Was ist ein DMARC-Eintrag und wie kann ich diesen eintragen?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein modernes Sicherheitsprotokoll zur Überprüfung von E-Mails. Es hilft E-Mail-Servern dabei, festzustellen, ob eine eingehende Nachricht tatsächlich vom angegebenen Absender stammt – oder ob jemand versucht, dessen Identität zu fälschen. Dabei baut DMARC auf zwei bereits etablierten Authentifizierungsverfahren auf: SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail).

Das SPF-Verfahren definiert, welche Server berechtigt sind, E-Mails im Namen einer bestimmten Domain zu versenden. Domaininhaber können in ihrer DNS-Zone sogenannte SPF-Einträge veröffentlichen, in denen sie autorisierte IP-Adressen angeben. E-Mail-Server, die eine Nachricht empfangen, gleichen die IP-Adresse des sendenden Servers mit diesen Einträgen ab. Stimmt die Adresse nicht überein, wird die E-Mail als verdächtig eingestuft. 

DKIM sorgt dafür, dass E-Mails eine digitale Signatur erhalten, bevor sie versendet werden. Diese Signatur wird mithilfe eines privaten Schlüssels erstellt und kann vom Empfänger über den dazugehörigen öffentlichen Schlüssel – ebenfalls in der DNS-Zone hinterlegt – verifiziert werden. Die Signatur belegt, dass die Nachricht vom angegebenen Absender stammt und auf dem Transportweg nicht manipuliert wurde. 

DMARC koordiniert SPF und DKIM zu einem einheitlichen Prüfmechanismus. Die DMARC-Richtlinie legt fest, wie ein empfangender E-Mail-Server reagieren soll, wenn eine Nachricht entweder SPF oder DKIM – oder beide – nicht besteht. Je nach Einstellung kann der Server die E-Mail zustellen, markieren oder vollständig blockieren. Das hilft Unternehmen dabei, ihre Domain vor Missbrauch zu schützen und sich gegen Spoofing und Phishing zu wappnen.

Stellen Sie sich vor, ein Angreifer versendet eine E-Mail mit dem gefälschten Absender vertrauenswürdig@beispiel.de. Tatsächlich hat er jedoch keinen Zugang zum Mailserver von beispiel.de. Ohne Schutzmaßnahmen könnten viele Empfänger getäuscht werden. Doch wenn die Domain korrekt mit SPF, DKIM und DMARC abgesichert ist, erkennt der empfangende Server den Betrugsversuch. Die E-Mail wird je nach Richtlinie als verdächtig markiert oder direkt abgelehnt.

Welche Arten von Angriffen kann DMARC verhindern?

DMARC wurde entwickelt, um eine Vielzahl von E-Mail-basierten Täuschungsversuchen zu erkennen und zu blockieren. Im Zusammenspiel mit SPF und DKIM hilft DMARC dabei, die folgenden Angriffsformen effektiv abzuwehren:

