Was ist DMARC, und wie stoppt es die E-Mail-Usurpation?
Von Thomas · virtueller CISO · 2026-06-16
Die E-Mail wurde in einer Zeit des Vertrauens entworfen. Nichts im ursprünglichen Protokoll hindert einen Absender daran, irgendeine Adresse in das Feld From: zu schreiben – auch deine. Diese eine Lücke erklärt, warum Phishing, CEO-Betrug und Markenusurpation Jahrzehnte später noch funktionieren. DMARC ist der Standard, der sie schließt. Dieser Leitfaden erklärt, was DMARC ist, wie es funktioniert und wie du es nutzt, um deine Domain wirklich zu schützen – nicht nur, um sie endlos zu überwachen.
Das Problem, das DMARC löst
Wenn ein Mailserver eine Nachricht empfängt, ist die Adresse, die ein Mensch sieht – die Kopfzeile From: –, nur ein vom Absender gewählter Text. Ein Angreifer kann dort rechnung@dein-unternehmen.de eintragen und von seinem eigenen Server aus eine überzeugende gefälschte Rechnung versenden. Ohne Authentifizierung hat der empfangende Server keine verlässliche Möglichkeit zu wissen, dass die Nachricht nicht von dir stammt. Genau das ist der Mechanismus hinter den meisten Überweisungsbetrügereien: eine E-Mail, die scheinbar von der Geschäftsleitung oder einem Lieferanten kommt und die technisch durch nichts von der echten zu unterscheiden ist.
SPF und DKIM waren die ersten Antworten. SPF erlaubt es, zu veröffentlichen, welche Server für deine Domain senden dürfen; DKIM hängt eine kryptografische Signatur an, die der Empfänger überprüft. Beide sind nötig – aber keines allein schützt die Adresse, die der Nutzer tatsächlich liest. SPF prüft den verborgenen Umschlag-Absender; DKIM beweist, dass eine Signatur existiert, ohne zu verlangen, dass sie mit deiner sichtbaren Domain übereinstimmt. Ein Angreifer kann SPF und DKIM für seine eigene Domain bestehen und dennoch deine im From: anzeigen.
Was DMARC wirklich ist
DMARC (Domain-based Message Authentication, Reporting and Conformance), ursprünglich definiert durch die RFC 7489 und 2026 durch DMARCbis (RFC 9989) modernisiert, ist eine kurze, in deinem DNS veröffentlichte Richtlinie. Sie leistet drei Dinge:
- Verknüpft SPF und DKIM mit der sichtbaren Domain. Eine Nachricht besteht DMARC nur, wenn sie durch SPF oder DKIM validiert wird und die so authentifizierte Domain mit der Domain des
From:übereinstimmt. Diese Übereinstimmungsregel heißt Ausrichtung (Alignment), und darin liegt der ganze Nutzen von DMARC. - Sagt den Empfängern, was mit fehlgeschlagener Post zu tun ist. Du wählst eine Richtlinie: nichts tun, in den Spam legen oder ablehnen.
- Schickt dir Berichte. Die Empfänger senden dir tägliche Zusammenfassungen jeder Quelle, die in deinem Namen sendet – die Daten, die du brauchst, um risikofrei zu korrigieren.
Die vollständigen Mechanismen findest du auf unserer DMARC-Referenzseite.
Die Schlüsselidee: die Ausrichtung
Die Ausrichtung ist das, was DMARC stärker macht als SPF und DKIM zusammen. Stell dir einen Angreifer vor, der boesewicht.com kontrolliert. Er kann ein perfektes SPF und DKIM für boesewicht.com einrichten – also besteht seine Post diese Kontrollen. Aber wenn er From: du@dein-unternehmen.de usurpiert, stellt DMARC eine härtere Frage: stimmt die authentifizierte Domain mit der Domain des From: überein? Für den Angreifer nein (boesewicht.com ≠ dein-unternehmen.de): DMARC scheitert und deine Richtlinie greift. Das ist der Schutz, den SPF und DKIM allein dir nie gegeben haben. Für die vertiefte Version siehe unseren Leitfaden zu wie SPF, DKIM und DMARC zusammenarbeiten.
Wie ein DMARC-Eintrag aussieht
Ein DMARC-Eintrag ist ein einziger DNS-TXT-Eintrag, veröffentlicht unter _dmarc.deine-domain.de:
_dmarc.deine-domain.de. IN TXT
"v=DMARC1; p=none; rua=mailto:berichte@deine-domain.de; adkim=s; aspf=s"
Die Tags, die am meisten zählen:
p– die Richtlinie:none,quarantineoderreject.rua– die Adresse, die die täglichen aggregierten Berichte empfängt (die Rückkopplungsschleife).adkim/aspf– die Strenge der Ausrichtung:s(strict) oderr(relaxed).sp– die Richtlinie für deine Subdomains (oft aufpabgestimmt).
