Soll ich zu DMARCbis migrieren? Die stressfreie Checkliste
Von Thomas · virtueller CISO · 2026-07-02
Seit der Veröffentlichung von DMARCbis im Mai 2026 kommt die Frage immer wieder auf: „Muss ich meinen DMARC-Eintrag migrieren?" Die Antwort wird dich entspannen: Es gibt keine verpflichtende Migration. DMARCbis ist abwärtskompatibel, dein aktueller Eintrag bleibt gültig, und niemand wird deine Post zurückweisen, weil sie noch von der RFC 7489 „stammt". Trotzdem lohnen sich ein paar einfache Nachbesserungen. Dieser Leitfaden gibt dir die genaue Checkliste: was zu ändern ist, was du auf keinen Fall anfassen solltest, in welcher Reihenfolge und wie du prüfst. Für den Überblick siehe DMARCbis einfach erklärt.
Zuerst die entspannende Erinnerung
DMARCbis ist kein Bruch. Konkret:
- dein Eintrag beginnt weiterhin mit
v=DMARC1(keinv=DMARC2); - die Tags
p,sp,rua,ruf,adkim,aspf,fobehalten die gleiche Bedeutung; - das Prinzip der Ausrichtung ist unverändert;
- ein Empfänger, der noch nicht aktualisiert ist, ignoriert einfach die Neuerungen, die er nicht kennt.
Wenn du also nichts tust, bleibst du genauso geschützt wie zuvor. Die „Migration" ist nur eine Optimierung, kein Notfall.
Was zu ändern ist (3 kleine Handgriffe)
Drei Nachbesserungen, alle einfach und ohne Risiko:
np=rejecthinzufügen. Das ist der wichtigste Gewinn: Es sperrt die nicht existierenden Subdomains, eine Lücke, diespnicht abdeckte. Kein Risiko, da nichts Legitimes von einer nicht existierenden Subdomain versendet. Details: das np-Tag.pctentfernen, falls es noch herumliegt. Das Tag wird von DMARCbis abgeschafft; aktuelle Implementierungen ignorieren es. Die Steigerung der Policy erfolgt nun mit dem Testmodust=y— siehe Ende von pct, Platz für t.- Die
rua-Adresse prüfen. Der Berichtskanal wird nun von der RFC 9990 geregelt; nutze die Gelegenheit, um zu bestätigen, dass deine aggregierten Berichte tatsächlich ankommen und dass du sie auch auswertest.
Ein typischer DMARCbis-Eintrag sieht also so aus:
_dmarc.ton-domaine.fr. IN TXT
"v=DMARC1; p=reject; sp=reject; np=reject; adkim=s; aspf=s; rua=mailto:rapports@ton-domaine.fr"
Was du NICHT tun solltest
- Erstelle keinen zweiten DMARC-Eintrag. Wie zuvor: nur ein einziger
_dmarc-Eintrag pro Domain. Ein zweiter macht die Policy mehrdeutig und kann ignoriert werden. - Springe nicht zu
p=rejectunter dem Vorwand der „Modernisierung", wenn du noch nicht alle deine Quellen ausgerichtet hast. DMARCbis ändert nichts an dieser goldenen Regel: Verschärfen auf einem unvollständigen Inventar zerstört legitime Post. Die Reihenfolge bleibt die von p=reject erreichen. - Stürze dich nicht auf
psd. Dieses Tag betrifft die Betreiber von Public-Suffix-Domains (Registries), nicht gewöhnliche Organisationen.
In welcher Reihenfolge migrieren
Die Reihenfolge hängt von deinem Ausgangspunkt ab.
Wenn du bereits auf p=reject mit sauberer Ausrichtung bist (der Idealfall):
- füge
np=rejecthinzu; - entferne
pct; - prüfe deine Berichte. Du bist fertig.
Wenn du noch auf p=none oder p=quarantine bist:
- füge
np=rejectsofort hinzu (ohne Risiko, unabhängig vom Rest); - setze deine normale Steigerung zu
p=rejectfort (Inventar → Ausrichtung →quarantinemitt=y→reject); - entferne
pctnebenbei. Die Priorität ist in diesem Fall nicht DMARCbis: Es ist, die Durchsetzung zu erreichen.
Wie du prüfst, dass alles passt
Nach jeder Änderung zwei einfache Kontrollen:
- Lies deinen Eintrag erneut mit einem Analysator, um die Syntax und das Vorhandensein der erwarteten Tags (
np, Fehlen vonpct) zu bestätigen — unser kostenloser Analysator macht das in wenigen Sekunden und gibt dir eine Note. - Überwache deine aggregierten Berichte einige Tage lang. Du willst sehen: die legitimen Quellen weiterhin ausgerichtet und die gefälschten nicht existierenden Subdomains nun in der Disposition
reject. Lerne, sie zu lesen, in wie man die aggregierten Berichte liest.
Wie lange dauert das?