• Domain-Spoofing: Cyberkriminelle imitieren die Domain eines Unternehmens, um ihre E-Mails vertrauenswürdig wirken zu lassen. Der Empfänger glaubt, die Nachricht stamme von einer legitimen Quelle – obwohl sie in Wahrheit gefälscht ist.
• E-Mail-Spoofing: Dies ist der Überbegriff für Angriffe, bei denen die Absenderadresse einer E-Mail manipuliert wird. Ziel ist es, Vertrauen vorzutäuschen und Empfänger zu einer Aktion zu bewegen – etwa das Öffnen eines Anhangs oder das Klicken auf einen Link.
• Business Email Compromise (BEC): Bei dieser raffinierten Betrugsmasche geben sich Angreifer als Führungskräfte aus und fordern Mitarbeiter zur Überweisung von Geldern oder zur Herausgabe sensibler Informationen auf – oft unter dem Vorwand von Dringlichkeit oder Vertraulichkeit.
• Impersonation-Angriffe (Impostor Emails): Betrüger versenden Nachrichten, in denen sie sich als eine vertrauenswürdige Person ausgeben, etwa als Kollege, Geschäftsführer oder Geschäftspartner. Ziel ist es, durch gezielte Täuschung Kontrolle oder Informationen zu erlangen.
• Phishing-Mails: Diese Nachrichten wirken auf den ersten Blick seriös und stammen scheinbar von bekannten Marken oder Organisationen. Sie enthalten oft schädliche Links oder fordern zur Eingabe von Zugangsdaten auf, um Malware zu installieren oder Identitätsdiebstahl zu begehen.
• Consumer-Phishing: Hierbei handelt es sich um Angriffe, bei denen Betrüger vorgeben, im Namen eines Unternehmens an dessen Kunden zu schreiben – mit dem Ziel, deren Login-Daten, Zahlungsinformationen oder persönliche Daten zu stehlen.
• Partner-Spoofing: Diese Form des Betrugs zielt auf die geschäftliche Kommunikation zwischen Unternehmen ab. Hacker geben sich als Partnerfirma aus und manipulieren z. B. Zahlungsinformationen, um Geld auf eigene Konten umzuleiten.
• Whaling (CEO-Fraud): Bei diesem gezielten Angriff steht die Geschäftsleitung im Fokus: Hochrangige Mitarbeiter erhalten gefälschte E-Mails, die sie zu großen finanziellen Transaktionen oder zur Preisgabe vertraulicher Informationen verleiten sollen.

Was ist eine DMARC-Richtlinie – und wie funktioniert sie?

Die DMARC-Richtlinie (Policy) ist das Herzstück dieser Verifizierungs-Technologie. Sie gibt genau vor, wie empfangende Mailserver mit Nachrichten umgehen sollen, die bei den Authentifizierungsprüfungen durch SPF und DKIM scheitern. Während ohne DMARC der Umgang mit solchen E-Mails vom jeweiligen E-Mail-Anbieter abhängt, ermöglicht eine festgelegte Richtlinie eine konsistente, automatisierte Verarbeitung – und damit eine gezieltere Abwehr von Spam und Fälschungen.

Mit einer DMARC-Richtlinie können Domaininhaber beispielsweise definieren, ob eine E-Mail trotz fehlgeschlagener Prüfungen zugestellt, in den Spam-Ordner verschoben oder vollständig abgelehnt werden soll.

Wie sieht eine DMARC-Richtlinie in der Praxis aus?

DMARC-Richtlinien werden im DNS einer Domain als TXT-Eintrag hinterlegt – nicht als Klartext, sondern in maschinenlesbarer Form. Ein einfaches Beispiel für die Domain beispiel.de könnte folgendermaßen aussehen:

v=DMARC1; p=quarantine; adkim=s; aspf=s;

Diese Zeichenfolge hat eine konkrete Bedeutung:

• v=DMARC1 - Gibt an, dass es sich um einen DMARC-Eintrag handelt und welche Protokollversion verwendet wird.
• p=quarantine – Weist empfangende Server an, E-Mails mit fehlgeschlagener SPF- oder DKIM-Prüfung in Quarantäne zu verschieben (meist in den Spam-Ordner). Alternativen sind:
  • p=none – Keine spezielle Maßnahme. Die E-Mail wird regulär zugestellt, aber Verstöße werden protokolliert.
  • p=reject – Die strengste Variante: Nachrichten, die nicht authentifiziert werden können, werden vollständig blockiert.
• adkim=s – Strict-Modus für DKIM: Die Domain des Absenders muss exakt mit der in der Signatur übereinstimmen. Alternativ gibt es adkim=r für eine lockerere Prüfung (Relaxed).
• aspf=s – Entspricht adkim=s, aber für SPF. Auch hier gibt es die Relaxed-Variante mit aspf=r.
  
  

Beispiel für eine besonders restriktive DMARC-Policy

Will ein Unternehmen maximalen Schutz, kann es seine Richtlinie entsprechend verschärfen:

v=DMARC1; p=reject; adkim=s; aspf=s;

Diese Einstellung weist empfangende Server an, jede Nachricht ohne bestandene SPF- und DKIM-Prüfung abzulehnen – sie wird also gar nicht erst zugestellt. Damit macht die Domain klar: Nur verifizierte E-Mails dürfen durchkommen.

