Defaults.Exposed › Behebungen › Guides
„DMARC Policy Not Enabled“: Was Checker damit meinen, und der ehrliche 5-Minuten-Einstieg (2026)
Veröffentlicht 2026-07-08
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Siehe wie wir bewerten.
„DMARC policy not enabled” bedeutet eines von zwei verschiedenen Dingen: Ihre Domain hat gar keinen DMARC-Eintrag, oder sie hat einen, der auf p=none steht. Nur 10,59% der Domains — 27.640.987 von 261.086.232 — setzen eine DMARC-Richtlinie durch, laut dem Defaults.Exposed-Zensus. Einen Monitoring-Eintrag zu veröffentlichen dauert fünf Minuten; Durchsetzung ist ein Projekt.
Dieser Leitfaden entschlüsselt die Warnung, gibt Ihnen den genauen TXT-Eintrag und genau die Stelle, an die er gehört, geht die Syntax-Ausrutscher durch, an denen erste Versuche scheitern, und setzt eine ehrliche Erwartung, wie Ihre erste Woche DMARC-Berichte aussieht. Er ist bewusst kein „DMARC in 5 Minuten reparieren”-Leitfaden — die fünf Minuten verschaffen Ihnen Sichtbarkeit, keinen Schutz.
Was bedeutet „DMARC policy not enabled” eigentlich?
Checker wie MXToolbox pressen zwei verschiedene Befunde in eine orangefarbene Warnung, und der Fix-Weg hängt davon ab, welchen Sie haben:
| Was der Checker anzeigt | Was es tatsächlich bedeutet | Betroffene Domains (von 261.086.232 bewerteten) |
|---|---|---|
| “No DMARC record found” | Unter _dmarc.yourdomain ist nichts veröffentlicht. Empfänger wenden keine Richtlinie an und senden Ihnen keine Berichte. Sie sind für Ihre eigenen E-Mail-Probleme blind. | 196.105.162 (75,11%) |
| “DMARC policy not enabled” / “policy is none” | Ein Eintrag existiert, sagt aber p=none: Berichte an, Schutz aus. Empfänger stellen gefälschte Mail genau wie zuvor zu. | 37.312.637 (14,29%) |
| “Policy: quarantine” oder “reject” | Eine durchgesetzte Richtlinie. Empfänger reagieren auf Fehlschläge. | 27.640.987 (10,59%) |
Stand der Daten: 2026-06-29.
Die erste Zeile ist die, in der der Großteil des Internets lebt: 75,11% der bewerteten Domains veröffentlichen gar keinen DMARC-Eintrag, und weitere 14,29% stehen bei p=none. Die Umkehrung der letzten Zeile ist die Zahl, auf die es ankommt: 89,41% der Domains haben keine durchgesetzte DMARC-Richtlinie — von 261.086.232 bewerteten Domains im Zensus. Wenn Ihr Checker die Warnung anzeigt, sind Sie in der überwältigenden Mehrheit. Das ist keine Beruhigung; es ist der Grund, warum Spoofing billig bleibt.
Eine Klarstellung, die spätere Verwirrung erspart: DMARC ist die Richtlinienschicht über SPF und DKIM, geprüft gegen den From-Header, den Ihr Empfänger tatsächlich sieht. „Not enabled” bedeutet: Sie haben den Empfängern noch nichts aufgetragen. Wenn die drei Richtlinienwerte neu für Sie sind, ist die klar formulierte Erklärung was ist DMARC: none, quarantine, reject.
Was können Sie ehrlicherweise in fünf Minuten reparieren?
Einen Eintrag veröffentlichen. Das ist die ganze ehrliche Behauptung.
v=DMARC1; p=none; rua=mailto:[email protected]
Fünf Minuten nachdem dieser TXT-Eintrag live geht, beginnen Empfänger, die DMARC prüfen, tägliche Berichte darüber zusammenzustellen, wer Mail als Ihre Domain versendet — legitime Server wie Hochstapler. Diese Sichtbarkeit ist wirklich wertvoll und wirklich sofort da.
Was er nicht tut: p=none schützt nichts. Gefälschte Mail wird genau wie gestern zugestellt, und ein Checker, der morgen erneut scannt, sagt womöglich immer noch „policy not enabled” — zu Recht, denn der grüne Haken ist quarantine oder reject vorbehalten. Warum, haben wir in p=none ist kein Schutz aufgeschrieben; der gestufte Weg zu einer Richtlinie, die Spoofing tatsächlich blockiert, ist von p=none zu p=reject. Der Fünf-Minuten-Schritt unten ist der Anfang; jener Leitfaden ist der Abschluss.
