Was ist DMARC und wie wird es konfiguriert?
Ab Februar 2024 führen Gmail und Yahoo neue Authentifizierungsanforderungen ein, die die Verwendung einer benutzerdefinierten, DKIM-authentifizierten Domain mit DMARC-Verstärkung erfordern.
Im April 2025 schloss sich Microsoft ihnen mit einer ähnlichen Ankündigung an.
GetResponse empfiehlt allen Absendern dringend, E-Mail-Adressen von eigenen Absenderdomänen als Absenderfeld zu verwenden und sowohl DKIM
Weitere Einzelheiten zu diesen Änderungen finden Sie in unserem Blogbeitrag:
Gmail and Yahoo’s Authentication Changes: All You Need to Know
Was ist DMARC
DMARC steht für Domain-based Message Authentication, Reporting & Conformance. Es handelt sich um ein E-Mail-Authentifizierungs-, Richtlinien- und Berichtsprotokoll. Es baut auf den weit verbreiteten SPF– und DKIM-Protokollen auf, um den Schutz einer Domäne vor betrügerischen E-Mails
Außerdem kann ein Domänenbesitzer Benachrichtigungen
Einrichten eines DMARC-Eintrags
Bevor Sie mit der Konfiguration von DMARC beginnen:
- Domain Keys Identified Mail (DKIM) konfigurieren
- Überprüfen Sie, ob bereits ein DMARC-Eintrag vorhanden ist, indem Sie sich bei Ihrem Domain-Hosting-Panel anmelden
Im DMARC TXT-Eintrag ist die DMARC-Richtlinie definiert. Durch die Konfiguration einer DMARC-Richtlinie wird der Grad der Strenge für die Überprüfung von Nachrichten festgelegt und welche Aktionen für einen Server empfohlen werden, der eine Nachricht empfängt, wenn die Authentifizierung fehlschlägt.
Um grundlegende DMARC-Funktionen einzurichten, müssen Sie den entsprechenden Eintrag in den DNS-Servereinstellungen Ihrer Domain
Eine DMARC-Richtlinie kann in einem Datensatz festgelegt werden. Hier ist ein Beispiel für den einfachsten Datensatz, der verwendet werden kann:
v=DMARC1; p=none;Der DMARC-Eintragsname (Host) sollte _dmarc.yourdomain.com lauten, wobei yourdomain.com durch die tatsächliche Domain-URL ersetzt werden muss.
Ein anderes Beispiel wäre:
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=sHinweis: E-Mail-Adressen müssen in tatsächliche Arbeits-E-Mail-Adressen geändert werden, auf die Sie Zugriff haben. Die in diesem Beispiel verwendeten Tags sind möglicherweise nicht für jeden geeignet. Bitte lesen Sie die Beschreibung unten.
Ein DMARC-Eintrag umfasst obligatorische und optionale Tags, die Richtlinien für die E-Mail-Authentifizierung definieren. Ein grundlegendes Beispiel für einen DMARC-Eintrag muss die folgenden wesentlichen Tags enthalten:
- v tag – informiert über DMARC-Versionen, es ist immer auf DMARC1 eingestellt
- p tag – enthält Informationen darüber, was Server mit Nachrichten tun müssen, die die Authentifizierung nicht bestehen:
- p=none – überwacht E-Mails, die auf Ihrer Domain gesendet werden, ohne die E-Mail-Server der Empfänger zu ändern.
- p=quarantine – leitet fehlgeschlagene E-Mails in Junk- oder Spam-Ordner um, während gesendete E-Mails weiterhin verfolgt werden.
- p=reject – lehnt fehlgeschlagene E-Mails ab, was dazu führt, dass sie zurückgeschickt werden und keinen Empfängerordner erreichen, während gleichzeitig gesendete E-Mails verfolgt werden.
Wenn Sie neu bei DMARC sind, konfigurieren Sie Ihre Richtlinie am besten mit dem p-Tag und dem Wert none. Nachdem Sie eingehende Berichte analysiert haben, um zu erfahren, wie Ihre Domain von empfangenden Servern authentifiziert wird, können Sie im Laufe der Zeit die Einstellung dieses Tags in quarantine oder reject ändern.
Optionale Tags ermöglichen weitere Anpassungen:
- pct – beschreibt den Prozentsatz nicht authentifizierter E-Mails, die einer DMARC-Aufzeichnung unterzogen werden sollten. Der Bereich wird von 0 bis 100 ausgedrückt, wobei 0 0 % der Nachrichten und 100 100 % bedeutet. Der pct-Parameter ist optional, aber wenn Sie ihn nicht im Datensatz festlegen, beträgt sein Standardwert 100, was alle Nachrichten einschließt, die nicht authentifiziert sind.
- rua=mailto:address@domain.com – gibt eine E-Mail-Adresse für Berichte von teilnehmenden Postfachanbietern an und hilft bei der Identifizierung von Domänenproblemen.
- adkim – gibt die DKIM-Identifier-Ausrichtung an
- adkim=s – Die Ausrichtung ist streng, was bedeutet, dass der Domänenname genau mit dem in den DKIM-Mail-Headern eingegebenen Domänennamen übereinstimmen muss.
- adkim=r – Die Ausrichtung erfolgt grob, wobei alle im Header verwendeten gültigen Subdomains akzeptiert werden
- aspf – funktioniert ähnlich wie adkim, allerdings in Bezug darauf.
- aspf=s – Die E-Mail-Adresse der Absenderadresse muss genau mit dem Domänennamen übereinstimmen
- aspf=r – jede gültige Subdomäne kann im Nachrichtenheader verwendet werden
Für jede Domain, die Sie zum Senden verwenden, müssen Sie einen separaten Eintrag festlegen und alle oben beschriebenen Aktionen ausführen. Für Subdomains kaskadieren DMARC-Richtlinien. Wenn Sie sie für eine Domain und nicht für Subdomains festlegen, übernehmen sie automatisch die Einstellungen der übergeordneten Domain. Mit dem sp-Parameter können Sie für jede Subdomain separate Regeln festlegen.
Hinzufügen eines DMARC-Eintrags bei bestimmten Anbietern
Sie können die offiziellen Anleitungen anderer Plattformen (und einige von uns) zum Hinzufügen von DMARC-Einträgen hier einsehen:
Weitere Informationen zur E-Mail-Authentifizierung nicht nur für Einsteiger finden Sie in unserem blog post. Umfassende Informationen zur DMARC-Funktionalität finden Sie unter dmarc.org.