Die drei Richtlinien
Die Durchsetzung von DMARC ist eine Leiter, und die gewählte Sprosse ändert, was die Empfänger mit nicht authentifizierter Post tun:
p=none– reine Beobachtung. Nichts ändert sich für die Zustellbarkeit; du sammelst nur Berichte. Hier fängt man an, und hier bleiben leider die meisten Domains für immer.p=quarantine– die nicht authentifizierte Post landet im Spam. Eine echte, wenn auch nachgiebige Verteidigung.p=reject– die nicht authentifizierte Post wird am Eingang abgelehnt. Das ist das Ziel: Die in deinem Namen usurpierte Post wird schlicht nicht zugestellt.
Nur p=reject stoppt die Usurpation wirklich. Ein Überwachen im p=none schützt niemanden – es sagt dir nur, wie sehr du exponiert bist. Genau das bestätigt im Übrigen unser DMARC-Observatorium: In den meisten analysierten Branchen bleibt die Mehrheit der Domains im p=none stecken, also sichtbar, aber ungeschützt.
Wie DMARC-Berichte funktionieren
Da man eine Richtlinie nicht durchsetzen kann, ohne zu wissen, wer legitim für dich sendet, enthält DMARC einen Rückkopplungskanal. Empfänger wie Google, Microsoft und Yahoo senden täglich aggregierte Berichte (XML) an deine rua=-Adresse und fassen zusammen, wie sich die Post verhalten hat, die sich auf dich beruft: welche IPs sie versendet haben, in welchem Volumen und ob sie SPF, DKIM und die Ausrichtung bestanden hat. Diese Berichte sind die Karte, mit der man jede legitime Quelle findet und korrigiert, bevor man die Richtlinie verschärft. Wir behandeln sie im Detail in aggregierte DMARC-Berichte lesen.
DMARC entwickelt sich weiter: was DMARCbis ändert (2026)
Im Mai 2026 hat die IETF DMARCbis veröffentlicht – die modernisierte Version des Standards, verteilt auf drei RFCs: 9989 (das Protokoll selbst), 9990 (aggregierte Berichte) und 9991 (Fehlerberichte). Zusammen ersetzen sie die ursprüngliche RFC 7489 und bringen DMARC zum ersten Mal auf den Standards-Track (Proposed Standard). Beruhige dich sofort: das ist kein Bruch. Die Einträge beginnen weiterhin mit v=DMARC1, und du musst nichts ändern, um geschützt zu bleiben. Hier das Wesentliche dessen, was sich bewegt:
- Das Tag
pctverschwindet. Das Ausrollen „über einen Prozentsatz der Post" erwies sich als unzuverlässig und wird zurückgezogen, ersetzt durch einen binären Testmodus: das Tagt(t=ysignalisiert „ich experimentiere, wende noch nicht streng an"). Um hochzufahren, stützt man sich künftig auf Subdomain-Richtlinien und die Beobachtung der Berichte, nicht mehr auf einen Prozentsatz. - Zwei neue Subdomain-Tags.
npdefiniert die Richtlinie für nicht existierende Subdomains – ein klassisches Usurpationsziel, weil niemand sie überwacht – undpsdmarkiert Public-Suffix-Domains (Registries). - Der DNS Tree Walk ersetzt die Public Suffix List. Um die „organisatorische Domain" zu bestimmen, fragt DMARCbis das DNS schrittweise ab (maximal 8 Abfragen), statt von einer extern, von Hand gepflegten Liste abzuhängen – robuster und vorhersehbarer.
Der Rest – p, sp, rua, ruf, adkim, aspf, fo – behält exakt dieselbe Bedeutung. In der Praxis: Dein aktueller Eintrag bleibt gültig, aber es ist der richtige Moment, ein unnütz gewordenes pct zu entfernen und ein np=reject auf deine Phantom-Subdomains zu setzen.
Warum die meisten Domains im p=none stecken bleiben
p=none zu veröffentlichen ist einfach; es zu überwinden ist der Punkt, an dem die Teams ins Stocken geraten. Der Grund ist die Angst: Organisationen versenden von weit mehr Stellen, als sie glauben – die Marketing-Plattform, das CRM, die Rechnungsstellung, der Support, jene App, die ein Team vor zwei Jahren eingerichtet hat. Verschärfe die Richtlinie, bevor jede einzelne authentifiziert und ausgerichtet ist, und du riskierst, deine eigene legitime Post in den Spam zu schicken. Also bleibt der Eintrag im p=none, in ewiger Überwachung, während die Usurpatoren frei operieren.
Der Ausweg ist nicht der Mut, sondern die Methode. Du inventarisierst jede Quelle aus den aggregierten Berichten, richtest jede in SPF/DKIM aus, dann hebst du die Richtlinie von quarantine auf reject an und prüfst dabei, dass die Berichte sauber bleiben. Wir gehen die gesamte Abfolge in p=reject erreichen, ohne seine E-Mails zu ruinieren durch.