Wie veröffentlichen Sie Ihren ersten DMARC-Eintrag?
- Führen Sie den kostenlosen Scan durch, bevor Sie DNS anfassen. Er sagt Ihnen, welchen der zwei Befunde Sie tatsächlich haben — kein Eintrag vs.
p=none— und ob SPF und DKIM darunter vorhanden sind, was entscheidet, wie schnell Sie später zur Durchsetzung übergehen können. - Wählen Sie eine Adresse für die Berichte. Ein dediziertes Postfach wie
dmarc-reports@yourdomainreicht für den Anfang. Wenn Sie stattdessen einen Berichts-Analysedienst nutzen, siehe die FAQ unten — Adressen auf Fremddomains haben eine stille Falle. - Fügen Sie einen TXT-Eintrag am Host
_dmarchinzu. In den meisten DNS-Panels (siehe den IONOS-DMARC-Einrichtungsleitfaden für ein durchgerechnetes Beispiel) tragen Sie_dmarcins Host-/Name-Feld ein — das Panel hängt Ihre Domain automatisch an, was_dmarc.yourdomain.comergibt. Wert:v=DMARC1; p=none; rua=mailto:[email protected] - Prüfen Sie, dass er auflöst.
dig TXT _dmarc.yourdomain.com(oder ein beliebiger Online-Checker) sollte genau einen Eintrag zurückgeben, der mitv=DMARC1beginnt. Die meisten DNS-Änderungen sind binnen Minuten sichtbar; eine niedrige TTL hilft. - Scannen Sie erneut. Ihr Bericht zeigt DMARC als vorhanden im Monitoring-Modus — ein ehrliches Abbild Ihres Stands: Berichte an, Durchsetzung ausstehend.
Ein Eintrag deckt auch Ihre Subdomains ab: Empfänger, die auf mail.yourdomain.com keinen Eintrag finden, greifen auf die Richtlinie der Organisationsdomain zurück, Sie brauchen also keinen Eintrag pro Subdomain, um mit dem Monitoring zu starten.
Was sind die häufigsten Fehler beim Anlegen des Eintrags?
Fast jeder gescheiterte erste Versuch ist einer von diesen — und sie zählen, denn ein nicht parsbarer Eintrag wird wie kein Eintrag behandelt. Der Zensus zählt 48.648 veröffentlichte DMARC-Einträge, die nicht parsen; die Schreibfehler, die Leute tatsächlich veröffentlichen, sind in der DMARC-Tippfehler-Zensus katalogisiert.
- Falscher Host. Der Eintrag muss unter
_dmarc.yourdomain.comliegen, nicht am Apex. Auf der nackten Domain bewirkt er nichts, und Checker melden weiter “no DMARC record found”. - Doppelt angehängte Domain.
_dmarc.yourdomain.comin ein Panel zu tippen, das automatisch anhängt, ergibt_dmarc.yourdomain.com.yourdomain.com. Tragen Sie nur_dmarcein. - Kommas statt Semikolons. Tags werden mit
;getrennt. Ein nicht parsbarer Eintrag wird wie kein Eintrag behandelt. - Fehlendes oder falsch platziertes
v=DMARC1. Es muss das erste Tag sein, exakt so geschrieben; Einträge, die mitp=beginnen, scheitern am Parsing. mailto:fehlt in rua.rua=dmarc@yourdomainist ungültig; es mussrua=mailto:[email protected]heißen.- Zwei DMARC-Einträge. Empfänger, die mehr als einen
v=DMARC1-Eintrag finden, ignorieren alle — dieselbe Fehlerfamilie wie SPF mit mehreren Einträgen. - Typografische Anführungszeichen aus Copy-Paste. Geschwungene Anführungszeichen oder geschützte Leerzeichen, die aus einem Dokument eingeschleppt werden, brechen das Parsing. Tippen Sie den Eintrag neu, wenn ein Checker ihn als fehlerhaft meldet, er aber richtig aussieht.
Wie sehen die rua-Berichte in Woche eins aus?
Setzen Sie die Erwartungen jetzt, damit Sie nicht schließen, es sei kaputt:
- Sie kommen ungefähr täglich, pro Empfänger. Google sendet typischerweise einen Aggregatbericht alle 24 Stunden; Microsoft, Yahoo und andere in eigenen Zyklen. Für eine kleine Domain heißt Woche eins meist eine Handvoll E-Mails, überwiegend von
[email protected]. - Es sind komprimierte XML-Anhänge, kein Dashboard. Roh sind sie kaum lesbar; ein kostenloser Parser macht daraus eine Absendertabelle.
