DMARC-Record im DNS verständlich erklärt: Durchsetzung und Reporting
DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist das mächtigste Werkzeug zur Absicherung des geschäftlichen E-Mail-Verkehrs. Es baut direkt auf den beiden Verfahren SPF und DKIM auf, die wiederum als TXT-Records im DNS hinterlegt werden. DMARC schliesst eine kritische Sicherheitslücke: Es schreibt empfangenden Mailservern verbindlich vor, wie sie mit E-Mails umgehen sollen, die SPF und DKIM verletzen, und sendet automatische Statusberichte an den Domaininhaber zurück.
Wie schliesst DMARC die Sicherheitslücke?
Weder SPF noch DKIM prüfen standardmässig das sichtbare Absenderfeld (Header-From) einer E-Mail. Angreifer können daher eine E-Mail mit einem gefälschten Absender wie ceo@example.com versenden, für SPF jedoch einen anderen, eigenen Server eintragen, den sie kontrollieren. Die E-Mail würde SPF bestehen, der Empfänger sieht aber die gefälschte CEO-Adresse.
DMARC löst dieses Problem durch das Prinzip des Alignments (Abgleichs):
- SPF-Alignment: Die Domain in der technischen Absenderadresse (Mail-From oder Return-Path) muss mit der Domain im sichtbaren Absenderfeld (From) übereinstimmen.
- DKIM-Alignment: Die Domain, die im DKIM-Header (
d=-Tag) die Signatur validiert, muss mit der Domain im sichtbaren Absenderfeld (From) übereinstimmen.
DMARC gilt nur dann als bestanden (DMARC Pass), wenn mindestens eines dieser beiden Alignments erfolgreich ist und die jeweilige Prüfung (SPF oder DKIM) besteht.
Aufbau und Syntax eines DMARC-Records
Ein DMARC-Record wird zwingend als TXT-Record auf der Subdomain _dmarc.[ihredomain.com] konfiguriert. Der Name lautet immer _dmarc:
_dmarc.example.com. 3600 IN TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@example.com"
- Version (
v=DMARC1): Kennzeichnet das DMARC-Protokoll. - Richtlinie (
p=quarantine): Weist Empfänger an, E-Mails, die DMARC verletzen, in den Spam-Ordner zu verschieben. - Prozentsatz (
pct=100): Legt fest, auf wie viel Prozent der E-Mails die Richtlinie angewendet werden soll (nützlich für schrittweise Rollouts). - Reporting-Adresse (
rua=mailto:...): Definiert, wohin die empfangenden Server (wie Gmail, Outlook, Yahoo) tägliche, aggregierte XML-Reports senden sollen. Diese Berichte listen auf, welche Server weltweit E-Mails im Namen Ihrer Domain gesendet haben.
Die empfohlene Rollout-Strategie
Um zu verhindern, dass legitime E-Mails (z. B. von Newslettern oder Rechnungsdiensten) versehentlich blockiert werden, sollten Unternehmen DMARC schrittweise einführen:
- Phase 1: Überwachung (
p=none): Starten Sie mit einer reinen Überwachungsrichtlinie. Es werden keine E-Mails blockiert. Analysieren Sie die eintreffenden XML-Reports, um legitime Versender zu identifizieren, deren SPF/DKIM-Konfiguration noch korrigiert werden muss. - Phase 2: Quarantäne (
p=quarantine): Haben Sie alle legitimen Quellen abgesichert, verschärfen Sie die Richtlinie. Fälschungen landen nun im Spam-Ordner. - Phase 3: Blockieren (
p=reject): Der finale Zustand. Alle E-Mails, die die DMARC-Kriterien nicht erfüllen, werden vom Empfänger-Mailserver sofort abgewiesen. Ihre Domain ist damit effektiv vor Phishing-Missbrauch geschützt.
Die Eskalationsstufen im Überblick
Der schrittweise Übergang von der reinen Beobachtung bis zur vollständigen Durchsetzung lässt sich als Zustandsfolge darstellen:
graph LR
A["p=none<br/>Beobachten<br/>2–4 Wochen"] --> B["p=quarantine<br/>Spam-Ordner<br/>2–4 Wochen"]
B --> C["p=reject<br/>Abweisen<br/>dauerhaft"]
Die folgende Tabelle fasst die drei Rollout-Phasen mit empfohlener Dauer zusammen:
| Stufe | Policy | Wirkung | Empfohlene Dauer |
|---|---|---|---|
| 1. Beobachten | p=none | Nichts wird blockiert, nur Reports (rua) | 2–4 Wochen |
| 2. Quarantäne | p=quarantine | Nicht authentifizierte Mails landen im Spam | 2–4 Wochen |
| 3. Durchsetzen | p=reject | Nicht authentifizierte Mails werden abgewiesen | dauerhaft |
Beispiel für Stufe 1:
_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com"
Werten Sie die Aggregat-Reports konsequent aus, bevor Sie eskalieren. Prüfen Sie dabei, ob alle legitimen Versender entweder SPF- oder DKIM-Alignment bestehen.
Typische DMARC-Fehler
| Fehler | Folge | Lösung |
|---|---|---|
Record am falschen Ort (statt auf _dmarc) | DMARC greift gar nicht | Record exakt auf _dmarc.domain.tld setzen |
Direkt mit p=reject gestartet | Legitime Mails werden abgewiesen | Mit p=none beginnen, schrittweise eskalieren |
rua nicht ausgewertet | Blinde Eskalation, Zustellprobleme | Reports regelmässig prüfen |
| SPF/DKIM ohne Alignment | DMARC schlägt trotz Pass fehl | From-Domain mit SPF-/DKIM-Domain abgleichen |
Weitere Diagnoseschritte zu DNS-Einträgen finden Sie im DNS-Troubleshooting-Leitfaden.
[!TIP] Ohne DMARC-Eintrag können Angreifer E-Mails im Namen Ihrer Domain versenden. Zudem fordern Google und Yahoo seit 2024 einen gültigen DMARC-Eintrag für Massenversender. Prüfen Sie Ihren DMARC-Status im Detail mit der Mail Deliverability Suite auf balou.tools.
Häufig gestellte Fragen (FAQ)
Welche Richtlinien (Policies) gibt es bei DMARC?
DMARC unterstützt drei Richtlinien über das Tag `p=`: `none` (nur überwachen/berichten), `quarantine` (in den Spam-Ordner verschieben) und `reject` (E-Mail komplett abweisen/blockieren).
Was bedeutet DMARC-Alignment?
Alignment (Abgleich) fordert, dass die für SPF oder DKIM verwendete Domain exakt mit der Domain übereinstimmt, die der Benutzer im sichtbaren „From“-Header (Absenderadresse) seiner E-Mail sieht.