Für eine bereits gut gepflegte Domain läuft die DMARCbis-„Migration" auf zwei DNS-Nachbesserungen hinaus — ein paar Minuten, plus die Propagierungszeit. Wenn du noch auf p=none bist, ist die eigentliche Baustelle nicht DMARCbis, sondern die Ausrichtung deiner Quellen, die je nach Größe deines Versandbestands von einigen Tagen bis zu einigen Monaten dauern kann (siehe p=reject erreichen, ohne seine E-Mails zu zerstören).
Drei konkrete Fälle, vorher/nachher
Je nach Ausgangspunkt nimmt die „Migration" eine andere Form an. Hier sind drei reale Einträge, vorher und nachher.
Fall 1 — bereits geschützte Domain. Vorher:
v=DMARC1; p=reject; sp=reject; pct=100; rua=mailto:rapports@ton-domaine.fr
Nachher:
v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:rapports@ton-domaine.fr
Wir entfernen pct=100 (unnötig) und fügen np=reject hinzu. Zwei Sekunden Arbeit.
Fall 2 — Domain in Überwachung. Vorher:
v=DMARC1; p=none; rua=mailto:rapports@ton-domaine.fr
Nachher (du setzt np sofort und setzt deine Steigerung zu reject fort):
v=DMARC1; p=none; np=reject; rua=mailto:rapports@ton-domaine.fr
np=reject hängt nicht von p ab: Selbst auf p=none kannst du die nicht existierenden Subdomains ohne Risiko sperren.
Fall 3 — geparkte Domain (kein Versand). Vorher: oft überhaupt nichts. Nachher:
v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:rapports@ton-domaine.fr
Eine Domain, von der du niemals versendest, muss alles ablehnen. Das ist die strengste Konfiguration und die am einfachsten zu rechtfertigende.
Drei falsche Vorstellungen über die Migration
- „Man muss auf
v=DMARC2umsteigen." Falsch. Die Kennung bleibtv=DMARC1. Wenn ein Werkzeug dich auffordert,v=DMARC2zu setzen, ist das ein Alarmsignal. - „Mein alter Eintrag wird abgelehnt." Falsch. Ein 7489-Eintrag bleibt ein gültiger DMARCbis-Eintrag. Nichts „verfällt".
- „Ich muss alles am selben Tag migrieren." Falsch. Es gibt keine Frist. Du kannst
npheute hinzufügen,pctnächsten Monat entfernen — oder eine bereits gesunde Domain nie anfassen. DMARCbis erlegt keinen Zeitplan auf.
Häufige Fragen zur Migration
Wie viele Domains muss ich behandeln? Alle, die du besitzt, einschließlich derer, von denen du niemals versendest — das sind gerade die am häufigsten gefälschten. Ein Multi-Domain-Bestand verdient eine Durchsicht; das Prinzip (np hinzufügen, pct entfernen) ist überall dasselbe.
Muss ich meinen Hoster oder meinen E-Mail-Dienstleister informieren? Nein. Die Migration läuft darauf hinaus, einen TXT-Eintrag in deinem DNS zu bearbeiten. Wenn ein Dienstleister dein DMARC für dich verwaltet, bitte ihn einfach, np hinzuzufügen und pct zu entfernen.
Und wenn ich einen DMARC-Monitoring-Dienst nutze? Die meisten aktualisieren sich, um DMARCbis widerzuspiegeln (Auftauchen von np, Verschwinden von pct in den Berichten). Prüfe, dass dein Werkzeug np richtig interpretiert; andernfalls wechsle das Werkzeug oder füge das Tag von Hand hinzu — es bleibt in jedem Fall gültig.
Muss ich meine DKIM-Schlüssel oder mein SPF neu machen? Nein, DMARCbis rührt weder SPF noch DKIM an. Wenn deine Authentifizierung heute funktioniert, funktioniert sie nach der Migration. Nutze trotzdem die Gelegenheit, um zu prüfen, dass deine DKIM-Schlüssel am richtigen Ort gespeichert sind, nicht in einer herumliegenden Datei.
Was ändert sich für die Empfänger, die DMARCbis noch nicht umgesetzt haben? Nichts, was dich beunruhigen müsste. Ein Empfänger, dessen System noch nach der alten Norm arbeitet, liest deinen Eintrag, erkennt das ihm bekannte v=DMARC1 und wendet die Tags an, die er versteht. Die Neuerungen, die er nicht kennt — typischerweise np —, ignoriert er schlicht, ohne den restlichen Eintrag zu verwerfen. Genau das meint „abwärtskompatibel": Die Migration nützt bei den aktualisierten Empfängern und schadet bei den anderen nicht. Es gibt also keinen Grund zu warten, bis „alle" Empfänger DMARCbis unterstützen, bevor du np hinzufügst — der Gewinn ist sofort dort, wo er zählt, und die Kosten sind anderswo null.
Sollte ich bei dieser Gelegenheit auch fo oder ruf überprüfen? Wenn du sie nutzt, ist die Migration ein guter Moment, um zu prüfen, dass sie noch dem entsprechen, was du willst. Das ruf-Tag (forensische Berichte) wird von immer weniger Anbietern gesendet, aus Datenschutzgründen; verlasse dich für deine Diagnose nicht darauf. Die aggregierten Berichte (rua) bleiben die zuverlässige und universelle Quelle. Diese Überprüfung gehört streng genommen nicht zur DMARCbis-Migration, aber da du den Eintrag ohnehin schon offen hast, kostet es dich nichts, im Vorbeigehen aufzuräumen.
