Defaults.Exposed › Behebungen › DMARC (Schutz vor E-Mail-Spoofing)
So beheben Sie DMARC (Schutz vor E-Mail-Spoofing)
DMARC ist die eine Einstellung, die den Mailanbietern der Welt tatsächlich sagt, E-Mails zu BLOCKIEREN, die den Namen Ihres Unternehmens fälschen. SPF und DKIM prüfen die Schlösser; DMARC entscheidet, was passiert, wenn eine Fälschung die Prüfung nicht besteht — wegwerfen, markieren oder durchwinken. Falsch eingestellt ist Ihre Domain voll fälschbar; richtig eingestellt endet Identitätsmissbrauch am Posteingang.
Das Wichtigste für Ihr Unternehmen: Ohne DMARC-Durchsetzung kann ein Krimineller E-Mails versenden, die exakt so aussehen, als kämen sie von Ihrem Unternehmen — an Ihre Kunden, Mitarbeiter und Lieferanten —, und sie landen im Posteingang, nicht im Spam. Menschen werden in Ihrem Namen betrogen, und sie geben Ihnen die Schuld.
Was Sie das kosten kann
- Ein Betrüger schickt Ihrem Kunden eine echt wirkende Rechnung 'von Ihrer Buchhaltung' mit seinen eigenen Bankdaten. Der Kunde zahlt sie. Sie erfahren es Wochen später, wenn er die bereits bezahlte Ware anmahnt — und er macht Sie dafür verantwortlich.
- Eine gefälschte 'dringende Zahlungs'-E-Mail geht an Ihre eigene Finanzabteilung und scheint von Ihnen, dem Inhaber, zu stammen. Das Geld wird überwiesen, bevor jemand auf die Idee kommt, nachzuhaken — und sobald es auf dem Konto eines Kriminellen liegt, wird es fast nie zurückgeholt.
- Das IT-Team eines großen Interessenten führt vor der Unterschrift eine Sicherheitsprüfung Ihrer Domain durch. Das Ergebnis: 'E-Mail nicht geschützt — fälschbar.' Sie verlieren den Auftrag an einen Wettbewerber, dessen Domain bestanden hat.
- Ihre Domain wird in einer Phishing-Welle missbraucht. Getäuschte Kunden hinterlassen wütende Bewertungen und warnen andere. Der Imageschaden überdauert den Angriff um Monate.
- Selbst Ihre echten E-Mails landen zunehmend im Müll, weil Google und Yahoo Domains ohne durchgesetztes DMARC immer stärker misstrauen — und sie inzwischen teils ablehnen.
Warum es wichtig ist. E-Mail wurde nie dafür gebaut, zu beweisen, wer wirklich gesendet hat, daher ist das Fälschen der 'Von'-Adresse trivial. DMARC ist die einzige Maßnahme, die aus 'wir können Fälschungen erkennen' ein 'Fälschungen werden blockiert' macht — und es liefert Ihnen zudem die täglichen Berichte, die offenlegen, wer in Ihrem Markennamen versendet. Große Mailanbieter werten eine fehlende oder nicht durchgesetzte DMARC-Richtlinie inzwischen als Vertrauenssignal gegen Sie, das betrifft also auch, ob Ihre eigenen E-Mails zugestellt werden.
Was DMARC ist, in einfachen Worten
E-Mail hat ein schmutziges Geheimnis: Die „Von”-Zeile ist bloß eingetippter Text. Jeder, überall, kann Ihren Firmennamen und Ihre Adresse in das „Von”-Feld einer E-Mail schreiben und sie versenden. Das Internet wurde nie darauf ausgelegt, das zu verhindern.
Es gibt drei Einstellungen, die das gemeinsam beheben. Stellen Sie sich die Sicherheit eines Gebäudes vor:
- SPF ist eine Liste, wer durch die Eingangstür darf (welche Maildienste in Ihrem Namen senden dürfen).
- DKIM ist ein fälschungssicheres Siegel, das beweist, dass die Nachricht unterwegs nicht verändert wurde.
- DMARC ist der Wachmann, der Liste und Siegel prüft — und, entscheidend, entscheidet, was zu tun ist, wenn sie nicht übereinstimmen: durchlassen, in den Spam schicken oder an der Tür abweisen.
