Defaults.Exposed › Berichte
Die 6 Stufen der DMARC-Reife
Veröffentlicht 2026-07-03 · aktualisiert 2026-07-03
Zahlen mit Stand 2026-06-29 · Methodik v7. Dies ist ein Referenzmodell, gestützt auf eine wiederkehrende Erhebung; jede Ausgabe misst dieselbe Grundgesamtheit erneut, sodass die Zahlen über die Zeit verfolgt werden können. Alle Zahlen sind aggregiert – wir veröffentlichen niemals die Bewertung eines einzelnen Unternehmens.
DMARC zu veröffentlichen ist nicht dasselbe wie geschützt zu sein
Von 261 Millionen gemessenen Domains veröffentlichen 24,89% einen DMARC-Eintrag – aber nur 10,59% erzwingen ihn. Anders ausgedrückt: Von den rund 65 Millionen Domains, die die DMARC-Reise begonnen haben, haben 57,5% nie den Teil erreicht, der irgendetwas blockiert. Sie veröffentlichten einen Eintrag, richteten das Reporting irgendwohin und blieben stecken. Kleinere unabhängige Studien finden dasselbe Muster – ein Branchenbericht aus 2026 bezifferte es auf ~9%, die unter den ~938.000 untersuchten Domains erzwangen.
Die Verbreitung ist nicht mehr das Problem. Der Schutz ist es. Und Domains bleiben aus einem strukturellen Grund stecken: die Landkarten, die alle nutzen, hören zu früh auf. Sie enden zu bald, und keine von ihnen gibt dem schwersten Schritt einen eigenen Namen.
Wo die bestehenden Landkarten zu kurz greifen
Die Modelle, an denen sich die Branche orientiert, waren für ihre Zeit richtig und verdienen eine faire Würdigung:
- Das fünfphasige Bereitstellungsmodell, das durch dmarcian populär gemacht wurde (dessen Gründer DMARC selbst mitverfasst hat), führt von Deploy → Monitor → Policy-Verschärfung – und behandelt das Erreichen von
p=rejectals Ziel. - Die RFC-Progression –
p=none → quarantine → reject– besteht aus drei Durchsetzungsebenen, nicht aus einem Reifemodell. Sie sagt nichts über Voraussetzungen und nichts darüber, was danach kommt. - „Crawl, walk, run” ist ein volkstümliches Modell: von der Richtung her korrekt, strukturell leer.
Alle drei teilen zwei Grenzen. Erstens: sie enden bei p=reject – als wäre die Durchsetzung die Ziellinie. Ist sie nicht: Der Standard selbst hat sich weiterentwickelt (DMARCbis – RFC 9989, 9990 und 9991 – wurde im Mai 2026 veröffentlicht und ersetzt das ursprüngliche RFC 7489), und Durchsetzung leistet nichts für Transportsicherheit oder Markenvertrauen. Zweitens – und das ist der Punkt, der Domains tatsächlich stranden lässt – keines von ihnen macht „jeder Absender ist erfasst” zu einer eigenen Stufe. Fairerweise erwähnen die Bereitstellungsleitfäden die Arbeit durchaus: Das Modell von dmarcian enthält die Absenderidentifikation als Aufgabe innerhalb seiner Monitoring-Phase. Aber eine Aufgabe, die in einer Phase vergraben ist, wird genau so behandelt – als Teil des „Monitorings” statt als die eigenständige Errungenschaft, die sie ist. Berichten beim Eintreffen zuzusehen fühlt sich wie Fortschritt an. Ist es aber noch nicht. Der mit Abstand häufigste Grund, warum Domains jahrelang bei p=none verharren, ist, dass sie ihre Mail zwar sehen, sie aber nicht erfasst haben – also wagen sie es nicht zu erzwingen, aus Angst, etwas Echtes zu zerstören.
Ein nützliches Modell muss diesem Schritt seinen eigenen Namen und seine eigenen Ausstiegskriterien geben. Dieses tut es. Wir nennen es das DMARC Adoption Maturity Model – DAMM: sechs Stufen, jeweils ein Schritt, und ein Name, den man zitieren kann.
