Defaults.Exposed › DMARC
DMARC: Verbreitung, Reife und Ligatabellen
Daten mit Stand 2026-06-29 · Ausgabe #1 · Daten zum Stand 2026-06-29
DMARC ist der DNS-Eintrag, der den Postfächern der Welt sagt, was sie mit E-Mails tun sollen, die vorgeben, von Ihrer Domain zu kommen — zustellen, in Quarantäne stellen oder ablehnen. Veröffentlichen Sie nichts (oder belassen Sie es im reinen Überwachungsmodus), und jeder kann Ihren Namen in die „Von“-Zeile einer E-Mail setzen. Dieser Abschnitt misst, wie das gesamte Internet DMARC tatsächlich nutzt — und gibt den Ergebnissen klare, zitierfähige Namen.
Zensus, keine Stichprobe: 261 Millionen Domains gemessen. 10.6% setzen DMARC durch; 75.1% veröffentlichen überhaupt keinen Eintrag.
Das Modell: das DMARC Adoption Maturity Model (DAMM)
Verbreitungszahlen bedeuten nur etwas gegen eine Landkarte. Unsere ist das DMARC Adoption Maturity Model — DAMM: sechs Stufen von Ungeschützt bis Gehärtet, ein Schritt pro Stufe und eine ehrliche Mauer in der Mitte — der Schritt von Observing (Berichte fließen) zu Visibility (jeder Absender erfasst), den die meisten Domains nie erklimmen. Jede Tabelle und jeder Bericht in diesem Abschnitt ist DAMM, angewandt auf den Zensus.
Es ist Zeit, sich zu kümmern.
Die ständigen Nenner
Jede DMARC-Seite auf dieser Website verwendet dieselben Nenner, sodass keine Statistik hier heimlich ihre Basis wechseln kann:
- 65 Millionen Domains veröffentlichen einen DMARC-Eintrag — 24.9% der 261 Millionen bewerteten Domains.
- 27.6 Millionen setzen durch (p=quarantine oder p=reject) — 42.5% der Einträge, 10.6% aller bewerteten Domains.
- Zahlen zum Stand 2026-06-29 (Ausgabe #1); monatlich mit dem Zensus aktualisiert.
Auf welcher Stufe sind Sie? Sechs Fragen
Beginnen Sie bei Frage 0 und beantworten Sie dann der Reihe nach — das erste „Nein“ ist Ihre Stufe. Nichts weiter nötig als ein Blick auf Ihre eigenen DNS-Einträge und Ihr Postfach — und wenn Sie eine nicht beantworten können, raten Sie nicht: der kostenlose Check liest Ihr Live-DNS und beantwortet die Fragen 1, 2, 3 und 5 für Sie.
0. Versendet Ihre Domain überhaupt E-Mails?
Nein → Ihr Weg reduziert sich auf einen einzigen Schritt: Veröffentlichen Sie noch heute SPF v=spf1 -all und DMARC p=reject. Eine Domain, die niemals sendet, hat keine legitime Post zu schützen — nichts zu beobachten, keine Mauer zu erklimmen — daher gelangt sie mit einer einzigen DNS-Änderung direkt zu Stufe 5 — Durchgesetzt. Ja → nächste Frage.
1. Existieren SPF und DKIM und bestehen sie für die Post, die Sie versenden?
Nein → Sie befinden sich wahrscheinlich auf Stufe 1 — Ungeschützt. Ihr nächster Schritt: Konfigurieren Sie SPF und DKIM für Ihre primäre Post und bestätigen Sie, dass beide authentifizieren und ausgerichtet sind — Ausrichtung bedeutet, dass die Domain, die SPF oder DKIM validiert, dieselbe Domain ist, die eine Person in der sichtbaren „Von:“-Zeile sieht, was die Übereinstimmung ist, die DMARC tatsächlich prüft. DMARC baut auf beiden auf. Ja → nächste Frage.