Sie können die Liste (SPF) und das Siegel (DKIM) haben und trotzdem keinen Wachmann. Das ist die häufigste und gefährlichste Situation: Die Schlösser existieren, aber nichts setzt sie durch. DMARC ist die Durchsetzung. Es ist der Unterschied zwischen „wir können erkennen, dass diese E-Mail gefälscht ist” und „diese gefälschte E-Mail erreicht Ihren Kunden nie.”
Was Sie das kosten kann
Das ist nicht theoretisch. Hier sind die konkreten Wege, auf denen eine ungeschützte Domain zu echtem Geld und echtem Schaden wird:
-
Der Rechnungsbetrug. Ein Krimineller schickt Ihrem Kunden, was exakt wie eine echte Rechnung Ihrer Buchhaltung aussieht — gleicher Name, gleiche Domain, professionelles Layout —, aber mit seinen eigenen Bankdaten. Weil Ihre Domain nicht durchgesetzt ist, landet sie im Posteingang, nicht im Spam. Der Kunde zahlt. Sie entdecken es Wochen später, wenn er fragt, wo seine Bestellung bleibt. Das Geld ist meist weg, und der Kunde macht oft Sie für die Sicherheitslücke verantwortlich.
-
Die CEO-Betrugs-Überweisung. Eine E-Mail scheint von Ihnen, dem Inhaber, an Ihre Finanzabteilung zu kommen: „Kannst du diese Zahlung dringend durchführen, ich bin gerade in einem Meeting.” Sie wirkt völlig echt, weil es Ihre Adresse ist — nur gefälscht. Die Zahlung geht raus. Dieses Muster — Business Email Compromise — ist einer der kostspieligsten Betrugsarten gegen kleine Unternehmen, gerade weil die E-Mail tatsächlich von Ihrer eigenen Domain kommt und so an jedem Misstrauen vorbeisegelt.
-
Der verlorene Auftrag. Ein ernsthafter Interessent führt vor der Unterschrift eine Sicherheits- oder Einkaufsprüfung durch. Sein Werkzeug meldet Ihre Domain als „fälschbar — keine durchgesetzte E-Mail-Authentifizierung.” Dieses eine rote Signal kann genügen, um den Auftrag an einen Wettbewerber zu vergeben, dessen Domain bestanden hat. Den wahren Grund erfahren Sie nie.
-
Der Imageschaden, den Sie nicht rückgängig machen können. Ihre Domain wird in eine Phishing-Kampagne hineingezogen. Dutzende, die in Ihrem Namen getäuscht wurden, posten Warnungen und Bewertungen. Der Angriff dauert eine Woche; die Frage „ist diese Firma überhaupt sicher?” bleibt monatelang hängen.
-
Ihre eigenen E-Mails landen im Spam. Google und Yahoo misstrauen inzwischen aktiv Domains ohne durchgesetztes DMARC. Angebote, Rechnungen und Antworten, die Sie wirklich gesendet haben, landen still und leise in Spam-Ordnern. Geschäfte versanden, und Sie erfahren nie, warum.
Was es eigentlich ist (und wie „gut” aussieht)
DMARC lebt als einzelne Textzeile in den Einstellungen Ihrer Domain — ein DNS-„TXT”-Eintrag, veröffentlicht unter dem speziellen Namen _dmarc.ihredomain. Darin stehen einige kurze Anweisungen. Zwei davon zählen am meisten, und es sind genau die beiden Dinge, die diese Bewertung prüft.
1. Die Richtlinie (p=) — die Befehle des Wachmanns. Das ist der stark gewichtete Teil der Prüfung. Sie kann eines von drei Dingen sein:
p=none— nur beobachten. Der Wachmann notiert, wer durchkam, stoppt aber niemanden. Das schützt Sie vor nichts; es ist eine Überwachungsphase, keine fertige Einrichtung. (Unsere Engine wertet das als Durchfaller — besser als gar kein DMARC, aber kein Schutz.)p=quarantine— Fälschungen in den Spam schicken. Echter Schutz, aber ein entschlossener Angreifer setzt darauf, dass Menschen ihren Spam-Ordner prüfen. Ein solides Zwischenstadium — es erhält etwa die halbe Punktzahl.p=reject— Fälschungen an der Tür abweisen. Die gefälschte E-Mail wird nie zugestellt. Das ist die einzige Einstellung, die Sie vollständig schützt und volle Punktzahl erhält.
Wie „gut” aussieht: p=reject. Alles darunter lässt eine Lücke.