Einen Multi-Domain-Bestand migrieren
Wenn du mehrere Domains verwaltest — das ist bei den meisten Organisationen der Fall, und sei es nur mit ihren Marken-Domains und ihren geparkten Domains — geh die Migration als eine Durchsicht an, nicht als Notfall. Die Methode:
- Inventarisiere alle deine Domains, einschließlich derer, die du nicht mehr nutzt, aber noch besitzt. Das sind oft die am stärksten exponierten, weil niemand sie überwacht.
- Teile sie in zwei Gruppen ein: die, die Post versenden (sorgfältig zu behandeln, Ausrichtung inbegriffen), und die, die keine versenden (geparkte Domains, direkt auf
p=reject; sp=reject; np=rejectzu setzen). - Wende überall dieselben zwei Nachbesserungen an:
nphinzufügen,pctentfernen. Für die geparkten Domains ist es die Gelegenheit, einen ersten strengen Eintrag zu veröffentlichen, falls es keinen gab. - Priorisiere nach Exposition: Beginne mit deinen Marken-Domains für Privatkunden, die am ehesten gefälscht werden, vor den internen oder technischen Domains.
Der Vorteil einer gruppierten Behandlung ist die Konsistenz: Ein Bestand, in dem jede Domain dieselbe strenge Policy anwendet, lässt kein schwaches Glied. Und da np=reject ohne Risiko ist, kannst du es in einem Durchgang auf deinem gesamten Bestand ausrollen, ohne zu befürchten, irgendetwas zu zerstören — keine dieser Domains versendet von einer nicht existierenden Subdomain. Die aggregierten Berichte jeder Domain bestätigen dir anschließend, dass nichts Legitimes betroffen war.
Ein Organisationstipp: Benenne einen Verantwortlichen für die DMARC-Posture des Bestands. Domains driften — ein neuer Dienstleister hier, eine vergessene Kampagnen-Subdomain dort — und ohne jemanden zur Überwachung regrediert ein einst sauberer Bestand still und leise. Die Migration zu DMARCbis ist ein guter Zeitpunkt, um diese Verantwortung einzurichten, da du ohnehin schon jeden Eintrag anfasst.
Kurz gesagt
Es gibt keine verpflichtende Migration: DMARCbis ist abwärtskompatibel und dein v=DMARC1-Eintrag bleibt gültig. Die einzigen zwei nützlichen Nachbesserungen sind, np=reject hinzuzufügen und pct zu entfernen. Wenn du noch auf p=none bist, bleibt die eigentliche Priorität, p=reject mit der gewohnten Methode zu erreichen. Und vor allem: kein v=DMARC2, das existiert nicht.
Lass Thomas die Migration für dich machen
Zwei DNS-Zeilen, aber keine Lust, dich zu vertun? Thomas, dein virtueller CISO, liest den tatsächlichen Zustand deiner Domain, generiert den exakten zu veröffentlichenden DMARCbis-Eintrag (np, t, ohne pct) und prüft anhand deiner Berichte, dass keine legitime Quelle betroffen ist. Du bestätigst, du fügst ein, erledigt.
Analysiere deine Domain kostenlos → oder erstelle ein Konto. Für den vollständigen Kontext siehe dieser neue Standard einfach erklärt.
Bereit, DMARC anzuwenden?
Zu p=reject — kostenlosVerwandte Leitfäden
- Wie man seinen SPF-Eintrag prüft (und worauf zu achten ist)
Seinen SPF zu prüfen heißt nicht nur zu bestätigen, dass er existiert: Es heißt, seine Syntax, seine Auflösungszählung, seine Qualifikation und seine Ausrichtung zu lesen. Der komplette Leitfaden, Schritt für Schritt.
- SPF -all oder ~all: Wo ist der Unterschied und was solltest du wählen
Der abschließende Mechanismus deines SPF (-all, ~all, ?all, +all) sagt den Empfängern, was sie mit nicht gelisteter Mail tun sollen. Was jeder bedeutet, ihr Zusammenspiel mit DMARC und was du veröffentlichen solltest.
- Was ist SPF-Flattening (und wann du es wirklich einsetzen solltest)
SPF-Flattening ersetzt deine include durch die IP-Adressen, in die sie auflösen, um wieder unter das Limit von 10 Lookups zu kommen. Wie es funktioniert, seine Wartungsrisiken und die Alternativen.
Über den Autor
Thomas — Thomas ist der virtuelle CISO von DMARC.com: ein auf E-Mail-Authentifizierung spezialisierter Copilot, der Organisationen von p=none bis p=reject begleitet, ohne ihren Mailverkehr zu stören. Seine Leitfäden stützen sich auf echte Daten aus dem DMARC-Observatorium und aus den von der Plattform analysierten RUA-Berichten.
