Defaults.Exposed › Einrichtung › DMARC

DMARC bei Microsoft 365 einrichten

Legen Sie in Ihrem DNS einen DMARC-Eintrag an, der den Empfängern sagt, was sie mit E-Mails tun sollen, die Ihre SPF- und DKIM-Prüfungen nicht bestehen.

Warum das für Ihr Geschäft wichtig ist

DMARC ist die Richtlinie, die SPF und DKIM miteinander verbindet. Sie sagt empfangenden Mail-Servern, was sie tun sollen, wenn eine E-Mail, die angeblich von Ihrer Domain stammt, diese Prüfungen nicht besteht – ignorieren, in den Spam verschieben oder rundheraus abweisen – und sie kann Ihnen Berichte schicken, die zeigen, wer in Ihrem Namen Mail versendet (und fälscht). Im Klartext: DMARC ist das, was Kriminelle tatsächlich daran hindert, sich als Ihre Domain auszugeben und damit Ihre Kunden und Mitarbeiter zu betrügen. Es ist kostenlos und macht aus SPF und DKIM von „nett zu haben” einen echten Schutz.

Erledigen Sie zuerst SPF und DKIM

DMARC ist auf SPF und DKIM angewiesen. Richten Sie diese vor oder zusammen mit DMARC ein. Ein DMARC-Eintrag allein – ohne funktionierendes SPF/DKIM – kann dazu führen, dass Ihre eigene legitime Mail blockiert wird. Fangen Sie behutsam an (siehe Richtlinien-Hinweis unten) und ziehen Sie es mit der Zeit fester.

Wichtig: wo das gemacht wird

Wie SPF ist DMARC ein DNS-Eintrag, keine Einstellung in Microsoft 365. Microsoft 365 ist Ihre Mail-Plattform (es betreibt die Postfächer), doch der DMARC-Eintrag wird dort angelegt, wo das DNS Ihrer Domain liegt – bei Ihrem Registrar, Webhoster, Cloudflare oder wer auch immer Ihre Nameserver kontrolliert. Wenn Sie Ihr DNS von Microsoft verwalten lassen, legen Sie ihn im Microsoft 365 Admin Center → Einstellungen → Domains → DNS-Einträge an; andernfalls gehört er zu Ihrem DNS-Host. In Microsoft gibt es keinen separaten „DMARC-Schalter” – Microsofts Beitrag besteht schlicht darin, dass funktionierendes SPF und DKIM (separat eingerichtet) die Grundlage sind, auf die sich DMARC stützt.

Zuerst: welches Unternehmen betreibt Ihr DNS?

Ein DMARC-Eintrag funktioniert nur, wenn er dort angelegt wird, wohin die Nameserver Ihrer Domain zeigen. Wenn Sie unsicher sind, prüfen Sie den Abschnitt Nameservers in Ihrem Registrar-Konto oder fragen Sie denjenigen, der Ihre Website eingerichtet hat. Legen Sie den Eintrag in den DNS-Einstellungen dieses Unternehmens an (suchen Sie nach DNS / Records / Advanced DNS).

Was Sie anlegen

Einen einzigen TXT-Eintrag unter einem besonderen Hostnamen: _dmarc.

Ein sicherer Startwert, der nur überwacht und nichts blockiert, lautet:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = nur überwachen; vorerst wird nichts blockiert. Gut für die ersten Wochen.
• rua=mailto:... = wohin die Zusammenfassungsberichte gehen. Nutzen Sie ein echtes Postfach, das Sie abrufen.
• Sobald Sie (über die Berichte und den kostenlosen Test) bestätigt haben, dass Ihre echte Mail durchkommt, können Sie die Richtlinie auf p=quarantine (Fehlschläge in den Spam) und später p=reject (Fehlschläge ganz abweisen) verschärfen. Microsoft empfiehlt, auf p=reject hinzuarbeiten, sobald Sie sicher sind.

Schritte

1. Melden Sie sich bei Ihrem DNS-Host an (Ihrem Registrar, Webhoster oder DNS-Anbieter – oder dem Microsoft 365 Admin Center, falls Microsoft Ihr DNS betreibt).
2. Öffnen Sie die DNS-Einstellungen Ihrer Domain (suchen Sie nach DNS / Records / Advanced DNS).
3. Fügen Sie einen neuen Eintrag hinzu und wählen Sie TXT.
4. Tragen Sie im Feld Name / Host exakt _dmarc ein (mit führendem Unterstrich). Tippen Sie nicht _dmarc.yourdomain.com – der DNS-Host hängt Ihre Domain automatisch an.
5. Fügen Sie im Feld Value Ihre DMARC-Zeichenkette ein, z. B. v=DMARC1; p=none; rua=mailto:[email protected] (ersetzen Sie die E-Mail durch eine echte Adresse, die Sie überwachen).
6. Lassen Sie TTL auf der Standardeinstellung.
7. Speichern Sie.

Stolperfallen

• Es ist keine Postfach-Einstellung. Manche suchen in den Einstellungen von Microsoft 365 nach „DMARC” – als Schalter ist es dort nicht. Es gehört zu Ihrem DNS.
• Der Hostname ist _dmarc, mit Unterstrich. Den Unterstrich wegzulassen oder die volle Domain dahinter zu tippen, legt den Eintrag an der falschen Stelle ab, und DMARC wird nicht gefunden.
• Achten Sie auf die Anführungszeichen. Fügen Sie den Wert pur ein; die meisten DNS-Hosts setzen die Anführungszeichen für Sie. Umschließen Sie ihn nicht selbst mit "...".
• Nur ein DMARC-Eintrag. Es sollte genau einen TXT-Eintrag unter _dmarc geben. Existiert bereits einer, bearbeiten Sie ihn, statt einen zweiten anzulegen.
• Beginnen Sie mit p=none. Wer direkt auf p=reject springt, bevor SPF/DKIM solide sind, kann seine eigenen Rechnungen und Angebote blockieren. Erst überwachen, später verschärfen.
• Verwenden Sie ein echtes Berichtspostfach. Die rua-Adresse muss eine sein, an der Sie tatsächlich empfangen können.
• Planen Sie Zeit ein. DNS-Änderungen können von Minuten bis zu ein paar Stunden brauchen, bis sie überall wirksam sind.

Prüfen, ob es geklappt hat

Bestätigen Sie nach dem Speichern mit dem kostenlosen Test auf Defaults.Exposed, dass Ihr DMARC-Eintrag aktiv und sinnvoll ist. Geben Sie Ihre Domain ein, und der Test sagt Ihnen in verständlicher Sprache, ob DMARC korrekt eingerichtet ist und was als Nächstes zu tun ist. Ihre Daten werden in der EU verarbeitet.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.