Defaults.Exposed

Defaults.ExposedBehebungenGuides

DMARC von p=none zu p=reject ohne Verlust legitimer E-Mail — der gestufte Rollout (2026)

Veröffentlicht 2026-07-08

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Siehe wie wir bewerten.

Bringen Sie DMARC in vier Stufen von p=none zu p=reject: rua-Berichte 2–4 Wochen beobachten, jeden legitimen Absender reparieren, p=quarantine mit pct hochfahren, dann reject — springen Sie nie direkt zu reject. 70.368.600 von 261.086.232 bewerteten Domains stecken bei weichem SPF ohne DMARC-Durchsetzung fest, laut dem Defaults.Exposed-Zensus.

Dies ist das operative Runbook: eine Stufentabelle mit Ausstiegskriterien, der Eintrag für jede Stufe, die pct-Feinheit aus RFC 7489, die ändert, was „50 %” bei reject bedeutet, und das sp=-Tag für Subdomains. Wenn Sie noch entscheiden, ob Sie durchsetzen, lesen Sie zuerst die 6 Stufen der DMARC-Reife — das ist der Rahmen; und wenn die Richtlinienstufen selbst neu für Sie sind, ist was p=none, p=quarantine und p=reject tatsächlich bedeuten die Einführung. Diese Seite ist das Umsetzen.

Warum können Sie nicht direkt zu p=reject springen?

Weil p=reject jeden Empfänger, der die Richtlinie beachtet, anweist, Mail abzuweisen, die DMARC nicht besteht — und bevor Sie Ihre Berichte gesichtet haben, wissen Sie nicht, was fehlschlägt. Fast jede Domain, die das Monitoring einschaltet, entdeckt legitime Absender, die sie vergessen hatte: das CRM, das Rechnungstool, ein Kontaktformular. Springen Sie am ersten Tag zu reject, landet diese Mail nicht im Spam; sie verschwindet zur SMTP-Zeit. Ein verlorener Rechnungslauf lehrt eine Organisation, DMARC zu fürchten, und der Eintrag wird dauerhaft auf p=none zurückgedreht — von 261.086.232 bewerteten Domains parken 37.312.637 genau dort, und nur 10,59% (27.640.987) erreichen je eine durchgesetzte Richtlinie.

Der andere Grund ist das Alignment. DMARC besteht nur, wenn SPF oder DKIM besteht und mit der sichtbaren From-Domain aligned ist — SPF gegen die Return-Path-Domain (RFC5321.MailFrom), DKIM gegen das d= der Signatur. Drittanbieter-Absender bestehen SPF meist auf ihrer Domain, nicht auf Ihrer — deshalb geht es in der Stufe „jede Quelle reparieren” vor allem darum, bei jedem Anbieter das Custom-Domain-DKIM zu aktivieren — im Detail in DMARC schlägt fehl, obwohl SPF und DKIM bestehen.

Was sind die vier Rollout-Stufen?

StufeRichtlinieneintragpctWas mit fehlschlagender Mail passiertAusstiegskriterien
1. Beobachtenp=none; rua=mailto:…Wird normal zugestellt; Sie erhalten Aggregatberichte2–4 Wochen Berichte; jeder darin auftauchende Absender als legitim oder nicht identifiziert
2. Quellen reparierenp=none (unverändert)Wird weiterhin normal zugestelltJede legitime Quelle besteht DMARC aligned (Custom-Domain-DKIM pro Absender); verbleibende Fehlschläge sind nur unbekannter/gefälschter Verkehr
3. Quarantine-Rampep=quarantine10 → 25 → 50 → 100Der gesampelte Anteil landet im Spamordner; der nicht gesampelte Anteil wird wie p=none behandelt (zugestellt)1–2 Wochen bei pct=100 ohne eine einzige legitime Mail in Quarantäne
4. Rejectp=reject100Wird zur SMTP-Zeit abgewiesen; der Absender bekommt einen Bounce, der Empfänger sieht nichtsLaufend — lassen Sie rua für immer an, um neue Absender zu erwischen

Stand der Daten: 2026-06-29; Richtlinienverhalten gemäß RFC 7489.

Stufe 3 ist die Stelle, an der Domains steckenbleiben oder in Panik geraten. Spamordner sind reversibel — Nutzer finden die Mail, Sie lockern pct, Sie reparieren die Quelle. Abweisung ist nicht reversibel; deshalb ist quarantine bei pct=100, das sauber läuft, die Eintrittskarte zu Stufe 4.

Wie führen Sie den Rollout durch, Schritt für Schritt?

