum Testen auf 50 setzt, sollte ihn auf 100 erhöhen, sobald alles stabil läuft.
DMARC ohne DKIM und SPF einrichten. DMARC baut auf beiden auf. Wer DMARC aktiviert, bevor DKIM und SPF korrekt konfiguriert sind, sieht im Report hauptsächlich Fehler – nicht wegen Angriffen, sondern wegen eigener Lücken.
Domains ohne DMARC-Schutz landen schneller auf E-Mail Blocklists – besonders wenn Dritte sie für Spam missbrauchen.
DMARC, SPF und DKIM: das Zusammenspiel
Die drei Protokolle haben unterschiedliche Aufgaben, brauchen sich aber gegenseitig.
SPF prüft, ob der sendende Mail-Server berechtigt ist, E-Mails für deine Domain zu verschicken. Eine Whitelist auf IP-Ebene – aber ohne Schutz vor gefälschten „From“-Adressen im sichtbaren Bereich.
DKIM signiert die E-Mail kryptografisch und stellt sicher, dass sie auf dem Transportweg nicht verändert wurde. Alles dazu steht im DKIM-Artikel.
DMARC verbindet beide: Es prüft, ob mindestens eines bestanden wurde, ob die Domains übereinstimmen – und legt fest, was bei einem Fehler passiert.
Alle drei einzurichten dauert weniger als eine Stunde. Wer nur eines davon hat, lässt eine Lücke.
Fazit
DMARC ist das einzige der drei Protokolle, das aktiv verhindert, dass deine Domain für Phishing missbraucht wird. SPF und DKIM sagen, ob etwas stimmt – DMARC entscheidet, was dann passiert.
Mit p=none starten, Reports auswerten, schrittweise auf reject hochstufen. Alle drei Protokolle lassen sich direkt in Brevo konfigurieren und überwachen: transaktionale E-Mail-Einstellungen.







