p=reject erreichen, ohne die eigenen E-Mails zu zerstören
Von Thomas · virtueller CISO · 2026-06-16
Die meisten Domains veröffentlichen einen DMARC-Eintrag, lassen ihn auf p=none und rühren ihn nie wieder an. Aber ewig zu überwachen schützt niemanden: Gespoofte Post landet weiterhin im Posteingang, da p=none den Empfängern sagt, im Fehlerfall nichts zu tun. Das eigentliche Ziel ist p=reject, wo in deinem Namen gefälschte Post von vornherein abgewiesen wird. Dorthin zu gelangen, ohne die eigene legitime Post zu blockieren, ist keine Frage von Mut — es ist eine Frage von Methode. Dieser Leitfaden entrollt diese Methode, Schritt für Schritt.
Wenn DMARC neu für dich ist, beginne mit Was ist DMARC; wenn die Beziehung SPF/DKIM/Ausrichtung unklar ist, lies zuerst wie die drei zusammenarbeiten. Alles Folgende setzt diese Grundlagen voraus.
Warum Domains bei p=none steckenbleiben
Der Grund ist Angst, und sie ist rational. Organisationen senden von weit mehr Orten, als sie glauben — die Marketing-Plattform, das CRM, die Rechnungsstellung, der Support, das HR-Tool und jene App, die ein Team vor zwei Jahren installiert hat, ohne die IT zu informieren. Verschärfe die Richtlinie, bevor jede davon authentifiziert und ausgerichtet ist, und du riskierst, deine eigenen Rechnungen und Passwort-Resets in den Junk-Ordner zu schicken. Also bleibt der Eintrag unbegrenzt auf p=none, im Überwachungsmodus, während die Spoofer frei agieren. Der Ausweg besteht darin, die Angst durch Daten zu ersetzen — genau das, was die Berichte liefern.
Schritt 1: p=none veröffentlichen und Berichte sammeln
Beginne im Beobachtungsmodus. Veröffentliche einen DMARC-Eintrag auf p=none mit einer rua=-Adresse, damit die Empfänger dir ihre täglichen Aggregatberichte schicken. An deinem Postfluss ändert sich nichts; du beginnst nur zu sehen, wer in deinem Namen sendet. Lass die Berichte einige Wochen lang auflaufen, um monatliche Absender (Rechnungsstellung, Kontoauszüge) ebenso zu erfassen wie tägliche. Zu lernen, diese Berichte zu lesen, zahlt sich sofort aus — siehe DMARC-Aggregatberichte lesen.
Schritt 2: jede legitime Quelle inventarisieren
Die Aggregatberichte enthüllen jede IP, die für deine Domain sendet. Deine Aufgabe ist es, diese Adressliste in eine Liste von Diensten zu verwandeln: „Diese IP mit hohem Volumen, die DKIM besteht, ist unsere Mail-Plattform; jene, die bei beiden fehlschlägt, ist das CRM; diese andere ist ein Umfrage-Tool, das das Marketing vergessen hatte." Dieses Inventar ist der ganze Knackpunkt — es ist unmöglich, eine Richtlinie beruhigt durchzusetzen, ohne mit Sicherheit zu wissen, wer legitim für dich sendet. Rechne mit Überraschungen; es gibt immer ein paar Quellen, an die sich niemand erinnerte.
Schritt 3: jede legitime Quelle ausrichten
Stelle für jeden legitimen Absender sicher, dass er SPF oder DKIM besteht und sich ausrichtet mit der Domain deines From:. In der Praxis bedeutet das meistens, eine DKIM-Signatur mit einer markeneigenen Domain (d=deine-domain.de) auf jeder Plattform einzurichten, da Drittanbieter-Absender SPF selten ausrichten. Arbeite die Liste durch, bis jede echte Quelle einen ausgerichteten Durchlauf in den Berichten zeigt. Das ist der Löwenanteil des Aufwands und das, worauf die meiste Kalenderzeit entfällt.
Schritt 4: zu quarantine wechseln
Wenn die Berichte alle deine legitimen Quellen als ausgerichtet zeigen, hebe die Richtlinie auf p=quarantine an. Nicht authentifizierte Post geht nun in den Junk-Ordner statt in den Posteingang — eine echte Verteidigung, aber umkehrbar, falls dir etwas entgangen ist. Historisch staffelte man mit dem pct-Tag (pct=25, dann 50, dann 100), um die Richtlinie auf einen wachsenden Bruchteil der fehlgeschlagenen Post anzuwenden. DMARCbis (2026) entfernt pct zugunsten eines binären Testmodus (das t=y-Tag) und einer Anhebung, die sich auf die Beobachtung der Berichte statt auf einen Prozentsatz stützt. In der Praxis heute: Wenn dein Tooling und deine Empfänger pct noch honorieren, kannst du es für die Dauer des Übergangs nutzen; andernfalls gehe in kurzen Schritten vor — ein paar Tage auf quarantine, während du die Berichte überwachst — bevor du zu reject übergehst.
