DMARC-Report: Kommen Ihre E-Mails an?

DMARC-Reports sind Ihr Frühwarnsystem gegen E-Mail-Betrug und helfen, die Zustellbarkeit Ihrer E-Mails zu verbessern.

Im letzten Blog-Artikel vom 1. Juni 2025 habe ich mich mit der DNS-Sicherheit befasst. In diesem Blog-Artikel geht es nun um DMARC-Einträge und DMARC-Reports.

Stellen Sie sich vor, Sie versenden einen wichtigen Brief. SPF ist wie eine Liste, die jedem Postamt sagt: "Nur diese Personen dürfen Briefe in meinem Namen verschicken." DKIM ist wie Ihr persönliches Siegel auf dem Brief, das beweisst: "Dieser Brief ist wirklich von mir und wurde nicht unterwegs verändert."

DMARC ist der Chef, der auf SPF und DKIM aufbaut. Es sagt den Postämtern: "Wenn ein Brief in meinem Namen kommt, aber nicht auf meiner Liste steht (SPF) oder mein Siegel fehlt/kaputt ist (DKIM), dann macht Folgendes damit: Liefert ihn nicht aus, schickt ihn in den Spam-Ordner oder gebt mir einfach nur Bescheid." Diese Anweisungen speichern Sie öffentlich in den Einstellungen der Internetadresse (DNS-Zone der Domain), sodass jeder Mailserver weiss, wie er mit "Ihren" E-Mails umgehen soll. So wird sichergestellt, dass nur echte E-Mails von Ihnen ankommen und Betrüger keine Chancen haben.

Mit dem folgenden Tool können Sie sehr einfach testen, ob DMARC für Ihre E-Mail-Adresse korrekt konfiguriert ist:

https://dmarcchecker.app/

In den nachfolgenden Abschnitten beschreibe ich kurz, wer die DMARC-Regeln bestimmt, wie Sie diese für Ihre Domain einbinden und wie man Rückmeldungen der empfangenden Mailserver überwachen kann.

Internet Engineering Task Force (IETF)

Die Internet Engineering Task Force (IETF) ist im Grunde eine grosse, internationale Gemeinschaft von Fachexperten. Ihre Hauptaufgabe ist es, die technischen Standards zu entwickeln und zu verbessern, die das Internet am Laufen halten. Das sind zum Beispiel die Regeln, wie E-Mails verschickt werden, wie Webseiten übertragen werden (HTTP) oder wie Datenpakete durchs Netz geleitet werden (IP).

Die IETF arbeitet in offenen Gruppen, um sicherzustellen, dass das Internet stabil, sicher und funktionsfähig bleibt - für uns alle.

Website der IETF: https://www.ietf.org/.

Requests for Comments (RFC)

RFCs (Requests for Comments) sind die zentralen Dokumente, in denen die technischen Spezifikationen und Standards für das Internet veröffentlicht werden. Obwohl die RFC-Reihe selbst schon vor der IETF existierte (sie begann 1969 mit dem ARPANET-Projekt), sind heute die meisten RFCs, insbesondere die, die Internet-Standards definieren, das Ergebnis der Arbeit der IETF.

Alle RFCs: https://www.rfc-editor.org/.

Independent Submission: RFC 7489

Obwohl RFC 7489, das DMARC definiert, ein wichtiger Internet-Standard ist und von Personen geschrieben wurde, die in der IETF involviert sind, wurde es technisch gesehen auf dem "Independent Submission" Stream der RFC-Reihe veröffentlicht und hat nicht den formalen IETF-Standardisierungsprozess durchlaufen.

Nichtsdestotrotz ist DMARC von der Internet-Gemeinschaft und der E-Mail-Branche weitgehend angenommen und implementiert worden und ist de facto ein Standard, der weltweit zur E-Mail-Authentifizierung eingesetzt wird.

Details zum RFC: https://www.rfc-editor.org/info/rfc7489.

