Defaults.Exposed › Einrichtung › DMARC

DMARC bei Cloudflare einrichten

Legen Sie bei Cloudflare einen DMARC-Eintrag an, der den Mail-Anbietern sagt, was sie mit E-Mails tun sollen, die Ihre Prüfungen nicht bestehen.

Warum das für Ihr Geschäft wichtig ist

DMARC verbindet SPF und DKIM miteinander und liefert die fehlende Anweisung: Was soll ein empfangender Mail-Anbieter tun, wenn eine E-Mail, die angeblich von Ihnen stammt, die Prüfungen nicht besteht? Ohne DMARC rät jeder Anbieter. Mit DMARC entscheiden Sie – und Sie können sich Berichte schicken lassen, die zeigen, wer in Ihrem Namen Mail versendet.

Im Klartext: DMARC ist das, was Kriminelle tatsächlich daran hindert, Ihre Domain zu fälschen und damit Ihre Kunden oder Mitarbeiter zu betrügen. Es ist die Richtlinie über den Schlössern, die SPF und DKIM bereitstellen – kostenlos und die paar Minuten allemal wert.

Richten Sie zuerst SPF und DKIM ein

DMARC funktioniert, indem es die Ergebnisse von SPF und DKIM auswertet. Wenn Sie diese noch nicht eingerichtet haben, holen Sie das zuerst nach – eine DMARC-Richtlinie ohne Unterbau hat nichts, was sie durchsetzen könnte.

Prüfen Sie, ob Cloudflare Ihr DNS betreibt

Wie bei jedem DNS-Eintrag funktioniert das nur, wenn Cloudflare das DNS für Ihre Domain beantwortet. Cloudflare ist Ihr DNS-Host, nicht Ihr Postfach-Anbieter, und sein DNS ist nur aktiv, wenn die Nameserver Ihrer Domain auf die in Ihrem Dashboard angezeigten Cloudflare-Nameserver zeigen. Öffnen Sie Ihre Domain bei Cloudflare und prüfen Sie auf der Overview-Seite, ob Cloudflare aktiv ist. Zeigen Ihre Nameserver woanders hin, legen Sie den DMARC-Eintrag stattdessen bei demjenigen an, der Ihr DNS betreibt.

Schritt für Schritt bei Cloudflare

1. Melden Sie sich bei Cloudflare an und wählen Sie Ihre Domain aus.
2. Gehen Sie im linken Menü zu Ihren DNS-Einstellungen (suchen Sie nach DNS / Records).
3. Klicken Sie auf Add record.
4. Setzen Sie Type auf TXT.
5. Tragen Sie im Feld Name exakt Folgendes ein: _dmarc Tippen Sie nicht Ihren Domainnamen dahinter – Cloudflare hängt die Domain automatisch an.
6. Beginnen Sie im Feld Content behutsam mit einer reinen Überwachungs-Richtlinie: v=DMARC1; p=none; rua=mailto:[email protected] Ersetzen Sie die Adresse durch ein Postfach, das Sie tatsächlich lesen. Damit bitten Sie die Anbieter, Ihnen Zusammenfassungsberichte zu schicken, ohne dass sich vorerst an der Behandlung Ihrer Mail etwas ändert.
7. Lassen Sie TTL auf Auto.
8. Klicken Sie auf Save.

Die Wahl Ihrer Richtlinie (der Teil p=)

• p=none – nur überwachen. Nichts wird blockiert; Sie erhalten lediglich Berichte. Hier anfangen.
• p=quarantine – fehlgeschlagene Mail in den Spam-/Junk-Ordner verschieben.
• p=reject – fehlgeschlagene Mail komplett abweisen (der stärkste Schutz).

Lassen Sie p=none ein paar Wochen laufen, lesen Sie die Berichte, um sicherzugehen, dass Ihre gesamte legitime Mail durchkommt, und gehen Sie dann auf quarantine und schließlich reject hoch. Wer direkt auf reject springt, ohne die Berichte geprüft zu haben, riskiert, seine eigene echte Post zu blockieren.

Stolperfallen bei Cloudflare

• Der Name ist _dmarc, mit Unterstrich. Ein häufiger Fehler ist, den Unterstrich wegzulassen oder _dmarc.yourdomain.com einzutippen – bei Cloudflare geben Sie nur _dmarc ein. Der führende Unterstrich ist Pflicht; lassen Sie ihn nicht weg.
• Setzen Sie keine eigenen Anführungszeichen. Fügen Sie den reinen Wert beginnend mit v=DMARC1; ein. Cloudflare setzt die Anführungszeichen selbst; manuelle "-Zeichen können den Eintrag zerstören.
• Nur ein DMARC-Eintrag. Wie bei SPF darf es nur einen einzigen DMARC-TXT-Eintrag geben. Existiert bereits einer, bearbeiten Sie ihn, statt einen zweiten anzulegen.
• Kein Proxy bei einem TXT-Eintrag. DMARC lebt in einem TXT-Eintrag, der niemals über den Proxy läuft – hier gibt es keine orange/graue Wolken-Umschaltung, um die Sie sich kümmern müssten.
• Verwenden Sie ein echtes Berichtspostfach. Die Adresse hinter rua=mailto: sollte eine sein, die Sie wirklich abrufen, sonst sind die Berichte verschenkt. Sie kann auf derselben oder einer anderen Domain liegen.
• Geben Sie ihm Zeit. DNS-Änderungen können einige Minuten bis ein paar Stunden brauchen, bis sie wirksam werden.

Prüfen, ob es geklappt hat

Sobald gespeichert und verbreitet, führen Sie den kostenlosen Test auf dieser Seite aus. Er sagt Ihnen in verständlicher Sprache, ob Ihr DMARC-Eintrag steht und welche Richtlinie Sie gesetzt haben.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.