Schritt 5: zu reject wechseln
Wenn quarantine sauber läuft — die einzigen verbleibenden fehlgeschlagenen Quellen sind unbekannt, also Spoofer — hebe die Richtlinie auf p=reject an. In deinem Namen gefälschte Post wird nun an der Eingangstür abgewiesen. Stelle deine Subdomain-Richtlinie (sp) entsprechend ein, damit Angreifer nicht einfach auf eine Subdomain umschwenken. Du hast die Durchsetzung erreicht.
DMARCbis: was sich für deine Richtlinien-Anhebung ändert
Im Mai 2026 veröffentlicht (RFC 9989/9990/9991), modernisiert DMARCbis den Standard, ohne diesen Weg obsolet zu machen — die Sequenz none → quarantine → reject bleibt genau die richtige. Zwei Neuerungen verdienen während der Anhebung deine Aufmerksamkeit:
- Das
np-Tag. Es legt die Richtlinie für nicht existierende Subdomains fest — ein klassisches Spoofing-Ziel, denn ein Angreifer kannrechnung.deine-domain.defälschen, selbst wenn diese Subdomain nicht existiert. Das ist ein schneller und risikofreier Gewinn: Setzenp=rejectfrüh, sobald deine Root sauber ist, da keine legitime Post von nicht existierenden Subdomains ausgeht. pct→tund der DNS Tree Walk.pctverschwindet (vgl. Schritt 4) und die Bestimmung der Organisationsdomain hängt nicht mehr von der Public Suffix List ab, sondern von einer Abfolge von DNS-Abfragen (maximal acht). Nichts in deinem Ablauf neu zu machen: Dein Eintrag bleibt gültig, es ist nur die Gelegenheit, ein unnötig gewordenespctzu entfernen.
Wie lange dauert das?
Für eine kleine Domain mit ein oder zwei Quellen ein paar Tage. Für eine große Organisation mit Dutzenden von Plattformen, verteilt über Geschäftsbereiche und Regionen, sind ein paar Monate normal — vor allem für Schritt 3, die Ausrichtung der Quellen, nicht für den Richtlinienwechsel. Das Tempo wird durch die Geschwindigkeit bestimmt, mit der du jede Plattform konfigurierst, nicht durch DMARC selbst.
Woran du erkennst, dass du bereit bist zu verschärfen
Du musst den richtigen Moment nicht erraten; die Berichte sagen ihn dir. Drei konkrete Signale, bevor du einen Gang hochschaltest:
- Deine bekannten legitimen Quellen zeigen alle einen ausgerichteten Durchlauf über mehrere Tage Berichte hinweg — nicht einmal zufällig, sondern stabil.
- Die einzigen verbleibenden fehlgeschlagenen Zeilen sind IPs, die du nicht erkennst, mit geringem Volumen oder in isolierten Spitzen: das Profil eines Spoofers oder einer Weiterleitung, nicht eines Geschäftsdienstes.
- Keine monatliche Quelle fehlt. Rechnungsstellung, Kontoauszüge, Quartalskampagnen: Warte, bis du mindestens einen vollständigen Zyklus vorbeiziehen gesehen hast, bevor du schließt, dass dein Inventar vollständig ist.
Wenn diese drei Kästchen angehakt sind, ist der nächste Schritt sicher. Andernfalls bleibe, wo du bist, und behebe zuerst die fehlende Quelle — auf einem unvollständigen Inventar zu verschärfen ist genau das, was legitime Post zerstört.
Häufige Fallen auf dem Weg
- Zu früh verschärfen. Die häufigste Art, seine Post zu zerstören. Lass die Berichte beweisen, dass eine Quelle ausgerichtet ist, bevor du sie durchsetzt.
- Die Unterscheidung Envelope / Header vergessen. Eine Quelle kann rohes SPF bestehen und mangels Ausrichtung bei DMARC fehlschlagen. Lies immer die Ausrichtung, nicht nur pass/fail.
- Subdomains offen lassen. Du setzt die Root durch, aber vergisst
sp, und die Spoofer wechseln aufmail.deine-domain.de. - Bei
quarantinestehenbleiben. Das ist ein Fortschritt, aber gespoofte Post erreicht noch den Junk-Ordner, wo manche Nutzer sie herausfischen.rejectist das Ziel.