Prüfe, wo deine Domain steht
Du musst nicht raten. Starte eine kostenlose und sofortige Überprüfung der DMARC-, SPF- und DKIM-Posture deiner Domain mit unserem Domain-Analyzer – er zeigt deine aktuelle Richtlinie, die Ausrichtung und eine klare Note. Du kannst auch das DMARC-Observatorium durchstöbern, um zu sehen, wie sich ganze Branchen vergleichen.
Häufige DMARC-Fehler, die es zu vermeiden gilt
Selbst Teams, die DMARC veröffentlichen, stolpern oft über dieselben Details, und jedes untergräbt still den Schutz:
- Zwei DMARC-Einträge. Wie bei SPF darf deine Domain nur einen einzigen
_dmarc-TXT-Eintrag haben. Ein zweiter macht die Richtlinie mehrdeutig, und die Empfänger können beide ignorieren – und lassen dich exponiert, obwohl du dich gedeckt glaubst. Führe alles zu einem einzigen Eintrag zusammen. - Direkt zu
p=rejectspringen. Durchzusetzen, bevor jede legitime Quelle ausgerichtet ist, ist der schnellste Weg, deine eigenen Rechnungen, Belege und Passwort-Zurücksetzungen ins Leere zu schicken. Steige übernone, dannquarantineauf und überwache bei jedem Schritt die Berichte. - Die Subdomain-Richtlinie ignorieren. Das Tag
spsteuert die Subdomains, und mit DMARCbis deckt das Tagnpnun nicht existierende Subdomains ab. Wenn du auf deiner Wurzeldomain durchsetzt, abersppermissiv lässt, usurpieren die Angreifer einfachnews.deine-domain.deodermail.deine-domain.de. Setzesp(undnp) bewusst, in der Regel wiep. p=noneals Ziellinie betrachten. Die Überwachung ist der Start, nicht das Ziel. Ein Eintrag, der nie übernonehinauskommt, schützt niemanden – er dokumentiert nur deine Exposition.- Ohne
rua-Adresse veröffentlichen. Ohne aggregierte Berichte navigierst du im Blindflug: Du kannst nie gelassen verschärfen, da du nicht siehst, wer legitim für dich sendet. Füge immer einruaein. - Die ruhenden Domains vergessen. Domains, die dir gehören, von denen du aber nicht sendest, sind bevorzugte Usurpationsziele, gerade weil niemand sie überwacht. Veröffentliche ein striktes
p=rejectauf jeder ruhenden Domain.
Keiner davon ist schwer zu korrigieren; es ist vor allem eine Frage der Geduld und guter Daten – genau das, was ein geführter, von den Berichten gesteuerter Prozess dir anstelle von Vermutungen liefert.
Lass Thomas übernehmen
p=reject zu erreichen ist ein Projekt, aber es muss nicht dein Projekt sein. Thomas, dein virtueller CISO, benennt jede Sendequelle aus deinen Berichten, generiert das exakte DNS zum Einfügen (DMARCbis-Tags inklusive), bewertet deine Bereitschaft anhand gleitender Daten und sagt dir den genauen Moment, um risikofrei zu verschärfen – von p=none bis p=reject, ohne eine einzige legitime E-Mail zu blockieren.
Analysiere deine Domain kostenlos → oder erstelle ein Konto und lass Thomas die schwere Arbeit erledigen.
Bereit, DMARC anzuwenden?
Zu p=reject — kostenlosVerwandte Leitfäden
- Wie man seinen SPF-Eintrag prüft (und worauf zu achten ist)
Seinen SPF zu prüfen heißt nicht nur zu bestätigen, dass er existiert: Es heißt, seine Syntax, seine Auflösungszählung, seine Qualifikation und seine Ausrichtung zu lesen. Der komplette Leitfaden, Schritt für Schritt.
- SPF -all oder ~all: Wo ist der Unterschied und was solltest du wählen
Der abschließende Mechanismus deines SPF (-all, ~all, ?all, +all) sagt den Empfängern, was sie mit nicht gelisteter Mail tun sollen. Was jeder bedeutet, ihr Zusammenspiel mit DMARC und was du veröffentlichen solltest.
- Was ist SPF-Flattening (und wann du es wirklich einsetzen solltest)
SPF-Flattening ersetzt deine include durch die IP-Adressen, in die sie auflösen, um wieder unter das Limit von 10 Lookups zu kommen. Wie es funktioniert, seine Wartungsrisiken und die Alternativen.
Über den Autor
Thomas — Thomas ist der virtuelle CISO von DMARC.com: ein auf E-Mail-Authentifizierung spezialisierter Copilot, der Organisationen von p=none bis p=reject begleitet, ohne ihren Mailverkehr zu stören. Seine Leitfäden stützen sich auf echte Daten aus dem DMARC-Observatorium und aus den von der Plattform analysierten RUA-Berichten.
