Defaults.Exposed

Defaults.Exposed › Berichte

Blind veröffentlicht: Die meisten DMARC-Einträge fordern keine Berichte an

Veröffentlicht 2026-07-03 · aktualisiert 2026-07-03

Zahlen mit Stand 2026-06-29 · Methodik v7. Zensusdaten über jede Domain, die einen parsebaren DMARC-Eintrag veröffentlicht, dedupliziert pro Domain. Das Vorhandensein von rua= wird über alle Einträge gemessen, sodass die genaue Überschneidung mit einer einzelnen Richtlinie nicht ableitbar ist — wo dieser Artikel Aussagen über diese Überschneidung trifft, nennt er Ober- und Untergrenzen, niemals exakte Kreuztabellen. Alle Zahlen sind aggregiert — wir veröffentlichen niemals die Bewertung eines einzelnen Unternehmens.

Die meisten DMARC-Einträge schauen nicht hin

Von den 65 Millionen Domains, die einen DMARC-Eintrag veröffentlichen, enthalten nur 23 Millionen — 35,7% — das rua=-Tag, das aggregierte Berichte anfordert. Die übrigen 64,3% veröffentlichen blind: Eine Richtlinie steht im Eintrag, aber niemand hat darum gebeten, informiert zu werden, was darunter geschieht. Das sind 42 Millionen Domains mit einem DMARC-Eintrag, der ihnen nichts zeigen kann.

Ein DMARC-Eintrag ohne Berichterstattung ist eine Türklingel, hinter der niemand zu Hause ist. Mail-Empfänger prüfen pflichtbewusst jede Nachricht daran — und ihre Erkenntnisse, die Liste all derer, die als Ihre Domain versenden, verschwinden ins Nichts. Der Mechanismus funktioniert; der Inhaber hört nur nicht zu.

Was rua= tatsächlich bewirkt

DMARC hat zwei Hälften. Die Richtlinien-Hälfte (p=none, quarantine oder reject) teilt den Empfängern mit, was sie mit Mail tun sollen, die die Authentifizierung nicht besteht. Die Berichts-Hälfte — das rua=-Tag, eine Postfachadresse — bittet die Empfänger, Ihnen täglich aggregierte Berichte zu senden: welche Server als Ihre Domain versendet haben, wie viel Mail, und ob sie SPF und DKIM bestanden hat.

Diese zweite Hälfte ist die gesamte Feedback-Schleife. Berichte sind die Art und Weise, wie Sie die Newsletter-Plattform entdecken, die niemand dokumentiert hat, das Rechnungstool, das das Marketing angebunden hat, den Schatten-Absender in einer anderen Region — bevor Sie durchsetzen und sie kaputtmachen. Ohne rua= erreichen Sie keine dieser Informationen. Es hinzuzufügen kostet eine einzige DNS-Änderung: Hängen Sie rua=mailto:[email protected] (oder die Adresse eines Monitoring-Dienstes) an den bestehenden Eintrag an.

Die Lücke zwischen Stufe 2 und 3: veröffentlicht und blind

In den sechs Stufen der DMARC-Reife beginnt Stufe 3 — Beobachten — wenn DMARC veröffentlicht ist und aggregierte Berichte fließen. Ein Eintrag ohne rua= qualifiziert sich nicht. Er sitzt in der Lücke zwischen Stufe 2 und 3 — veröffentlicht und blind — ein Ort, den das Modell bewusst ohne eigene Zahl lässt.

Das ist von Bedeutung, weil jede darauf folgende Stufe von den Berichten abhängt. Sie können Ihre Absender (Stufe 4) nicht anhand von Berichten identifizieren, die Sie nie erhalten; Sie können nicht sicher durchsetzen (Stufe 5), ohne Ihre Absender zu kennen. Ein blinder Eintrag ist kein früher Schritt auf der Reise — er ist ein Parkstreifen direkt daneben. Und der Zensus legt nahe, dass die meisten Eintragsinhaber dort oder in der Nähe geparkt sind: 57,5% aller DMARC-Einträge erreichen niemals die Durchsetzung.

Schlimmer als nutzlos, weil es sich wie Fortschritt anfühlt

Ein fehlender DMARC-Eintrag sieht wenigstens so aus, wie er ist: eine Lücke. Ein blinder sieht aus wie ein Häkchen. Jemand hat eine Compliance-Checkliste abgearbeitet, oder einen Zustellbarkeits-Leitfaden, oder eine einzeilige Korrektur von einem Anbieter — hat v=DMARC1; p=none veröffentlicht — und der Scanner wurde grün. Die Organisation fühlt sich nun weiter fortgeschritten als die Organisation ganz ohne Eintrag, während sie funktional am selben Punkt steht: keine Sichtbarkeit, keine Durchsetzung, kein Weg zu einem von beiden.