2. Veröffentlichen Sie einen DMARC-Eintrag?
Nein → Sie befinden sich wahrscheinlich auf Stufe 2 — Authentifiziert. Ihr nächster Schritt: Veröffentlichen Sie einen DMARC-Eintrag mit p=none und einer rua=-Berichtsadresse — ein DNS-Eintrag, nichts geht kaputt. Ja → nächste Frage.
3. Fordert Ihr Eintrag Berichte (rua=) an, die jemand tatsächlich empfängt?
Nein → Sie stecken wahrscheinlich zwischen Stufe 2 und 3 — veröffentlicht, aber blind. Ihr nächster Schritt: Fügen Sie eine rua=-Adresse hinzu (eine DNS-Änderung), damit aggregierte Berichte fließen — ein Eintrag, der nicht beobachtet, kann die Absender nicht finden, die Sie ausrichten müssen. Ja → nächste Frage.
4. Haben Sie jeden legitimen Absender der Post Ihrer Domain identifiziert — und ist jeder davon ausgerichtet?
Nein → Sie befinden sich wahrscheinlich auf Stufe 3 — Observing, vor der Mauer, an der die meisten Domains stehen bleiben. Ihr nächster Schritt: Erfassen Sie jeden Dienst, der als Ihre Domain sendet (das Newsletter-Tool, das Rechnungssystem, das CRM), und richten Sie jeden einzelnen aus. Dies ist auch die Stufe, auf der Inhaber am häufigsten Hilfe holen — ein IT-Dienstleister oder ein DMARC-Monitoring-Dienst kann die Absenderidentifizierung übernehmen; die Stufen bleiben so oder so gleich. Ja → nächste Frage.
5. Lautet Ihre Richtlinie p=quarantine oder p=reject?
Nein → Sie befinden sich wahrscheinlich auf Stufe 4 — Visibility, und Sie können sicher durchsetzen. Ihr nächster Schritt: Erhöhen Sie die Richtlinie in Schritten — none → quarantine → reject. Ja → Sie sind auf Stufe 5 — Durchgesetzt. Ihr nächster Schritt: die Härtungsschicht — np=-Abdeckung, MTA-STS und TLS-RPT — plus kontinuierliches Monitoring. Das ist Stufe 6.
Alle fünf mit Ja, Härtung vorhanden, und jemand beobachtet noch immer die Berichte? Das ist Stufe 6 — Gehärtet. Der Schritt dorthin heißt: bleiben. Neue Absender tauchen auf, Anbieter wechseln IPs, Konfigurationen verrotten. Bei einer Antwort unsicher? Führen Sie den kostenlosen Check aus — er klärt die Fragen 1, 2, 3 und 5 aus Ihrem Live-DNS in unter einer Minute, vertraulich.
Die Ligatabellen und der Monatsbericht
- DMARC-Reife nach TLD
155 Domain-Endungen, gerankt nach Reife-Score — die Spitzenreiter, die Nachzügler und die Regel der eingefrorenen Mitgliedschaft, die das Ranking ehrlich hält. - DMARC-Reife nach Land
68 Länder, gerankt über ihre nationalen Domain-Endungen — wer durchsetzt, wer beobachtet, wer nichts veröffentlicht. - DAMMM — der DMARC-Verbreitungsbericht, monatlich
Die DMARC Adoption Maturity Matrix — Monatlich: Stufen × Populationsschnitte, Wall Watch, Blind Watch. Ausgabe #1 ist die Basis.
Vertiefungen
- Die 6 Stufen der DMARC-Reife — das Modell selbst
- Blind veröffentlichen — die meisten DMARC-Einträge fordern keine Berichte an
- SPF reicht nicht — die Anzahl der Domains, die sich allein auf SPF verlassen
- Die wenigen vollständig Geschützten — was die Domains, die fertig sind, anders machen
Möchten Sie wissen, wo Ihre Domain steht? Kostenlose Prüfung starten → — vertraulich; die Bewertung einer Domain zeigen wir ausschließlich ihrem verifizierten Inhaber.
Wie wir bewerten → · Nur aggregierte Daten; die Bewertung einer einzelnen Domain veröffentlichen wir nie.