  1. Führen Sie den kostenlosen Scan bei defaults.exposed durch, bevor Sie DNS anfassen. Er bestätigt Ihre aktuelle Richtlinie und ob SPF und DKIM darunter vorhanden sind — die zwei Beine, auf denen die Durchsetzung steht.
  2. Schalten Sie das Monitoring ein, falls noch nicht geschehen. p=none mit rua= zu veröffentlichen ist der Fünf-Minuten-Schritt in „DMARC policy not enabled”. Sammeln Sie 2–4 Wochen Berichte — genug, um monatliche Absender wie Rechnungsläufe zu erwischen.
  3. Inventarisieren Sie jede Quelle in den Berichten. Sortieren Sie Absender in Ihre eigenen, die Ihrer Anbieter und unbekannte. Rohberichte kommen als XML — ein Berichts-Tool (oder das Dashboard Ihres Providers) macht daraus ein lesbares Absender-Inventar.
  4. Bringen Sie jede legitime Quelle zum aligned Bestehen. Aktivieren Sie bei jedem Anbieter das Custom-Domain-DKIM (meist zwei CNAME-Einträge in dessen Dashboard), damit Signaturen Ihre Domain tragen, nicht seine. Bevorzugen Sie DKIM fürs Alignment: Es übersteht Weiterleitungen, SPF nicht.
  5. Warten Sie auf zwei saubere Wochen. Verlassen Sie Stufe 2 erst, wenn die gemeldeten Fehlschläge ausschließlich Verkehr sind, den Sie nicht erkennen — das Spoofing, das Sie blockieren wollen.
  6. Wechseln Sie zu p=quarantine; pct=10 — bearbeiten Sie den bestehenden _dmarc-TXT-Eintrag (durchgerechnetes Beispiel: DMARC-Einrichtung bei IONOS), und achten Sie auf die Syntax: Ein Tippfehler im Richtlinien-Tag kann den Eintrag komplett entwerten. Steigern Sie pct über 25, 50, 100 in 2–4 Wochen und beobachten Sie Berichte und Helpdesk-Tickets. Landet etwas Legitimes im Spam: pct zurückdrehen, Quelle reparieren, weitermachen.
  7. Wechseln Sie zu p=reject nach 1–2 sauberen Wochen bei pct=100. Lassen Sie rua= dauerhaft an — jedes neue Tool, das Ihr Unternehmen einführt, ist ein künftiger fehlschlagender Absender.

Was macht pct eigentlich? Die Feinheit aus RFC 7489

pct bittet Empfänger, Ihre Richtlinie auf diesen Prozentsatz fehlschlagender Mail anzuwenden. Die Feinheit, aus RFC 7489 §6.6.4: Mail, die nicht ins Sample fällt, wird nicht auf „normal zustellen” zurückgestuft — sie bekommt die nächstmildere Richtlinie. Unter p=quarantine; pct=25 werden die anderen 75 % wie p=none behandelt und zugestellt. Aber unter p=reject; pct=50 werden die anderen 50 % in Quarantäne gestellt, nicht zugestellt. Es gibt kein sanftes reject: Sobald Ihr Eintrag reject sagt, landet jede fehlschlagende Nachricht bei beachtenden Empfängern mindestens im Spamordner.

Bewusst eingesetzt ist das ein Feature — p=reject; pct=1 verhält sich wie „fast alles in Quarantäne, ein Rinnsal abweisen”, eine legitime letzte Auffahrt. Zwei Warnungen: Empfänger implementieren das Sampling nicht alle identisch, betrachten Sie pct also als groben Regler; und entfernen Sie das Tag (oder setzen Sie pct=100), sobald Stufe 4 stabil ist, damit Ihr Eintrag sagt, was Sie meinen.

Was ist mit Subdomains — das sp=-Tag?

Standardmäßig erben Subdomains die Richtlinie der Organisationsdomain: p=reject bei yourdomain.com deckt auch mail.yourdomain.com ab. Das sp=-Tag lässt sie abweichen, in nützliche wie gefährliche Richtungen. Nützlich: p=quarantine; sp=reject riegelt Subdomains ab, von denen Sie nie senden, während die Apex-Domain noch mitten in der Rampe steckt — Spoofer zielen gezielt auf Subdomains überwachter Domains. Gefährlich: Ein vergessenes sp=none nimmt stillschweigend jede Subdomain von der reject-Richtlinie aus, die Sie sich in sechs Wochen erarbeitet haben. Prüfen Sie das in Stufe 4; wenn eine Subdomain wirklich eine lockerere Richtlinie braucht, veröffentlichen Sie einen _dmarc-Eintrag auf dieser Subdomain, statt alle zu lockern.

