Implementieren von Domain-based Message Authentication, Reporting and Conformance (DMARC)

Letzte Aktualisierung: 5. Mai 2025

Erstellt für:

  • Einsteiger
  • Admin

In diesem Dokument erhalten Leser weitere Informationen zur E-Mail-Authentifizierungsmethode DMARC. Anhand einer Erläuterung der Funktionsweise von DMARC und der verschiedenen Richtlinienoptionen können Lesende die Auswirkungen von DMARC auf die E-Mail-Zustellbarkeit besser verstehen.

Was ist DMARC?

Domain-based Message Authentication, Reporting and Conformance ist eine E-Mail-Authentifizierungsmethode, mit der Domain-Besitzer ihre Domain vor unbefugter Verwendung schützen können. DMARC bietet außerdem Feedback zum E-Mail-Authentifizierungsstatus und ermöglicht es Absenderinnen oder Absendern zu steuern, was mit E-Mails mit fehlgeschlagener Authentifizierung passiert. Dies umfasst Optionen, E-Mails zu überwachen, unter Quarantäne zu stellen oder abzulehnen, abhängig davon, welche DMARC-Richtlinie implementiert wurde.

DMARC verfügt über drei Richtlinienoptionen:

  • Überwachen (p=none): Weist den Postfachanbieter/ISP an, alles zu tun, was er normalerweise mit der Nachricht tun würde.
  • Quarantäne (p=quarantine): Weist den Postfachanbieter/ISP an, E-Mails zu versenden, die DMARC nicht an den Spam- oder Junk-Ordner des Empfängers weiterleiten.
  • Ablehnen (p=Ablehnen): Weist den Postfachanbieter/ISP an, E-Mails zu blockieren, die DMARC nicht weiterleiten, was zu einem Bounce führt.

Wie funktioniert DMARC?

SPF und DKIM werden verwendet, um eine E-Mail mit einer Domain zu verknüpfen und gemeinsam E-Mails zu authentifizieren. DMARC geht einen Schritt weiter und verhindert Spoofing, indem die von DKIM und SPF überprüfte Domain abgeglichen wird. Um DMARC zu durchlaufen, muss eine Nachricht SPF oder DKIM durchlaufen. Wenn diese beide Authentifizierungen fehlschlagen, schlägt DMARC fehl und die E-Mail wird gemäß Ihrer ausgewählten DMARC-Richtlinie zugestellt.

NOTE
DMARC erfordert eine Abstimmung zwischen der Absenderadresse und der Rücksenderadresse.

Warum sollte DMARC implementiert werden?

DMARC ist optional und ist zwar nicht erforderlich, aber es ist kostenlos und ermöglicht E-Mail-Empfängern die einfache Identifizierung der Authentifizierung von E-Mails, was den Versand potenziell verbessern könnte. Einer der Hauptvorteile von DMARC ist das Reporting zu Fehlern bei SPF und/oder DKIM. Außerdem erhalten die Absender ein gewisses Maß an Kontrolle darüber, was mit E-Mails passiert, die keine dieser Authentifizierungsmethoden durchlaufen. Durch DMARC-Berichte erhalten Absender Einblicke in die Nachrichten, die DMARC nicht unterstützen, sodass Schritte zur Abmilderung weiterer Fehler unternommen werden können.

NOTE
Wenn Sie BIMI implementieren möchten, ist eine p=Quarantäne oder p=DMARC-Richtlinie ablehnen erforderlich.

Best Practices für die Implementierung von DMARC

Da DMARC optional ist, wird es auf keiner ESP-Plattform standardmäßig konfiguriert. Ein DMARC-Eintrag muss im DNS für Ihre Domain erstellt werden, damit er funktioniert. Darüber hinaus ist eine E-Mail-Adresse Ihrer Wahl erforderlich, um anzugeben, wohin DMARC-Berichte innerhalb Ihres Unternehmens gehen sollen. Als Best Practice gilt Folgendes
Es wird empfohlen, das Rollout der DMARC-Implementierung langsam durchzuführen, indem Sie Ihre DMARC-Richtlinie von P=None auf P=Quarantäne und dann auf P=Ablehnen eskalieren, um in DMARC Erkenntnisse über die potenziellen Auswirkungen von DMARC zu gewinnen.

  1. Analysieren Sie das Feedback, das Sie erhalten und verwenden (p=none), das den Empfänger anweist, keine Aktionen gegen Nachrichten durchzuführen, die bei der Authentifizierung fehlschlagen, aber dennoch E-Mail-Berichte an den Absender senden. Überprüfen und beheben Sie außerdem Probleme mit SPF/DKIM, wenn die Authentifizierung für legitime Nachrichten fehlschlägt.

  2. Prüfen Sie, ob SPF und DKIM aufeinander abgestimmt sind und die Authentifizierung für alle legitimen E-Mails weitergeben. Verschieben Sie dann die Richtlinie in („p=Quarantäne„), wodurch der empfangende E-Mail-Server E-Mails unter Quarantäne stellt, bei denen die Authentifizierung fehlschlägt (dies bedeutet im Allgemeinen, dass diese Nachrichten in den Spam-Ordner verschoben werden).

  3. Passen Sie die Richtlinie an (p=Ablehnen). Die Richtlinie p = Ablehnen weist den Empfangs-Server an, jede E-Mail für die Domain, bei der die Authentifizierung fehlschlägt, komplett zu verweigern (Bounce). Wenn diese Richtlinie aktiviert ist, haben nur E-Mails, die zu 100 % von Ihrer Domain authentifiziert wurden, überhaupt die Möglichkeit, im Posteingang platziert zu werden.

    NOTE
    Verwenden Sie diese Richtlinie mit Vorsicht und ermitteln Sie, ob sie für Ihr Unternehmen geeignet ist.

DMARC-Berichte

DMARC bietet die Möglichkeit, Berichte zu E-Mails zu erhalten, bei denen SPF/DKIM fehlschlägt. Es gibt zwei verschiedene Berichte, die von ISP-Services im Rahmen des Authentifizierungsprozesses generiert werden, den Absender über die RUA/RUF-Tags in ihrer DMARC-Richtlinie erhalten können:

  • Aggregierte Berichte (RUA): enthält keine personenbezogenen Daten (Personally Identifiable Information), die DSGVO-sensibel wären.
  • Forensische Berichte (RUF): Enthält E-Mail-Adressen, die DSGVO-sensibel sind. Vor der Nutzung von sollten Sie intern überprüfen, wie Sie mit Informationen umgehen, die die DSGVO einhalten müssen.

Diese Berichte dienen hauptsächlich dazu, einen Überblick über E-Mails zu erhalten, bei denen ein Spoofing-Versuch unternommen wird. Hierbei handelt es sich um hochtechnische Berichte, die am besten über ein Tool eines Drittanbieters verdaut werden können. Einige Unternehmen, die auf die Überwachung von DMARC spezialisiert sind:

CAUTION
Wenn sich die E-Mail-Adressen, die Sie zum Empfang von Berichten hinzufügen, außerhalb der Domain befinden, für die der DMARC-Eintrag erstellt wird, müssen Sie deren externe Domain autorisieren, dem DNS mitzuteilen, dass Sie diese Domain besitzen. Folgen Sie dazu den Schritten aus der dmarc.org-Dokumentation