Was ist ein DMARC-Bericht – und warum ist er wichtig?

Ein zentraler Bestandteil der DMARC-Technologie ist die Möglichkeit, sogenannte DMARC-Berichte zu empfangen. Diese Berichte liefern wertvolle Einblicke in den E-Mail-Verkehr einer Domain: Sie zeigen auf, welche Nachrichten SPF- und DKIM-Prüfungen bestanden haben – und welche nicht.

DMARC-Berichte helfen Administratoren dabei, verdächtige Aktivitäten zu erkennen, falsch konfigurierte Absender zu identifizieren und auf dieser Basis fundierte Entscheidungen zur Anpassung der DMARC-Richtlinie zu treffen. Ohne diese Rückmeldungen wäre eine kontinuierliche Optimierung kaum möglich.

Es gibt grundsätzlich zwei Berichtstypen:

• Aggregate Reports (rua): Diese zusammenfassenden Berichte werden in der Regel täglich gesendet und geben einen Überblick über den gesamten E-Mail-Verkehr, einschließlich Authentifizierungsergebnissen, IP-Adressen der sendenden Server und verwendeten Absenderdomains.
• Forensic Reports (ruf): Diese detaillierteren Berichte enthalten Kopien der fehlgeschlagenen E-Mails (bzw. Header-Informationen) und werden sofort gesendet, sobald eine Authentifizierungsprüfung fehlschlägt. Sie sind datenschutzrechtlich sensibler und werden seltener genutzt.
  
  

Wie werden DMARC-Berichte empfangen?

Damit DMARC-Berichte gesendet werden können, muss in der DMARC-Richtlinie der Domain eine entsprechende Anweisung enthalten sein. Diese gibt an, wohin die Berichte geschickt werden sollen – meist an eine E-Mail-Adresse eines spezialisierten Drittanbieterdienstes, der die Daten visuell aufbereitet und verständlich analysiert.

Beispiel für eine DMARC-Richtlinie mit Berichtsversand:

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:rua@drittanbieter-domain.de;

• rua=mailto: – Diese Angabe bestimmt die Zieladresse für Aggregate Reports. In diesem Fall werden sie an rua@drittanbieter-domain.de geschickt.
• Drittanbieter-Dienste helfen dabei, die komplexen XML-Berichte in übersichtliche Dashboards oder PDF-Auswertungen zu verwandeln, um Administratoren nicht mit Rohdaten zu überfluten.

Warum sind DMARC-Berichte unverzichtbar?

DMARC-Berichte erfüllen gleich mehrere zentrale Aufgaben:

• Transparenz schaffen: Sie geben einen Überblick, wie die eigene Domain im E-Mail-Verkehr verwendet wird – auch von nicht autorisierten Quellen.
• Fehler aufdecken: Falls legitime E-Mails SPF oder DKIM nicht bestehen, lässt sich dies schnell erkennen und korrigieren.
• Missbrauch erkennen: Administratoren sehen, ob Dritte versuchen, die eigene Domain für betrügerische E-Mails zu missbrauchen.
• Richtlinien optimieren: Auf Basis der Berichte kann die DMARC-Policy schrittweise von none zu reject verschärft werden – ohne berechtigte E-Mails zu blockieren.

Was genau ist ein DMARC-Eintrag?

Ein DMARC-Eintrag ist ein spezieller Textabschnitt, der im DNS (Domain Name System) einer Domain gespeichert wird und die jeweilige DMARC-Richtlinie definiert. Dieser Eintrag legt fest, wie empfangende E-Mail-Server mit Nachrichten umgehen sollen, die nicht authentifiziert werden können – beispielsweise bei fehlgeschlagenen SPF- oder DKIM-Prüfungen.

