DMARC-Report-Analyzer

Was sind DMARC-Aggregate-Reports?

Jedes Mal, wenn ein Empfänger-Server eine E-Mail erhält, prüft er SPF, DKIM und DMARC. Das Ergebnis dieser Prüfung wird in einem aggregierten Bericht zusammengefasst und an die Adresse geschickt, die im rua-Tag des DMARC-Records hinterlegt ist. Diese Berichte — sogenannte DMARC Aggregate Reports nach RFC 7489 — werden typischerweise einmal täglich von jedem empfangenden Mailprovider zugestellt und liegen als XML-Datei vor, häufig komprimiert als ZIP- oder GZIP-Archiv.

Der Inhalt eines solchen Reports ist technisch präzise, aber ohne Hilfsmittel schwer zu lesen. Jede XML-Datei enthält die Reporting-Organisation (z. B. google.com oder outlook.com), den Berichtszeitraum, die geprüfte Domain und für jede IP-Adresse, die im Namen der Domain gesendet hat, das Ergebnis der SPF- und DKIM-Prüfung sowie den Alignment-Status. Bei Domains mit hohem E-Mail-Volumen summiert sich das schnell auf Hunderte von Datensätzen pro Tag und Dutzende von Reporting-Organisationen.

Warum die Analyse dieser Reports unverzichtbar ist

Die aggregierten Berichte sind der einzige zuverlässige Weg, um vollständig zu verstehen, wer unter Ihrer Domain E-Mails versendet. In der Praxis finden sich dort regelmäßig Überraschungen: ein vergessener Dienstleister, der noch immer Auftragsbestätigungen über eine alte Plattform verschickt; ein Monitoring-System, das Alerts per SMTP weiterleitet; oder ein Angreifer, der Ihre Domain aktiv für Phishing missbraucht. Ohne die systematische Auswertung dieser Reports bleibt all das unsichtbar.

Besonders kritisch wird die Report-Analyse beim schrittweisen Verschärfen der DMARC-Policy. Bevor Sie von p=none auf p=quarantine oder p=reject wechseln, müssen Sie sicherstellen, dass alle legitimen Absender korrekt authentifiziert sind. Ein voreiliger Wechsel zu reject ohne vorherige Report-Analyse legt im schlimmsten Fall den gesamten E-Mail-Versand lahm — Rechnungen, Supportantworten und Transaktionsmails werden dann vom Empfänger-Server abgewiesen. Seit Google, Yahoo und Microsoft ihre Absenderanforderungen verschärft haben, ist eine lückenlose E-Mail-Authentifizierung keine optionale Maßnahme mehr, sondern Voraussetzung für zuverlässige Zustellung.

Wie unser DMARC Report Analyzer funktioniert

Der DMARC Report Analyzer verarbeitet die XML-Dateien direkt in Ihrem Browser — vollständig clientseitig, ohne dass Daten an einen Server übertragen werden. Sie laden die XML-Datei (oder das ZIP/GZIP-Archiv) hoch, und das Tool parst die Struktur gemäß RFC 7489. Anschließend werden die Ergebnisse übersichtlich aufbereitet: Welche IP-Adressen haben im Namen Ihrer Domain gesendet? Hat SPF bestanden, und stimmt das Alignment? Hat DKIM bestanden, und mit welchem Selector? Welche Policy wurde angewandt, und wie viele Nachrichten waren betroffen?

Die visuelle Aufbereitung macht Muster sofort erkennbar, die in der rohen XML-Datei untergehen würden. Eine IP-Adresse, die tausend Nachrichten ohne DKIM-Alignment versendet, springt in der tabellarischen Darstellung ins Auge. Ein Drittanbieter, dessen SPF-Prüfung durchgehend fehlschlägt, lässt sich direkt identifizieren und im SPF-Flattener weiter analysieren.

Vom Report zur gehärteten Policy

Der eigentliche Wert der Report-Analyse liegt nicht in der einmaligen Auswertung, sondern im kontinuierlichen Monitoring. Laden Sie die täglichen Reports regelmäßig hoch und verfolgen Sie, wie sich Änderungen an SPF- und DKIM-Konfigurationen auf die Authentifizierungsergebnisse auswirken. So erkennen Sie, wann alle legitimen Absender sauber authentifiziert sind und der nächste Schritt in Richtung p=reject sicher ist.

Ergänzend zum Report Analyzer zeigt der E-Mail Security Check den aktuellen Stand Ihrer DMARC-, SPF- und DKIM-Records. Und sobald Ihre Policy auf p=quarantine oder p=reject steht (jeweils mit pct=100), ist Ihre Domain bereit für BIMI — das Markenlogo im Posteingang, prüfbar mit dem BIMI-Check.