Bedeutet NIS2, dass EU-Unternehmen das tun müssen?

DMARC funktioniert überall identisch — nichts in diesem Runbook ändert sich an einer EU-Grenze. Was sich ändert, ist der Compliance-Sog. NIS2 Artikel 21(2)(j) verlangt von betroffenen Einrichtungen, ihre Kommunikation abzusichern, und die Durchführungsverordnung (EU) 2024/2690 der Kommission konkretisiert die technischen Anforderungen für die von ihr erfassten Einrichtungen der digitalen Infrastruktur — ihr Anhang (Punkt 6.7.2(k)) verlangt einen Umsetzungsplan für den Einsatz international vereinbarter moderner E-Mail-Sicherheitsstandards, und Punkt 6.7.2(l) verlangt Best Practices für DNS-Sicherheit. Eine durchgesetzte DMARC-Richtlinie, mit SPF und DKIM darunter, ist die anerkannte prüfbare Kontrolle gegen Spoofing; p=none ist nachweislich Beobachten, nicht Absichern. Wenn Ihre Kunden in den Anwendungsbereich fallen, fragen deren Lieferantenfragebögen zunehmend genau danach.

Häufig gestellte Fragen

Wie lange dauert der gesamte Rollout? Sechs bis zehn Wochen sind typisch: 2–4 Wochen Monitoring, 1–3 Wochen Quellen reparieren, 2–4 Wochen quarantine hochfahren, dann reject. Es ist Kalenderzeit, nicht Aufwand — überwiegend Warten darauf, dass Berichte jede Änderung bestätigen. Die 89,41% der 261.086.232 bewerteten Domains ohne durchgesetzte Richtlinie (Stand der Daten: 2026-06-29) sind größtenteils nicht mitten im Rollout; sie haben die Uhr nie gestartet.

Kann ich quarantine überspringen und stattdessen p=reject mit niedrigem pct verwenden? Können Sie — gemäß RFC 7489 §6.6.4 bedeutet p=reject; pct=10: 10 % abgewiesen und 90 % in Quarantäne, ungefähr späte Stufe 3. Aber p=quarantine zuerst ist leichter zu durchdenken, und Empfänger sampeln unterschiedlich treu. So oder so sind die Stufen 1–2 nicht verhandelbar: Keine Durchsetzungsvariante ist sicher, solange legitime Absender noch fehlschlagen.

Was ist mit Mail, die ich nicht reparieren kann — Weiterleiter und Mailinglisten? Weiterleitung bricht SPF konstruktionsbedingt, und manche Mailinglisten schreiben Inhalte um und brechen damit auch DKIM. Aligned DKIM übersteht gewöhnliche Weiterleitung, was das meiste abdeckt; der kleine Rest ist der Grund, warum die quarantine-Stufe existiert — Mail im Spamordner ist wiederherstellbar, während Sie die Lage beurteilen. Details in Weitergeleitete E-Mail scheitert an SPF.

Reicht es, bei p=quarantine stehenzubleiben? Es ist der Großteil des Werts und weit besser als die 37.312.637 Domains, die bei p=none parken (von 261.086.232 bewerteten, Stand der Daten: 2026-06-29) — aber gefälschte Mail erreicht weiterhin Spamordner, wo Leute sie herausfischen. Reject ist der Endpunkt: Nur 10,59% der bewerteten Domains setzen überhaupt durch, und das Abschließen ist es, was Prüftools, Versicherer und Fragebögen anerkennen.

Senden Sie dem Inhaber den Bericht

Wenn Sie diesen Rollout für einen Kunden oder Arbeitgeber durchführen, ist die Ziellinie vorzeigbar. Führen Sie den kostenlosen Scan erneut durch, sobald p=reject auflöst, und leiten Sie den bewerteten Bericht weiter: die Domain auf dem Weg zu einer durchgesetzten Richtlinie, mit Zeitstempel und in klarer Sprache. Diese eine Seite beantwortet die E-Mail-Sicherheits-Zeile bei Cyberversicherungs-Verlängerungen und NIS2-getriebenen Lieferantenfragebögen besser als ein Screenshot eines DNS-Panels — und sie macht sechs Wochen sorgfältiger, unsichtbarer Arbeit für die Person sichtbar, die dafür bezahlt.

Prüfen Sie Ihre DMARC-Richtlinie kostenlos

Sehen Sie, welche Richtlinie Sie derzeit haben — und ob SPF und DKIM die Durchsetzung tragen können — privat und nur für den Inhaber.

Prüfen Sie Ihre Domain → · DMARC reparieren → · „DMARC policy not enabled” — der ehrliche erste Schritt → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.