DMARC einbinden

Wie auch bei SPF und DKIM, werden die DMARC-Richtlinien für Ihre Absender-Domain im DNS als TXT-Eintrag erfasst. In den durch uns verwalteten DNS-Zonen hinterlegen wir standardmässig den nachfolgenden DMARC-Eintrag:

v=DMARC1;p=quarantine;adkim=r;aspf=s;rua=mailto:name@domain.tld
Abkürzung Bedeutung Erforderlich Erlaubte Werte
v Protokollversion Ja DMARC1
p Anweisung, wie mit den E-Mails zu verfahren ist Nein none, quarantine, reject
adkim Abgleichmodus für DKIM Nein r (relaxed), s (strict)
aspf Abgleichmodus für SPF Nein r (relaxed), s (strict)
rua Empfänger für den aggregierten Bericht (DMARC-Report) Nein URIs

Vollständige Liste: https://www.rfc-editor.org/rfc/rfc7489.html#section-6.3.

DMARC-Report

Ein DMARC-Report ist ein detaillierter Bericht von anderen E-Mail-Diensten darüber, was mit den E-Mails passiert, die angeblich von Ihnen stammen.

Diese Berichte zeigen Ihnen, welche E-Mails unter dem Namen Ihrer Domain versendet wurden und ob diese E-Mails die Sicherheitsprüfungen (wie SPF und DKIM) bestanden haben. Es ist wie ein Protokollbuch, das auflistet, wer Ihre Identität genutzt hat - ob es Ihr eigener E-Mail-Dienst war oder jemand, der versucht hat, sich als Sie auszugeben.

Mit einem DMARC-Report können Sie also Betrugsversuche erkennen, die Ihre Domain missbrauchen, und gleichzeitig sicherstellen, dass Ihre eigenen, legitimen E-Mails auch wirklich bei Ihren Empfängern ankommen. Kurz gesagt: Er gibt Ihnen Transparenz und Kontrolle über Ihren E-Mail-Versand.

DMARC-Report auswerten

DMARC-Reports sind extrem wertvoll, aber die Rohdaten, die Sie per E-Mail erhalten, sind im XML-Format und für die meisten Menschen kaum lesbar. Zum Glück gibt es verschiedene Möglichkeiten, diese Berichte auszuwerten und in verständliche Informationen zu verwandeln:

Kostenlose Online Tools (für einzelne Berichte)

Wenn Sie nur gelegentlich einen DMARC-Report erhalten und schnell einen Überblick benötigen, können kostenlose Online-Tools sehr nützlich sein. Viele DMARC-Anbieter haben solche kostenlosen "XML-to-Human" Konverter auf ihren Websites.

Kostenloser DMARC Analyzer: https://dmarcadvisor.com/dmarc-analyzer/

Dedizierte DMARC-Reporting-Services (kostenpflichtig)

Dies ist die beste und effizienteste Methode, um DMARC-Reports langfristig und umfassend auszuwerten. Diese Dienste übernehmen die gesamte Arbeit für Sie. Wenn Sie in Ihrem DMARC-DNS-Eintrag eine spezielle E-Mail-Adresse des Dienstes eintragen (rua=mailto:dmarc@ihrdienst.com), werden alle eingehenden DMARC-Reports automatisch an diesen Dienst gesendet. Dieser sammelt, analysiert und visualisiert die Daten in einem benutzerfreundlichen Dashboard.

Bekannte Anbieter:

Selbst gehostete Lösungen / Open Source Tools

Für technisch versierte Nutzer oder Organisationen mit besonderen Datenschutzanforderungen gibt es Open-Source-Lösungen, die auf den eigenen Servern installiert werden können.

Beispiele:

  • parsedmarc
  • OpenDMARC
  • Diverse GitHub-Projekte, die DMARC-Report-Visualizer auf Basis von Grafana/Elasticsearch anbieten

Kontaktieren Sie uns

Gerne unterstützen wir Sie bei der optimalen Konfiguration Ihrer DNS-Einträge.

Kontaktieren Sie uns noch heute für eine unverbindliche Beratung!