Die Folge ist leise und kumulativ. Blinde Einträge scheitern nicht laut; sie erzeugen einfach nie die Belege, die den nächsten Schritt rechtfertigen würden. Jahre später sagt der Eintrag immer noch p=none, niemand kann sagen, welche Absender legitim sind, und die Durchsetzung fühlt sich riskanter an als je zuvor — gerade weil nie Berichte gesammelt wurden.

Was der Zensus sagen kann und was nicht

Da das Vorhandensein von rua= über alle 65 Millionen Einträge gemessen wird — nicht kreuztabelliert pro Richtlinie — ist die genaue Anzahl der p=none-Einträge, die zugleich blind sind, aus diesen Randwerten nicht ableitbar. Die Grenzen sind dennoch drastisch. 37 Millionen Einträge (57,4% der Eintragsinhaber) stehen bei p=none; nur 23 Millionen Einträge im gesamten Zensus fordern Berichte an. Also können höchstens 23 Millionen dieser p=none-Einträge Berichte erhalten — und mindestens 14 Millionen von ihnen tun es definitiv nicht, selbst wenn jede Berichtsadresse im Zensus zu einer p=none-Domain gehörte. Wie die Überschneidung auch tatsächlich ausfällt, Millionen von Domains sitzen im “Überwachungsmodus” mit ausgestecktem Monitor.

Die Ein-Änderungs-Korrektur

Wenn Ihr DMARC-Eintrag kein rua=-Tag hat, ist die Korrektur eine einzige DNS-Änderung und sie ist auf jeder Richtlinienstufe sicher:

  1. Wählen Sie ein Berichtsziel — ein Postfach, das Sie auch tatsächlich verarbeiten, oder einen kostenlosen/kostenpflichtigen DMARC-Monitoring-Dienst, der das XML in etwas Lesbares umwandelt.
  2. Hängen Sie es an den Eintrag an: v=DMARC1; p=none; rua=mailto:[email protected]. Wenn das Ziel eine andere Domain ist, muss diese Domain den Empfang Ihrer Berichte autorisieren (ein kleiner zusätzlicher DNS-Eintrag auf ihrer Seite).
  3. Warten Sie ein paar Tage, dann lesen Sie. Berichte treffen täglich von großen Empfängern ein. Was sie zeigen — jede Quelle, die als Ihre Domain versendet — ist die Landkarte für den Rest der Reise.

Dann hört der Eintrag auf, Mobiliar zu sein, und wird zu einem Instrument. (DMARC beheben →.)

Häufig gestellte Fragen

Was ist ein DMARC-rua-Bericht? Ein aggregierter XML-Bericht, den teilnehmende Mail-Empfänger (typischerweise täglich) an die Adresse im rua=-Tag Ihres Eintrags senden und der zusammenfasst, welche Quellen Mail als Ihre Domain versendet haben und ob sie die SPF- und DKIM-Ausrichtung bestanden hat. Er enthält keinen Nachrichteninhalt — nur Absenderinfrastruktur und Bestanden/Nicht-bestanden-Zählungen.

Ist DMARC ohne rua wertlos? Nicht wertlos — eine durchsetzende Richtlinie blockiert auch ohne es Spoofing. Aber bei p=none blockiert ein Eintrag ohne rua= nichts und zeigt Ihnen nichts — seine einzige verbleibende Aufgabe ist es, das Mindestanforderungs-Kästchen der Mailbox-Anbieter abzuhaken. Und selbst durchsetzende Domains ohne Berichterstattung verlieren die Drift-Erkennung, die die Durchsetzung sicher hält, wenn neue Absender auftauchen. p=none ist kein Schutz — so oder so, ohne Berichte ist es nicht einmal Vorbereitung.

Kann rua= auf ein beliebiges Postfach zeigen? Ja, auch auf eines auf einer anderen Domain — die meisten Monitoring-Dienste arbeiten genau so. Die empfangende Domain veröffentlicht einen kleinen Verifizierungseintrag, der Ihre Berichte autorisiert. Worauf es ankommt, ist, dass tatsächlich etwas das XML verarbeitet; ein Postfach, das niemand liest, ist Blindheit mit zusätzlichen Schritten.

Legen aggregierte Berichte private Daten offen? Nein. rua-Aggregatberichte enthalten Statistiken zu Absenderquelle und Authentifizierung, nicht Nachrichtentexte oder Empfängerlisten. (Die separaten ruf=-Fehlerberichte können Nachrichtenfragmente enthalten, weshalb viele Empfänger sie nicht mehr versenden — rua ist der, auf den es ankommt.)

Prüfen Sie, ob Ihr Eintrag hinschaut

Ein DMARC-Eintrag, der keine Berichte anfordert, ist eine der am leichtesten zu behebenden Erkenntnisse auf der gesamten Reise — eine DNS-Änderung verwandelt blind in Beobachten. Sie können es privat und kostenlos prüfen und sehen, welche der 34 Prüfungen Sie bestehen und wie Sie die beheben, die Sie nicht bestehen.

Prüfen Sie Ihre Domain → · Die 6 Stufen der DMARC-Reife → · Die DMARC-Säule → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.