Zwei technische Details, die unsere Prüfung ebenfalls betrachtet und die man kennen sollte, um nicht überrascht zu werden:
- Die Subdomain-Richtlinie (
sp=). Sie können eine starke Richtlinie für Ihre Hauptdomain setzen und dabei versehentlich Subdomains (wiemail.ihredomainodernews.ihredomain) weit offen lassen. Unsere Engine bestraft das hart — eine Domain mitp=reject, abersp=nonewird fast so niedrig bewertet wie ohne jede Durchsetzung, weil Angreifer dann einfach eine Subdomain fälschen. Gute Praxis ist,spIhre starke Hauptrichtlinie erben zu lassen oder es explizit aufrejectzu setzen. - Der Prozentsatz (
pct=). Bei einer behutsamen Einführung können Sie die Durchsetzung nur auf einen Bruchteil der E-Mails anwenden (z. B.pct=25). Das ist ein legitimes Übergangswerkzeug, aber eine Teil-Einführung gibt nur Teilschutz, und unsere Bewertung spiegelt das wider — sie steigt stetig, während Sie von 25 % auf 100 % gehen, aber volle Punktzahl erfordert volle Abdeckung.
2. Die Berichtsadresse (rua=) — Ihre Sichtbarkeit. Das ist die zweite Prüfung auf dieser Seite. Der rua=-Tag bittet jeden Mailanbieter der Welt, Ihnen eine tägliche Zusammenfassung zu senden, wer versucht hat, in Ihrem Domainnamen zu versenden — Ihre eigenen Systeme und etwaige Fälscher. Ohne ihn fliegen Sie blind: Sie haben keine Ahnung, wer Ihren Namen missbraucht. Mit ihm entdecken Unternehmen regelmäßig 5 bis 50 unautorisierte Absender bereits am allerersten Tag.
Wie „gut” bei der Berichterstattung aussieht: eine gültige rua=mailto:-Adresse (oder eine https:-URL eines Berichtsdienstes), die die Berichte tatsächlich empfängt. Unsere Prüfung validiert das Format — eine vertippte oder fehlerhafte Adresse bedeutet, dass die Berichte still ins Leere gehen, was als teilweises oder fehlgeschlagenes Ergebnis bewertet wird, obwohl ein Tag technisch „vorhanden” ist.
So beheben Sie es (kostenlos, ~30 Minuten verteilt über zwei Wochen)
Geben Sie diesen Abschnitt an die Person weiter, die Ihre Domain, Website oder IT betreut — die Behebung ist vollständig kostenlos. Wir berechnen ausschließlich die Überwachung, dass es über die Zeit korrekt bleibt, die Verwaltung eines Domain-Portfolios oder ein Audit. Die Änderung selbst kostet nichts.
Die goldene Regel: springen Sie nie direkt auf reject. Schalten Sie zuerst die Überwachung ein, beobachten Sie die Berichte, bestätigen Sie, dass Ihre echte Post erkannt wird, und verschärfen Sie dann. In dieser Reihenfolge ist es sicher; in Eile kann es Ihre eigenen E-Mails in den Müll befördern.
Schritt 1 — Stellen Sie zuerst sicher, dass SPF und DKIM vorhanden sind. DMARC stützt sich auf sie. Fehlt eines, bringen Sie das in Ordnung, bevor Sie DMARC durchsetzen (siehe die Seiten zu SPF und DKIM).
Schritt 2 — Veröffentlichen Sie einen Überwachungseintrag mit eingeschalteter Berichterstattung. Fügen Sie einen DNS-TXT-Eintrag hinzu:
- Host / Name:
_dmarc.ihredomain(Ihr DNS-Anbieter zeigt dies eventuell nur als_dmarc) - Typ: TXT
- Wert:
v=DMARC1; p=none; rua=mailto:dmarc@ihredomain; adkim=s; aspf=s
Das beobachtet und berichtet, ohne noch etwas zu blockieren. Die Teile adkim=s; aspf=s fordern strikte Ausrichtung an — lassen Sie sie zunächst weg, wenn Sie unsicher sind, und ergänzen Sie sie, sobald Ihre Post als sauber bestätigt ist.
Schritt 3 — Lesen Sie die Berichte ~2 Wochen. Rohe DMARC-Berichte sind dichtes XML. Nutzen Sie einen kostenlosen Berichtsdienst (zum Beispiel dmarcian oder das kostenlose DMARC-Tool von Postmark), um sie in ein lesbares Dashboard zu verwandeln. Bestätigen Sie, dass jeder legitime Absender — Ihr Mailbox-Anbieter, Newsletter-Tool, CRM, Helpdesk, Rechnungs-App — besteht. Beheben Sie jeden echten Absender, der es nicht tut.