DMARC-Einträge sind kein eigener DNS-Typ, sondern werden als sogenannte TXT-Einträge in einer DNS-Zone hinterlegt. TXT-Einträge sind dafür gedacht, beliebige textbasierte Informationen mit einer Domain zu verknüpfen – darunter auch sicherheitsrelevante Richtlinien wie SPF-, DKIM- oder DMARC-Konfigurationen.

Ein typischer DMARC-Eintrag könnte folgendermaßen aussehen:

_dmarc.beispiel.de   IN TXT   v=DMARC1; p=quarantine; adkim=r; aspf=r; rua=mailto:rua@drittanbieter-domain.de;

• _dmarc.beispiel.de – Der Eintrag wird nicht direkt auf beispiel.de, sondern unter dem Präfix _dmarc. angelegt.
• TXT – Typ des Eintrags. Hierbei handelt es sich um einen klassischen Textdatensatz.
• Inhalt (Content):
  • v=DMARC1 – Die verwendete DMARC-Version.
  • p=quarantine – Nachrichten, die die Prüfungen nicht bestehen, sollen in Quarantäne verschoben werden (z. B. in den Spam-Ordner).
  • adkim=r / aspf=r – Die Prüfungen erfolgen im relaxed-Modus (nicht ganz so streng).
  • rua=mailto:rua@drittanbieter-domain.de – Aggregate Reports sollen an die angegebene E-Mail-Adresse gesendet werden.

Welche Vorteile bietet DMARC für Unternehmen?

Die Implementierung von DMARC bietet weitreichende Vorteile für Unternehmen, die ihre E-Mail-Kommunikation absichern und gleichzeitig ihre digitale Markenreputation schützen möchten. Im Folgenden finden Sie die wichtigsten Gründe, warum DMARC ein unverzichtbares Instrument moderner E-Mail-Sicherheit ist:

• Erhöhte Zustellrate legitimer E-Mails: Ein korrekt konfigurierter DMARC-Eintrag verbessert die Zustellbarkeit von geschäftskritischen E-Mails. Indem empfangende Server zwischen vertrauenswürdigen und verdächtigen Nachrichten unterscheiden können, wird die Wahrscheinlichkeit erhöht, dass Ihre echten E-Mails im Posteingang landen – und nicht im Spam-Ordner.
• Effektiver Schutz vor Phishing und Spoofing: DMARC bietet eine starke Verteidigungslinie gegen Phishing-Versuche und E-Mail-Spoofing, bei denen Angreifer sich als Ihre Organisation ausgeben. Durch die Validierung von SPF- und DKIM-Daten wird der Versand gefälschter Nachrichten über Ihre Domain zuverlässig unterbunden.
• Durchsetzung einheitlicher Absenderregeln: DMARC erlaubt es Unternehmen, klare Authentifizierungsrichtlinien für ausgehende E-Mails zu definieren. Diese Richtlinien legen fest, wie Mailserver mit Nachrichten umgehen sollen, die die Authentifizierungsprüfungen nicht bestehen – von reiner Beobachtung bis zur vollständigen Ablehnung.
• Schutz des Markenimages: Ein erfolgreicher Spoofing-Angriff kann den guten Ruf eines Unternehmens massiv beschädigen. DMARC schützt Markenidentität und Kundenvertrauen, indem es Angreifern die Möglichkeit nimmt, Ihre Domain für betrügerische Zwecke zu missbrauchen.
• Wertvolle Einblicke durch Reporting: DMARC stellt regelmäßig detaillierte Authentifizierungsberichte bereit. Diese Berichte helfen Administratoren, legitime Probleme im E-Mail-Versand zu erkennen, Missbrauch zu identifizieren und die Sicherheitsrichtlinien gezielt weiterzuentwickeln.
• Skalierbarkeit für Unternehmen jeder Größe: DMARC ist flexibel und für Unternehmen jeglicher Größenordnung geeignet – von kleinen Start-ups bis hin zu großen Konzernen mit komplexer E-Mail-Infrastruktur. Die Technologie lässt sich problemlos skalieren und in bestehende Sicherheitssysteme integrieren.