Das Modell
Stufe 1 – Ungeschützt. Kein DMARC-Eintrag – oder SPF und DKIM darunter unvollständig. Jeder kann E-Mails als Ihre Domain versenden, und nirgendwo wird etwas geprüft. Der Schritt: Konfigurieren Sie SPF und DKIM für Ihre primäre Mail und bestätigen Sie, dass sie authentifizieren und ausgerichtet sind (Alignment). DMARC baut auf beidem auf; dieses Fundament können Sie nicht überspringen.
Stufe 2 – Authentifiziert. SPF und DKIM sind korrekt und für Ihren Haupt-Mailfluss ausgerichtet. Ihre legitime Mail belegt ihren Ursprung – aber nichts sagt den Postfächern der Welt, was mit Mail geschehen soll, die das nicht tut. Der Schritt: Veröffentlichen Sie einen DMARC-Eintrag mit p=none und einer rua=-Reporting-Adresse.
Stufe 3 – Beobachtung. DMARC ist veröffentlicht, aggregierte Berichte fließen, und zum ersten Mal können Sie sehen, wer als Ihre Domain versendet. Nichts wird blockiert. Die meisten Tools nennen diese Stufe „Sichtbarkeit” – wir tun das bewusst nicht, denn Berichte zu sehen und sie zu verstehen sind unterschiedliche Errungenschaften. Der Schritt: Identifizieren Sie jede legitime Quelle, die als Ihre Domain versendet, und bringen Sie jede einzelne in Alignment.
Stufe 4 – Sichtbarkeit. Jeder legitime Absender ist identifiziert und ausgerichtet – die Newsletter-Plattform, das Rechnungssystem, das CRM, das Tool, für das sich das Marketing letzten Frühling angemeldet hat. Sie kennen Ihre Mail. Nichts Legitimes wird kaputtgehen, wenn Sie erzwingen. Dies ist die Stufe, die die alten Landkarten überspringen, und die Mauer, die die meisten Domains nie erklimmen. Der Schritt: Erhöhen Sie die Policy – p=none → p=quarantine (der t=y-Testmodus von DMARCbis hilft hier) → p=reject.
Stufe 5 – Erzwungen. p=quarantine oder p=reject ist aktiv, wobei Subdomains durch eine explizite sp=-Policy abgedeckt sind. Mail, die die Authentifizierung nicht besteht, wird nun bei teilnehmenden Empfängern – zu denen jeder große Mailbox-Anbieter zählt – tatsächlich in Quarantäne gestellt oder abgewiesen, sodass das direkte Spoofing genau Ihrer Domain dort, wo DMARC geprüft wird, nicht mehr ankommt. Der Schritt: Fügen Sie die Härtungsschicht hinzu – np= und Tree-Walk-Abdeckung von DMARCbis, MTA-STS und TLS-RPT für den Transport, BIMI, falls Ihnen die Markendarstellung wichtig ist.
Stufe 6 – Gehärtet & aufrechterhalten. Durchsetzung plus der moderne Stack: Abdeckung nicht existierender Subdomains (np=) aus DMARCbis, MTA-STS und TLS-RPT zur Sicherung der Mail auf dem Transportweg, BIMI dort, wo es sich lohnt – und, entscheidend, kontinuierliches Monitoring auf Drift und neue Absender. Das ist kein Abzeichen; es ist eine Disziplin. Neue Absender tauchen auf, Anbieter ändern IPs, Konfigurationen verfallen. Der Schritt: Bleiben Sie hier.
Die Kein-Mail-Spur. Über das gesamte Domain-Inventar gemessen – tote Domains eingeschlossen – betreiben 51,5% der Domains überhaupt keinen Mail-Dienst, und für sie schrumpft die Reise auf einen einzigen Schritt. Eine Domain, die niemals versendet, sollte sofort SPF
-allund DMARCp=rejectveröffentlichen: Es gibt keine legitime Mail zu schützen, also gibt es nichts zu beobachten und keine Mauer zu erklimmen. Geparkte und ruhende Markendomains gehen mit einer einzigen DNS-Änderung direkt auf Erzwungen – und schließen damit einen der häufigsten Impersonations-Vektoren überhaupt.
Die Mauer: Stufe 3 → 4
Jeder andere Übergang in diesem Modell ist eine DNS-Änderung. Dieser ist Ermittlungsarbeit – und hier sterben die Monate.