Schritt 4 — Wechseln Sie zu quarantine. Sobald Ihre echte Post sauber ist, ändern Sie p=none zu p=quarantine. Beobachten Sie noch ein paar Tage.
Schritt 5 — Wechseln Sie zu reject. Ändern Sie schließlich p=quarantine zu p=reject. Sie sind nun vollständig geschützt. Der finale Eintrag sieht so aus:
v=DMARC1; p=reject; rua=mailto:dmarc@ihredomain; adkim=s; aspf=s
Schritt 6 — Vergessen Sie die Subdomains nicht. Stellen Sie sicher, dass Sie nicht sp=none stehen gelassen haben. Wenn Sie gar kein sp veröffentlichen, erben Subdomains Ihre Haupt-p=-Richtlinie, was genau das ist, was Sie wollen.
Hinweise je nach gängiger Plattform:
- Google Workspace / Microsoft 365: Beide unterstützen DMARC vollständig. Der DMARC-Eintrag selbst gehört in Ihren DNS-Anbieter, nicht in die Admin-Konsole von Google oder Microsoft — stellen Sie zuerst sicher, dass SPF und DKIM in der Admin-Konsole aktiviert sind, und veröffentlichen Sie dann den DMARC-TXT-Eintrag bei Ihrem Registrar/DNS-Host.
- Cloudflare: DNS > Records > Add record > TXT, Name
_dmarc, Wert einfügen. Cloudflare bietet zudem eine integrierte DMARC-Verwaltung, die dies einrichten und die Berichte für Sie sammeln kann. - Gängige Hoster / Registrare (GoDaddy usw.): Suchen Sie nach „DNS”, „DNS-Zone” oder „Erweitertes DNS”, fügen Sie einen TXT-Eintrag mit Name
_dmarcund dem obigen Wert hinzu. Die Verbreitung dauert meist wenige Minuten bis zu einer Stunde.
Häufige Fehler
- Bei
p=nonestehenbleiben. Der mit Abstand häufigste Fehler. Überwachung ist der Start, nicht das Ende — eine Domain, die aufnonefestsitzt, ist weiterhin voll fälschbar. Unsere Engine wertet sie genau aus diesem Grund als Durchfaller. - Direkt ohne Überwachung auf
rejectspringen. Der gegenteilige Fehler. Ohne die Berichtsphase merken Sie womöglich nicht, dass ein legitimer Absender (oft ein Newsletter- oder Rechnungstool) nicht ausgerichtet ist — und Sie blockieren Ihre eigene Post. - Die Subdomain-Richtlinie vergessen. Ein starkes
p=rejectmitsp=nonelässt eine Seitentür weit offen; Angreifer fälschen einfach eine Subdomain. - Eine defekte Berichtsadresse. Ein vertipptes
rua=(oder eines ohne dasmailto:-Präfix) bedeutet, dass die Berichte ins Leere gehen und Sie unbemerkt blind bleiben. Das Format muss eine gültigemailto:- oderhttps:-URI sein, sonst werden die Berichte nie zugestellt.” - „Wir versenden keine E-Mails, also überspringen wir es.” Eine nicht versendende Domain ist ein bevorzugtes Ziel, gerade weil niemand sie beobachtet. Veröffentlichen Sie eine strikte
reject-Richtlinie, um sie komplett zu verriegeln.
Eine Anmerkung zur Bewertung
Die Richtlinien-Prüfung (p=) ist einer der am stärksten gewichteten Punkte der gesamten Bewertung — weil sie der größte Einzelfaktor dafür ist, ob Ihr Unternehmen imitiert werden kann. reject erhält die volle Punktzahl; quarantine etwa die Hälfte; none und ein fehlender Eintrag werten als Durchfaller. Eine schwächere Subdomain-Richtlinie oder eine teilweise pct=-Einführung zieht die Bewertung auf das tatsächliche Schutzniveau herunter, das Sie wirklich haben.
Die Berichts-Prüfung (rua=) hat ebenfalls echtes Gewicht, aber sehen Sie sie weniger als Häkchen zum Abhaken und mehr als das Werkzeug, das Ihnen erlaubt, sicher zu reject zu gelangen. Richten Sie sie gleichzeitig mit Ihrem Überwachungseintrag ein, und sie zahlt sich am ersten Tag durch Sichtbarkeit aus.