Tools und Best Practices für eine erfolgreiche DMARC-Implementierung

Die Einführung von DMARC kann komplex wirken – insbesondere angesichts der teils schwer verständlichen Rohdaten, die durch DMARC-Berichte generiert werden. Doch mit den richtigen Werkzeugen, klaren Prozessen und fachkundiger Unterstützung lässt sich die Implementierung gezielt und effektiv umsetzen.

1. DMARC-Richtlinie im DNS veröffentlichen: Der erste Schritt besteht darin, eine DMARC-Richtlinie als TXT-Eintrag im DNS Ihrer Domain zu hinterlegen. Diese Richtlinie legt fest, wie empfangende Mailserver mit nicht authentifizierten E-Mails umgehen sollen – ob sie zugestellt, als verdächtig eingestuft oder vollständig blockiert werden. Gleichzeitig dokumentiert sie die Authentifizierungspraktiken Ihres Unternehmens.
2. Analyse mit spezialisierten DMARC-Tools: Die XML-basierten DMARC-Berichte sind für Menschen oft schwer lesbar. DMARC-Analysetools oder sogenannte Parsing-Services wandeln diese Daten in verständliche Dashboards und Berichte um. Diese helfen dabei, potenzielle Schwachstellen zu identifizieren, z. B. E-Mail-Quellen, die versehentlich nicht autorisiert sind.
3. Erweiterte Einblicke nutzen: Moderne Tools liefern nicht nur eine Visualisierung der DMARC-Daten, sondern auch kontextbasierte Empfehlungen und Bedrohungsanalysen. Damit lassen sich E-Mail-Absender schneller authentifizieren und gezielte Maßnahmen zur Verbesserung der Sicherheit ableiten – mit dem Ziel, legitime Zustellungen nicht zu gefährden.
4. Zusammenarbeit mit erfahrenen DMARC-Beratern: Unternehmen profitieren erheblich von der Unterstützung durch spezialisierte Experten. Diese helfen bei:
   • der systematischen Identifizierung aller legitimen E-Mail-Quellen (auch externer Anbieter),
   • der Fehleranalyse bei SPF- und DKIM-Problemen,
   • sowie der Zusammenarbeit mit E-Mail-Dienstleistern, um Authentifizierungsfehler zu beheben.
5. Schrittweise Eskalation der Richtlinien: Ein bewährter Ansatz zur Einführung besteht darin, zunächst die Richtlinie auf none zu setzen. So werden nur Berichte gesammelt, ohne E-Mails zu blockieren – ideal für den Start. Sobald alle legitimen Absender korrekt authentifiziert sind, kann die Policy schrittweise auf quarantine und später auf reject angehoben werden.
6. Volle Kontrolle und Vertrauen: Die vollständige Implementierung von DMARC erfordert präzises Vorgehen, bietet aber langfristig ein hohes Maß an Schutz, Transparenz und Kontrolle über Ihre E-Mail-Kommunikation. So stärken Sie das Vertrauen Ihrer Kunden, schützen Ihre Marke vor Missbrauch und minimieren das Risiko betrügerischer Angriffe.

Sollte DMARC auch für Domains verwendet werden, die keine E-Mails versenden?

Auch Domains, die nicht für den E-Mail-Versand verwendet werden, sollten aktiv durch DMARC geschützt werden. Warum? Weil Cyberkriminelle diese ungenutzten Domains missbrauchen könnten, um betrügerische E-Mails zu versenden – etwa im Rahmen von Phishing-Kampagnen oder Spoofing-Angriffen.

Für solche Fälle empfiehlt es sich, eine DMARC-Richtlinie mit dem Modus reject zu setzen. Das bedeutet: Jede E-Mail, die angeblich von dieser Domain stammt, wird von empfangenden Mailservern automatisch abgelehnt, da keine autorisierten SPF- oder DKIM-Einträge vorhanden sind.

Wie richte ich DMARC für meine Domain bei WebWide ein?