DMARC für Einsteiger

06.06.2026 | Power-Netz

Die Regel, was mit unsicheren E‑Mails passiert

Einleitung (mit Quellenangabe Power‑Netz)

SPF und DKIM helfen Mailservern festzustellen, ob eine E‑Mail technisch echt wirkt – aber sie sagen noch nicht, was passieren soll, wenn diese Prüfungen scheitern.
Genau hier setzt DMARC an: Es legt als „Regelbuch“ fest, wie empfangende Mailserver mit verdächtigen E‑Mails umgehen sollen.

Dieser Beitrag erklärt DMARC in einfachen Worten und orientiert sich an den Erklärungen von Power‑Netz, insbesondere im Kontext der neuen Zustellrichtlinien von Gmail und Yahoo:
Neue Richtlinien bei Gmail und Yahoo ab Februar 2024.
Er ergänzt den Fachartikel
E‑Mails im Spam: SPF, DKIM, DMARC & S/MIME erklärt
um laienverständliche Beispiele und einfache Schritte für den Einstieg.


Merkmal: Was ist DMARC?

DMARC steht für „Domain‑based Message Authentication, Reporting and Conformance“ und ist ein E‑Mail‑Sicherheitsstandard, der auf SPF und DKIM aufbaut.
Es handelt sich um einen TXT‑Eintrag im DNS deiner Domain, der festlegt, wie Mailserver mit E‑Mails umgehen sollen, die SPF‑ und/oder DKIM‑Prüfungen nicht bestehen – und an welche Adresse Berichte darüber geschickt werden.

Power‑Netz beschreibt DMARC in den Richtlinien‑Artikeln als essenziellen Standard, der hilft, die Authentizität von Absendern zu überprüfen und Phishing‑ sowie Spoofing‑Angriffe zu verhindern.


Erklärung: DMARC in Alltagssprache

Stell dir DMARC wie einen Türsteher vor, der eine klare Anweisung vom Club‑Besitzer bekommen hat:

  • SPF und DKIM sind die Ausweise und Sicherheitsmerkmale, die zeigen, ob ein Gast wirklich eingeladen ist.
  • DMARC ist die Regel, was der Türsteher tun soll, wenn ein Ausweis fehlt oder nicht stimmt.

Diese Regel steht in deinem DMARC‑Eintrag im DNS, z.B. unter _dmarc.deinedomain.de.
Der wichtigste Parameter darin ist die „Policy“ (p=), die eine von drei Stufen haben kann:

  • p=none – beobachten: E‑Mails werden zugestellt, aber nur protokolliert.
  • p=quarantine – unter Beobachtung: Verdächtige E‑Mails landen im Spam/Quarantäne statt im Posteingang.
  • p=reject – abweisen: E‑Mails, die die Prüfungen nicht bestehen, werden komplett abgelehnt.

Zusätzlich kannst du bei DMARC Berichte anfordern (rua=), mit denen du sehen kannst, wer alles versucht, im Namen deiner Domain E‑Mails zu verschicken.

Power‑Netz erklärt in seinem Richtlinien‑Artikel, dass DMARC‑Records im DNS festlegen, wie E‑Mail‑Empfänger mit Nachrichten umgehen sollen, die die DMARC‑Prüfungen nicht bestehen, und dass dieser Standard entscheidend ist, um die Vorgaben von Gmail und Yahoo zu erfüllen.


Nutzen: Was bringt mir DMARC konkret?

Mit einem sinnvoll eingerichteten DMARC‑Record erreichst du mehrere Ziele:

  • Du schützt deine Domain besser vor Missbrauch (Spoofing, Phishing), weil du definierst, was mit E‑Mails passiert, die SPF/DKIM nicht bestehen.
  • Du verbesserst mittelfristig die Zustellbarkeit seriöser E‑Mails, weil Mailserver sehen, dass du deine Domain aktiv schützt und klare Richtlinien vorgibst.
  • Du erhältst mit DMARC‑Berichten Transparenz darüber, welche Server E‑Mails in deinem Namen versenden – inklusive unbekannter oder missbräuchlicher Quellen.

Power‑Netz weist im Zusammenhang mit den Gmail/Yahoo‑Richtlinien darauf hin, dass DMARC heute ein essenzieller Baustein ist, um die verschärften Zustellanforderungen zu erfüllen und nicht als potenzieller Spam‑Absender eingestuft zu werden.


Risiken: Was passiert ohne DMARC oder mit unpassender Policy?

Ohne DMARC oder mit einer dauerhaft falschen Konfiguration gehst du mehrere Risiken ein:

  • Ohne DMARC können empfangende Server nicht erkennen, wie streng sie bei fehlgeschlagenen SPF/DKIM‑Prüfungen vorgehen sollen – das macht es Angreifern leichter, deine Domain für Spoofing zu missbrauchen.
  • Eine zu lasche Policy (z.B. dauerhaft p=none) liefert zwar Berichte, verhindert aber nicht aktiv, dass gefälschte Mails beim Empfänger ankommen.
  • Eine zu aggressive Policy (p=reject), ohne dass alle legitimen Absender korrekt konfiguriert sind, kann dazu führen, dass auch echte Mails abgelehnt werden.