Richten Sie es bei Ihrem Anbieter ein
Schritt für Schritt für gängige Anbieter:
- DMARC bei GoDaddy einrichten
- DMARC bei Namecheap einrichten
- DMARC bei Cloudflare einrichten
- DMARC bei Google Workspace einrichten
- DMARC bei Microsoft 365 einrichten
- DMARC bei Squarespace einrichten
- DMARC bei Wix einrichten
- DMARC bei AWS Route 53 einrichten
- DMARC bei Hostinger einrichten
- DMARC bei Porkbun einrichten
- DMARC bei IONOS einrichten
- DMARC bei Bluehost einrichten
FAQ
Ich bin überhaupt nicht technisch versiert — ist das etwas, das ich wirklich bewältigen kann?
Ja, aber Sie müssen es nicht persönlich tun. Die Behebung sind ein paar Zeilen, die den Einstellungen Ihrer Domain hinzugefügt werden, und sie ist kostenlos. Der einfachste Weg ist, den Abschnitt 'So beheben Sie es' an die Person weiterzuleiten, die Ihre Website betreut oder Ihren IT-Support stellt. Das dauert in der Regel deutlich unter einer Stunde, verteilt über ein paar Wochen sicherer Überwachung.
Wird das Aktivieren von DMARC versehentlich verhindern, dass meine eigenen E-Mails ankommen?
Das kann passieren — aber nur, wenn Sie die sichere Einführung überspringen. Der ganze Sinn, bei 'nur überwachen' (p=none) mit eingeschalteter Berichterstattung zu beginnen, ist, zwei Wochen lang zu beobachten und zu bestätigen, dass jeder legitime Absender (Ihre Mailbox, Ihr Newsletter-Tool, Ihre Rechnungs-App) korrekt erkannt wird, BEVOR Sie auf Blockieren umschalten. In dieser Reihenfolge bleibt Ihre echte Post unbeeinträchtigt. Direkt auf 'reject' zu springen, ohne die Berichte zu prüfen, ist der eine häufige Fehler, der die Zustellung lahmlegt.
Ich habe SPF und DKIM bereits eingerichtet. Reicht das nicht?
Nein — und das ist der wichtigste Punkt, den man verstehen muss. SPF und DKIM sind die Schlösser; DMARC ist die Anweisung, die sagt 'wenn die Schlösser nicht passen, lehne die E-Mail ab.' Ohne DMARC auf 'reject' kann ein empfangender Server bemerken, dass eine E-Mail gefälscht ist, und sie trotzdem zustellen. SPF und DKIM sind Voraussetzungen dafür, dass DMARC funktioniert, aber für sich allein verhindern sie nicht, dass eine gefälschte E-Mail den Posteingang erreicht.
Was ist der Unterschied zwischen 'none', 'quarantine' und 'reject'? Welches brauche ich?
'none' beobachtet und berichtet nur — es stoppt nichts, schützt Sie also nicht. 'quarantine' schickt Fälschungen in den Spam-Ordner. 'reject' weist sie schlicht ab, sodass sie nie ankommen. 'reject' ist das Ziel und die einzige Einstellung, die volle Punktzahl erhält. 'quarantine' ist ein vernünftiges Zwischenstadium; 'none' ist ein Startpunkt für die ersten ein, zwei Wochen, kein Ziel.
Was ist diese 'rua'-Berichterstattung, und brauche ich sie?
Der rua-Tag bittet Mailanbieter, Ihnen eine tägliche Zusammenfassung jedes Systems zu senden, das versucht hat, in Ihrem Domainnamen zu versenden — einschließlich der Kriminellen. So entdecken Unternehmen die 5 bis 50 unautorisierten Absender, die eine Domain am ersten Tag typischerweise missbrauchen. Für sich allein hat es weniger Gewicht als die Richtlinie, aber es ist der Weg, auf dem Sie sicher zu 'reject' gelangen, ohne Ihre echte Post zu zerstören — richten Sie es also gleichzeitig ein.
Wir versenden kaum E-Mails, oder wir versenden gar keine von dieser Domain. Brauchen wir trotzdem DMARC?
Gerade dann. Eine Domain, die wenig oder keine echten E-Mails versendet, ist ein perfektes, geräuscharmes Ziel für Kriminelle, weil niemand hinschaut. Eine Domain, von der Sie nie versenden, sollte eine strikte reject-Richtlinie veröffentlichen — ein sauberer, risikoarmer Erfolg, der die Tür komplett zuschlägt.