Von Beobachtung zu Sichtbarkeit zu gelangen bedeutet, jede sendende Quelle in Ihren Berichten einem realen System zuzuordnen: welchem ESP, welchem CRM, dem Mail-Relay welcher Regionalniederlassung, welchem SaaS-Tool, das jemand 2023 angebunden und vergessen hat. Es bedeutet, die Schatten-IT-Absender zu finden, die niemand dokumentiert hat. Es bedeutet, das Alignment ESP für ESP zu reparieren, denn jede Plattform hat ihre eigene Art, in Ihrem Namen zu authentifizieren – manche davon standardmäßig falsch.
Die Mauer zu überspringen ist der Grund, warum DMARC seinen furchteinflößenden Ruf bekam. Erzwingen Sie ab Beobachtung – ohne Sichtbarkeit – und Sie werden etwas Echtes blockieren: einen Rechnungslauf, einen Passwort-Zurücksetzen-Ablauf, den Newsletter des CEOs. Dann kommt das panische Zurückrollen auf p=none, die interne Nachbesprechung und die Lektion, die alle falsch lernen: „Wir haben DMARC versucht und es hat die E-Mails zerstört.” Die meisten DMARC-Horrorgeschichten sind genau das – Durchsetzung, die eine Stufe zu früh versucht wurde. Die Mauer ist kein Grund, bei Stufe 3 stehenzubleiben. Sie ist der Grund, warum Stufe 4 existiert.
Dies ist auch die Stufe, bei der Domain-Inhaber am häufigsten Hilfe hinzuziehen – ein IT-Dienstleister oder ein DMARC-Monitoring-Dienst kann die Absenderidentifikation übernehmen; die Stufen bleiben in beiden Fällen dieselben.
Der Teil, den alle vergessen: Stufe 5 → 6
p=reject zu erreichen stoppt das direkte Spoofing Ihrer Domain in der From:-Zeile bei den Empfängern, die es prüfen. Das ist notwendig – und es ist nicht ausreichend. Es lohnt sich auch zu benennen, was die Durchsetzung nie abgedeckt hat: Lookalike-Domains (yourc0mpany.com) und Anzeigenamen-Impersonation liegen vollständig außerhalb der Reichweite von DMARC, sodass die Durchsetzung die Tür der exakten Domain schließt und die benachbarten der Wachsamkeit und anderen Kontrollen überlässt.
Die Durchsetzung leistet nichts für den Transport: ohne MTA-STS und TLS-RPT kann Mail an Ihre Domain unterwegs immer noch herabgestuft oder abgefangen werden. Sie leistet nichts für die Markenwiedererkennung: BIMI – Ihr Logo, angezeigt im Postfach – ist ein Vertrauenssignal, keine Sicherheitskontrolle, und es ist ehrlich, es als solches zu behandeln (es erfordert außerdem ein kostenpflichtiges Zertifikat, weshalb es zuletzt kommt, nicht zuerst). Und schlichtes p=reject ist älter als DMARCbis: Das np=-Tag und der Tree-Walk der neuen RFCs schließen die Lücke bei nicht existierenden Subdomains, die ältere Bereitstellungen offen lassen.
Eine Domain bei p=reject ohne all das Vorstehende ist gegen den häufigsten Angriff geschützt und auf den Rest unvorbereitet. Das ist eine echte Unterscheidung, und sie verdient eine eigene Stufe.
Ihre Stufe ist messbar
Dieses Modell ist nicht nur ein Diagramm – die Stufe einer Domain ist berechenbar, und genau das unterscheidet es von einem Poster an der Wand.
Die Stufen 3 bis 6 lassen sich aus den eigenen DMARC-Reporting-Daten einer Domain plus ihren veröffentlichten Einträgen ableiten: welche Policy aktiv ist, ob Berichte fließen und ob jeder beobachtete Absender ausgerichtet ist. Die Stufen 1 und 2 werden mit einer Live-DNS-Prüfung bewertet, da noch keine Berichte existieren. Eine ehrliche Grenze in jede Richtung: Stufe 4 wird durch Belege über die Zeit bestätigt – „jeder beobachtete Absender ist über genügend Reporting-Tage hinweg ausgerichtet” ist ein starker Näherungswert, aber kein Bericht kann den Absender offenbaren, den Sie noch nicht angebunden haben. Und die Härtungsschicht von Stufe 6 – MTA-STS, TLS-RPT, BIMI – ist in DMARC-Berichten unsichtbar; es braucht eine DNS-Prüfung, um sie zu sehen. Eine Domain kann anhand ihrer Berichte „fertig” aussehen und dennoch eine versteckte Lücke von Stufe 5 → 6 tragen. Dies ist das Modell, an dem unsere eigene Reporting-Analyse misst, inklusive aller Hindernisse.