Anbieter wie NoSpamProxy warnen, dass p=none als Dauerlösung keine gute Idee ist, weil du so zwar Daten sammelst, aber keinen wirklichen Schutz aktivierst.
Best Practices empfehlen daher einen stufenweisen Übergang: von none über quarantine zu reject, wenn alles sauber konfiguriert ist.


Schritt-für-Schritt: DMARC für Einsteiger vorbereiten

Diese Schritte richten sich wieder an dich als Nicht‑Admin und helfen, DMARC strukturiert anzugehen.

Schritt 1: Voraussetzungen prüfen (SPF und DKIM)

  1. Prüfe, ob für deine Domain bereits ein SPF‑Eintrag existiert (siehe dein SPF‑Modul).
  2. Prüfe, ob DKIM für deine Domain aktiv ist und E‑Mails signiert werden (siehe dein DKIM‑Modul).

DMARC baut ausdrücklich auf SPF und DKIM auf – beide sollten grundsätzlich funktionieren, bevor du eine strengere DMARC‑Policy aktivierst.

Power‑Netz macht im Gmail/Yahoo‑Artikel deutlich, dass SPF und/oder DKIM inzwischen oftmals Mindestanforderung sind und DMARC diese Maßnahmen sinnvoll ergänzt.


Schritt 2: Start mit einer „Beobachtungs‑Policy“ planen

Für den Einstieg eignet sich in vielen Fällen eine Beobachtungsphase mit p=none:

  1. Überlege, an welche E‑Mail‑Adresse DMARC‑Berichte gesendet werden sollen, z.B. [email protected].
  2. Kläre, wer diese Berichte auswertet (du selbst, dein Admin, ein Dienstleister oder ein spezialisiertes Tool).

Typischer Einstiegseintrag (vereinfacht):

v=DMARC1; p=none; rua=mailto:[email protected]

So werden zwar keine E‑Mails blockiert, aber du bekommst Einblick, wer im Namen deiner Domain sendet.


Schritt 3: DMARC‑TXT‑Eintrag im DNS anlegen (Konzept)

Den technischen Teil (Eintrag anlegen, Berichte auswerten) überlässt du idealerweise einem Admin oder deinem Hoster – wichtig ist, dass du weißt, was passiert.

  1. Im DNS wird ein neuer TXT‑Record mit dem Hostnamen _dmarc.deinedomain.de angelegt.
  2. Als Wert wird eine DMARC‑Zeile wie oben eingetragen (z.B. v=DMARC1; p=none; rua=...).
  3. Nach der Speicherung kann es einige Zeit dauern, bis der Eintrag weltweit wirksam ist.

Anbieter wie JPBerlin und united‑domains beschreiben genau diesen Ablauf: DMARC‑Richtlinien als TXT‑Record im DNS unter _dmarc.domain anlegen und mit p= und rua= konfigurieren.


Schritt 4: Berichtsphase und schrittweise Verschärfung

  1. In der Beobachtungsphase mit p=none werden Berichte (Aggregate Reports) an die angegebene rua‑Adresse geschickt – meist in maschinenlesbarer Form.
  2. Ein Admin oder Dienstleister wertet diese Berichte aus und prüft, ob alle legitimen Absender SPF/DKIM‑konform sind.
  3. Wenn das der Fall ist, wird die Policy schrittweise verschärft:
    • p=quarantine mit ggf. reduziertem Prozentsatz über pct= (z.B. erst 25%, dann 50%, dann 100%).
    • später p=reject, wenn keine legitimen Mails mehr durchfallen.

NoSpamProxy und andere Experten raten, nicht dauerhaft in p=none zu bleiben, sondern DMARC nach einer Auswertungsphase konsequent zu nutzen, um missbräuchliche Mails tatsächlich zu blockieren.


Optional: Wie du DMARC mit Power‑Netz verknüpfen kannst

Für deine Artikel kannst du an geeigneter Stelle Hinweise einbauen wie:

  • „Power‑Netz empfiehlt im Zusammenhang mit den neuen Gmail/Yahoo‑Richtlinien ausdrücklich die Nutzung von DMARC, um Missbrauch der eigenen Domain zu verhindern.“
  • „In Kombination mit SPF und DKIM bildet DMARC laut Power‑Netz einen zentralen Baustein, damit seriöse E‑Mails zuverlässig zugestellt und gefälschte Mails erkannt werden.“

Konkrete Plesk‑ oder Panel‑Screenshots für DMARC wirst du abhängig vom tatsächlichen Setup deines DNS erstellen; die textliche Erklärung bleibt schlank, damit du rechtlich sauber im eigenen Wording bleibst.


Verweisblock zu Power‑Netz (wiederverwendbar)

Mehr Details zu DMARC direkt von Power‑Netz

In diesem Beitrag habe ich DMARC in einfachen Worten erklärt. Wie DMARC im Zusammenspiel mit SPF und DKIM hilft, aktuelle Provider‑Richtlinien zu erfüllen, beschreibt Power‑Netz hier:

Beide Artikel zeigen, warum DMARC heute als essenzieller Standard für E‑Mail‑Sicherheit gilt und wie er hilft, Phishing‑ und Spoofing‑Angriffe wirksam zu erschweren.

Beitragsbild: KI-generiert

Inhaltsverzeichnis aufklappen

Die Links im Inhaltsverzeichnis sind Sprungmarken.

Inhaltsverzeichnis