- Das Volumen folgt Ihrem Mailvolumen. Wenn Sie wenig Mail senden, oder überwiegend an Provider, die nicht berichten, rechnen Sie mit dünnen Daten. Zwei stille Wochen sind für eine Domain mit wenig Volumen normal — verifizieren Sie den Eintrag mit
dig, statt einen Fehlschlag anzunehmen. - Rechnen Sie mit Überraschungen. Die meisten Domains entdecken Absender, die sie vergessen hatten — das CRM, das Rechnungstool, das Kontaktformular. Jeder davon braucht aligned SPF oder DKIM, bevor Sie durchsetzen können. Wenn Berichte DMARC-Fehlschläge zeigen, während SPF und DKIM einzeln bestehen, ist das ein Alignment-Problem — siehe DMARC schlägt fehl, obwohl SPF und DKIM bestehen.
Und bitten Sie überhaupt um die Berichte: 64,3% der Domains mit DMARC-Eintrag veröffentlichen keine rua=-Adresse und erhalten daher keine Berichte daraus — der Zensus-Schnitt dazu steht in DMARC im Blindflug. Alles, was Sie hier lernen, speist den Durchsetzungs-Rollout — Monitoring ist Woche eins dieses Projekts, kein Ziel. Unbegrenzt bei p=none zu parken ist der häufigste Weg, wie Domains in den 89,41% landen.
Häufig gestellte Fragen
Schadet die Veröffentlichung von p=none meiner Zustellbarkeit?
Nein. p=none ändert nichts daran, wie Empfänger Ihre Mail behandeln — es fordert nur Berichte an. Es kann helfen: Die Bulk-Sender-Anforderungen von Google und Yahoo verlangen von Absendern mit hohem Volumen mindestens einen p=none-DMARC-Eintrag; einen zu veröffentlichen ist also eine Compliance-Untergrenze, kein Risiko.
Ich habe den Eintrag veröffentlicht — warum sagt der Checker immer noch „policy not enabled”?
Weil er Ihnen die Wahrheit sagt: Ihre Richtlinie ist none, und Checker reservieren das Bestehen für quarantine oder reject. Sie haben sich den Domains angeschlossen, die beobachten, aber nicht durchsetzen — mit Stand 2026-06-29 setzen nur 10,59% der 261.086.232 bewerteten Domains durch. Die Warnung verschwindet, wenn Sie den Rollout zur Durchsetzung abschließen.
Brauche ich SPF und DKIM, bevor ich DMARC hinzufüge?
Sie brauchen mindestens eines davon, aligned, damit Ihre Mail DMARC besteht — aber sie müssen nicht perfekt sein, bevor Sie p=none veröffentlichen. Monitoring ist genau das Mittel, um Kaputtes zu finden: 70.368.600 von 261.086.232 bewerteten Domains (Stand 2026-06-29) haben weiches SPF und keine DMARC-Durchsetzung, und Berichte wären der Weg, zu erfahren, was sie aufhält.
Kann ich Berichte an einen Drittanbieter-Analysedienst statt an mein eigenes Postfach senden?
Ja — aber eine rua-Adresse auf einer anderen Domain verlangt, dass der Anbieter einen Autorisierungseintrag veröffentlicht (yourdomain._report._dmarc.vendor.com), sonst halten Empfänger die Berichte stillschweigend zurück. Seriöse Dienste tun das automatisch; wenn nie Berichte ankommen, prüfen Sie das zuerst.
Senden Sie dem Inhaber den Bericht
Wenn Sie das für einen Kunden oder Arbeitgeber beheben, lassen Sie die Arbeit nicht unsichtbar bleiben. Führen Sie den kostenlosen Scan erneut durch, sobald der Eintrag auflöst, und leiten Sie den bewerteten Bericht weiter: Er zeigt DMARC auf dem Weg von „fehlt” zu „überwacht”, mit Zeitstempel und in klarer Sprache — und er zeigt, was auf dem Weg zur Durchsetzung als Nächstes kommt. Inhaber brauchen zunehmend genau diesen Nachweis für Cyberversicherungs-Verlängerungen und Lieferanten-Sicherheitsfragebögen, und ein einseitiger bewerteter Bericht beantwortet diese Fragen besser, als ein Screenshot eines DNS-Panels es je könnte.
Prüfen Sie Ihre Domain kostenlos
Sehen Sie, welchen der zwei Befunde Sie haben — kein Eintrag oder p=none — und was darunter liegt, privat und nur für den Inhaber.
Prüfen Sie Ihre Domain → · DMARC reparieren → · Von p=none zu p=reject → · Wie wir bewerten → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.