DMARC

DMARC steht für Domain-based Message Authentication, Reporting and Conformance. Es ist ein offenes Protokoll, das auf SPF und DKIM aufbaut und Domaininhabern ermöglicht, festzulegen, wie Empfänger-Server mit E-Mails umgehen sollen, die diese Authentifizierungsprüfungen nicht bestehen. Ohne DMARC können Angreifer die eigene Domain ungehindert für Phishing und Spoofing missbrauchen — selbst wenn SPF und DKIM konfiguriert sind.

Wie funktioniert DMARC?

DMARC wird als TXT-Record in der DNS-Zone der Domain veröffentlicht (unter _dmarc.example.de). Wenn ein Empfänger-Server eine E-Mail erhält, prüft er zunächst SPF und DKIM. Anschließend gleicht er das Ergebnis mit der DMARC-Policy ab. DMARC verlangt dabei sogenanntes Alignment: Die Domain im From:-Header muss mit der Domain übereinstimmen, die SPF oder DKIM authentifiziert hat. Erst diese Alignment-Prüfung schließt die Lücke, die SPF und DKIM allein offenlassen.

DMARC kennt drei Policy-Stufen, die den Umgang mit nicht authentifizierten E-Mails regeln:

Der empfohlene Weg führt schrittweise von none über quarantine zu reject. So lassen sich zunächst alle legitimen Absender identifizieren und korrekt konfigurieren, bevor nicht authentifizierte E-Mails blockiert werden.

DMARC-Record aufbauen

Ein DMARC-Record besteht aus mehreren Tags, die das Verhalten und Reporting steuern. Ein typischer Record sieht so aus:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.de; ruf=mailto:dmarc-forensic@example.de; sp=quarantine; pct=100

Das sp-Tag wird häufig vergessen. Ohne explizite Subdomain-Policy erbt die Subdomain die Policy der Hauptdomain — das kann jedoch zu unerwarteten Ergebnissen führen, wenn Subdomains eigene Mailserver nutzen.

Zusammenspiel mit SPF und DKIM

DMARC funktioniert nicht isoliert, sondern orchestriert SPF und DKIM. Damit eine E-Mail die DMARC-Prüfung besteht, muss mindestens eines der beiden Verfahren sowohl bestehen als auch im Alignment mit der From:-Domain sein. In der Praxis empfiehlt es sich, beide Verfahren parallel einzusetzen: SPF validiert den sendenden Server, DKIM die Integrität der Nachricht. Fällt eines der beiden Verfahren aus — etwa weil eine E-Mail weitergeleitet wird und SPF dabei bricht — kann das andere die Authentifizierung noch sicherstellen.

Relaxed vs. Strict Alignment

DMARC kennt zwei Alignment-Modi: relaxed (Standard) und strict. Bei relaxed Alignment genügt es, wenn die Organisationsdomain übereinstimmt — newsletter.example.de und example.de gelten als aligned. Bei strict Alignment müssen die Domains exakt übereinstimmen. Für die meisten Unternehmen ist relaxed Alignment die pragmatische Wahl, da es den Einsatz von Subdomains für verschiedene Absender (Newsletter, Transaktionsmails, Support) erlaubt.

DMARC Reporting

Einer der größten Vorteile von DMARC ist die Reporting-Funktion. Aggregierte Berichte (RUA) werden täglich von Empfänger-Servern gesendet und zeigen, welche IP-Adressen E-Mails im Namen der Domain versenden und ob diese SPF/DKIM bestehen. Forensische Berichte (RUF) liefern Details zu einzelnen fehlgeschlagenen E-Mails, werden jedoch aus Datenschutzgründen von vielen Providern nicht mehr gesendet.

Die aggregierten Berichte sind im XML-Format und ohne Tooling schwer lesbar. Mit dem kostenlosen DMARC Report Analyzer lassen sich die XML-Dateien direkt im Browser parsen und visuell aufbereiten — so werden alle Absender, Authentifizierungsergebnisse und Alignment-Probleme auf einen Blick sichtbar. Das ist ein unverzichtbarer Schritt vor der Verschärfung der Policy auf reject.

Häufige Fehler bei der DMARC-Einführung

Der häufigste Fehler ist der direkte Sprung zu p=reject ohne vorherige Monitoring-Phase. Ohne die Analyse der DMARC-Berichte werden oft legitime Absender übersehen — etwa ein CRM-System, das Auftragsbestätigungen versendet, oder ein externer Dienstleister für Gehaltsabrechnungen. Werden diese Absender nicht vorher in SPF und DKIM aufgenommen, werden ihre E-Mails nach der Policy-Verschärfung abgewiesen.

Ein weiterer Fehler ist die fehlende Konfiguration des sp-Tags für Subdomains. Angreifer weichen häufig auf Subdomains aus (z. B. support.example.de), wenn die Hauptdomain geschützt ist. Ohne explizite Subdomain-Policy bleibt diese Flanke offen.

Relevanz für Unternehmen

Große E-Mail-Provider verlangen zunehmend eine DMARC-Konfiguration. Google und Yahoo setzen dies seit Februar 2024 für Massenvesender durch, Microsoft seit Mai 2025. E-Mails von Domains ohne DMARC-Record werden zunehmend als Spam eingestuft oder abgewiesen — auch wenn sie legitim sind. Für Unternehmen bedeutet das: DMARC ist nicht mehr optional, sondern eine Voraussetzung für zuverlässige E-Mail-Zustellung. Darüber hinaus schützt eine strenge DMARC-Policy die eigene Marke, indem sie verhindert, dass Angreifer die Domain für Phishing-Kampagnen gegen Kunden und Partner missbrauchen.

Praxistipp

Bevor Sie Ihre DMARC-Policy verschärfen, sollten Sie den aktuellen Stand Ihrer E-Mail-Authentifizierung prüfen. Mit dem E-Mail Security Check können Sie den DMARC-Record Ihrer Domain kostenlos analysieren und erhalten eine Bewertung aller drei Authentifizierungsverfahren. Die täglichen Aggregate-Reports, die Empfänger-Server an Ihre rua-Adresse senden, lassen sich mit dem DMARC Report Analyzer direkt im Browser parsen und visuell aufbereiten — so erkennen Sie alle Absender, Alignment-Probleme und fehlgeschlagene Prüfungen auf einen Blick. Sobald Ihre DMARC-Policy auf p=quarantine oder p=reject steht, können Sie mit BIMI Ihr Markenlogo im Posteingang anzeigen lassen — prüfbar mit dem BIMI-Check.