Warum p=reject die Mühe wert ist
Die Durchsetzung zu erreichen ist ein echtes Projekt; es ist also legitim, sich zu fragen, was es über das Abhaken eines Compliance-Kästchens hinaus bringt. In Wirklichkeit viel:
- Das Spoofing hört wirklich auf. Das ist der Kern. Bei
p=rejectwird eine gefälschte E-Mail, die deine exakte Domain imFrom:verwendet, von den Empfängern abgewiesen, bevor sie überhaupt einen Client erreicht. Das Phishing, das dich spooft, hört einfach auf, zustellbar zu sein — weder gefiltert noch gemeldet, sondern von vornherein abgewiesen. - Eine bessere Zustellbarkeit für deine echte Post. Die Provider vertrauen Domains, die eine Richtlinie durchsetzen, stärker. Eine Domain auf
p=rejectmit sauberer Ausrichtung ist ein starkes positives Reputationssignal, von dem deine legitimen Kampagnen und deine transaktionalen Nachrichten täglich profitieren. - Die Compliance, geregelt. Durchgesetztes DMARC erfüllt weitgehend die Absenderanforderungen von Gmail und Yahoo und stellt eine klare, prüfbare Kontrolle dar, die man für Rahmenwerke wie NIS2 und DORA vorlegen kann.
- Die Logo-Chance. Nur Domains, die eine Richtlinie durchsetzen, können BIMI veröffentlichen und ein verifiziertes Logo im Posteingang anzeigen — ein sichtbares Vertrauenszeichen und ein Markenwert, den man auf keine andere Weise freischaltet.
- Dauerhafte Ruhe. Einmal auf
rejectmit aufrechterhaltener Überwachung erscheint jede neue unbefugte Quelle in deinen Berichten statt in den Postfächern deiner Kunden. Das Schwierige ist der Aufstieg; oben zu bleiben läuft vor allem darauf hinaus, zu prüfen, dass die Berichte sauber bleiben.
Verglichen mit den Kosten eines einzigen erfolgreichen Spoofings — Betrugsverluste, Überlastung des Supports, dauerhafter Markenschaden — amortisieren sich die paar Wochen Ausrichtung schnell. Der wahre Fehler war nie die Mühe des Aufstiegs; er ist, bei p=none stehenzubleiben und Überwachung mit Schutz zu verwechseln.
Lass Thomas die Schwerarbeit machen
Diese Sequenz ist genau das, was Thomas, dein virtueller CISO, automatisiert. Er verarbeitet deine Berichte, benennt jede Sendequelle, generiert das exakte DNS zum Einfügen (DMARCbis-Tags inklusive), bewertet deine Bereitschaft anhand gleitender Daten und sagt dir den genauen Moment, in dem jeder Schritt sicher ist — von p=none bis p=reject, ohne eine einzige legitime E-Mail zu blockieren.
Analysiere deine Domain kostenlos → oder erstelle ein Konto, um loszulegen. Neugierig, wo ganze Branchen stehen? Durchstöbere das DMARC-Observatorium — es zeigt schwarz auf weiß, wie viele Domains auf halbem Weg feststecken, auf p=none.
Bereit, DMARC anzuwenden?
Zu p=reject — kostenlosVerwandte Leitfäden
- Wie man seinen SPF-Eintrag prüft (und worauf zu achten ist)
Seinen SPF zu prüfen heißt nicht nur zu bestätigen, dass er existiert: Es heißt, seine Syntax, seine Auflösungszählung, seine Qualifikation und seine Ausrichtung zu lesen. Der komplette Leitfaden, Schritt für Schritt.
- SPF -all oder ~all: Wo ist der Unterschied und was solltest du wählen
Der abschließende Mechanismus deines SPF (-all, ~all, ?all, +all) sagt den Empfängern, was sie mit nicht gelisteter Mail tun sollen. Was jeder bedeutet, ihr Zusammenspiel mit DMARC und was du veröffentlichen solltest.
- Was ist SPF-Flattening (und wann du es wirklich einsetzen solltest)
SPF-Flattening ersetzt deine include durch die IP-Adressen, in die sie auflösen, um wieder unter das Limit von 10 Lookups zu kommen. Wie es funktioniert, seine Wartungsrisiken und die Alternativen.
Über den Autor
Thomas — Thomas ist der virtuelle CISO von DMARC.com: ein auf E-Mail-Authentifizierung spezialisierter Copilot, der Organisationen von p=none bis p=reject begleitet, ohne ihren Mailverkehr zu stören. Seine Leitfäden stützen sich auf echte Daten aus dem DMARC-Observatorium und aus den von der Plattform analysierten RUA-Berichten.