Ein durchgerechnetes Beispiel
Ein mittelständisches Unternehmen betreibt Microsoft 365 hinter einem Mail-Filter-Gateway. SPF endet auf -all, DKIM ist konfiguriert, DMARC ist mit p=none veröffentlicht, und Berichte fließen zu einem Monitoring-Tool. Auf den alten Landkarten sieht das nahezu fertig aus. Auf dieser hier ist es Stufe 3 – Beobachtung: Die schwierige Einrichtung ist abgeschlossen, und die Domain ist genau an der Mauer steckengeblieben – sichtbar, nicht geschützt. Der wertvollste Schritt ist 3 → 4 → 5: Bestätigen Sie, dass die (vermutlich wenigen) legitimen Absender alle ausgerichtet sind, und erhöhen Sie dann die Policy in Stufen. Für eine Domain in dieser Form ist das üblicherweise eine Sache von Wochen der Aufmerksamkeit, nicht von Monaten – die Mauer ist am höchsten für die, die sie nie kartieren.
Finden Sie Ihre Stufe
Die Frage, die man ausrangieren sollte, lautet „Haben wir DMARC?” – 24,89% der Domains können mit Ja antworten, während 57,5% davon spoofbar bleiben. Die bessere Frage ist „Auf welcher Stufe stehen wir, und was ist der eine Schritt zur nächsten?” Jede Domain im Internet befindet sich heute auf genau einer dieser sechs Stufen. Zu wissen, auf welcher, verwandelt eine Sorge in eine To-do-Liste.
Häufig gestellte Fragen
Was ist DAMM? Das DMARC Adoption Maturity Model – das sechsstufige Modell auf dieser Seite: Ungeschützt, Authentifiziert, Beobachtung, Sichtbarkeit, Erzwungen, Gehärtet. Die Stufe einer Domain ist aus ihrem DNS und ihren DMARC-Reporting-Daten messbar, und genau das unterscheidet es von einem Poster an der Wand.
Ist p=none zu veröffentlichen dann wertlos? Nein – es ist Stufe 3, und Stufe 3 ist tragend: Reporting ist die Art und Weise, wie Sie jeden Absender finden, bevor Sie erzwingen. Es wird erst zum Problem, wenn es als Ziel behandelt wird. Siehe warum p=none kein Schutz ist.
Kann ich direkt zu p=reject springen? Wenn Ihre Domain keine Mail versendet – ja, heute schon, und Sie sollten es tun. Wenn sie Mail versendet – nein: Ohne Sichtbarkeit (Stufe 4) zu erzwingen ist die Art und Weise, wie legitime Mail kaputtgeht und Rückabwicklungen passieren. Die Stufen sind der sichere Weg, kein Zeremoniell.
Brauche ich BIMI, um „fertig” zu sein? Nein. BIMI ist die Markendarstellungs-Schicht von Stufe 6 und das optionalste Element im Modell – MTA-STS, TLS-RPT und die np=-Abdeckung von DMARCbis sind die Teile, die eine Domain materiell härten. Wenn die Zertifikatskosten für Sie nicht gerechtfertigt sind, überspringen Sie es und halten Sie den Rest von Stufe 6.
Wo passen SPF und DKIM hinein? Unter alles – sie sind die Stufen 1 → 2, und SPF ohne DMARC schützt weniger, als die meisten Inhaber annehmen. Seit 2024 haben große Empfänger außerdem von Massenversendern die Authentifizierung ausdrücklich verlangt.
Prüfen Sie, wo Ihre eigene Domain steht
Diese Stufen sind Muster der Grundgesamtheit – Ihre Domain befindet sich auf genau einer von ihnen, und der nächste Schritt ist erkennbar. Sie können privat und kostenlos prüfen und sehen, welche der 34 Prüfungen Sie bestehen und wie Sie die reparieren, die Sie nicht bestehen.
Prüfen Sie Ihre Domain → · Wie wir das Internet benotet haben → · Die DMARC-Säule → · Nur aggregierte Daten. Daten gespeichert und verarbeitet in der EU.