DMARC Enforcement für All-Inkl
Schritt-für-Schritt-Roadmap: DMARC-Record im KAS als TXT-Record anlegen, wenige E-Mail-Quellen für schnelles Enforcement nutzen, Drittanbieter sorgfältig im SPF erfassen und Policy von p=none über p=quarantine zu p=reject verschärfen.
DMARC Enforcement bei All-Inkl
All-Inkl-Kunden profitieren von einem klaren Vorteil: Wenige E-Mail-Quellen bedeuten weniger Komplexität in den DMARC-Reports — und typischerweise schnelleres Enforcement. In 4 bis 6 Wochen ist p=reject erreichbar, wenn DKIM und SPF im KAS korrekt konfiguriert sind und alle externen Dienste im SPF-Record erfasst wurden.
Das Kunden-Administrations-System (KAS) von All-Inkl ermöglicht DKIM-Signierung direkt im Hosting-Backend sowie die Pflege von DNS-Einträgen inklusive SPF und DMARC als TXT-Records für _dmarc.ihre-domain.de. Eine native DMARC-Report-Analyse bietet All-Inkl nicht — ein externes Tool wie dmarcian oder Postmark DMARC ist Pflicht. Der Wolf-Agents Email Security Scanner prüft Ihre aktuelle DMARC-Policy als Teil der 165 Prüfpunkte. Falls Sie DMARC noch nicht eingerichtet haben, starten Sie mit der DMARC-Anleitung für All-Inkl. Nach Erreichen von p=reject ist der nächste Hardening-Schritt MTA-STS für All-Inkl — Transport-Verschlüsselung erzwingen.
All-Inkl-Kunden mit NIS2-Pflicht sollten beachten: p=none reicht nicht für Compliance. NIS2 Art. 21 fordert Maßnahmen nach dem Stand der Technik — unabhängig von der Unternehmensgröße. Das BSI empfiehlt p=reject. Nach §38 BSIG haftet die Geschäftsleitung persönlich für die Umsetzung. Wolf-Agents begleitet Sie mit kontinuierlichem Monitoring auf dem Weg zu p=reject.
Beobachtungsphase bei All-Inkl
Legen Sie den DMARC-Record im KAS als TXT-Record für _dmarc.ihre-domain.de mit p=none an und richten Sie parallel ein externes Monitoring-Tool ein. Da All-Inkl keine eigene Report-Auswertung bietet, ist ein Dienst wie dmarcian, Postmark DMARC oder EasyDMARC für die Analyse der Aggregate Reports unerlässlich. Sammeln Sie die Reports 2–4 Wochen, bevor Sie die Policy verschärfen.
All-Inkl-spezifische Quellen in Reports
- All-Inkl-Mailserver: IPs aus dem All-Inkl-ASN — sollten SPF und DKIM pass zeigen, wenn DKIM im KAS aktiviert ist
- Newsletter-Tools: Externe Dienste wie Mailchimp, CleverReach oder Brevo erscheinen mit eigenen IPs — nur pass, wenn sie im SPF-Record via
include:erfasst sind - CRM- und Buchungssysteme: Drittanbieter-Software sendet häufig unter Ihrer Domain — vor Enforcement vollständig inventarisieren
- Alias-Domains: DKIM ist im KAS pro Domain zu aktivieren — Alias-Domains erscheinen mit DKIM fail, wenn dort kein eigener Key hinterlegt ist
Quarantäne und Reject bei All-Inkl
Dank weniger E-Mail-Quellen ist All-Inkl ideal für schnelles Enforcement. Sobald Ihre Reports über 2–4 Wochen ein klares Bild zeigen, können Sie von p=none direkt zu p=quarantine; pct=10 wechseln. Die pct-Erhöhung erfolgt ausschließlich über den TXT-Record im KAS — keine weiteren Konfigurationsänderungen nötig. Wolf-Agents überwacht Ihre DMARC-Policy und schlägt bei Rückschritten Alarm.
Worauf bei All-Inkl besonders achten
- SPF-Record vor Enforcement vollständig: Vor Phase 2 alle externen Dienste (Newsletter, CRM, Buchungssystem) im SPF-Record via
include:eintragen — fehlende Einträge führen zu Zustellproblemen - DKIM für alle sendenden Domains: Im KAS ist DKIM pro Domain separat zu aktivieren — Alias-Domains, die E-Mails versenden, brauchen einen eigenen DKIM-Key
- KAS-TXT-Record-Länge: Bei langen DMARC-Records (viele ruf-Adressen) auf Längenbeschränkungen im KAS achten — Record so kompakt wie möglich halten
- Kurze Enforcement-Intervalle möglich: Bei typisch wenigen Quellen ist der Wechsel von pct=10 auf pct=100 in kürzeren Abständen (1–2 Wochen statt 4) vertretbar, wenn die Reports sauber sind
# Linux / macOS
dig _dmarc.ihre-domain.de TXT +short
# Windows (PowerShell)
Resolve-DnsName -Name _dmarc.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings
# Erwartete Ausgabe nach Phase 3:
# "v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"Häufige Probleme bei All-Inkl-Enforcement
Die folgenden drei Probleme treten bei All-Inkl-DMARC-Enforcement besonders häufig auf. Sie entstehen typischerweise durch die einfache Hosting-Umgebung, in der externe Dienste leicht übersehen werden — oder durch KAS-spezifische DNS-Besonderheiten.
Drittanbieter-SPF bei wenigen Quellen vergessen
Symptom: Newsletter-Tool zeigt SPF fail nach Wechsel auf p=quarantine. E-Mails landen im Spam der Empfänger.
Ursache: All-Inkl-Setups haben typischerweise wenige E-Mail-Quellen — Admins übersehen dabei, dass auch Newsletter-Tools, CRM-Systeme oder Buchungsplattformen unter der eigenen Domain versenden und im SPF-Record stehen müssen.
Lösung: Vor Phase 2 alle externen Dienste vollständig inventarisieren. SPF-Record im KAS um die entsprechenden include:-Einträge erweitern und mit dig ihre-domain.de TXT verifizieren, bevor die Policy verschärft wird.
KAS-DNS-Einschränkungen bei TXT-Records
Symptom: DMARC-Record wird im KAS nicht korrekt gespeichert oder scheint in der DNS-Abfrage abgeschnitten.
Ursache: Das KAS hat in bestimmten Tarifen Längenbeschränkungen für TXT-Records. Lange DMARC-Records mit mehreren ruf-Adressen oder zusätzlichen Optionen können davon betroffen sein.
Lösung: Record so kurz wie möglich halten — auf unnötige Optionen verzichten und nur eine rua-Adresse eintragen. Bei anhaltenden Problemen den All-Inkl-Support kontaktieren oder auf einen höheren Tarif upgraden, der längere TXT-Records erlaubt.
DKIM-Schlüssel nicht für alle Domains aktiv
Symptom: E-Mails von Alias-Domains zeigen DKIM fail in den Reports. DMARC scheitert, obwohl die Hauptdomain korrekt signiert.
Ursache: DKIM wird im KAS nur für die Hauptdomain aktiviert. Alias-Domains, die ebenfalls E-Mails versenden, benötigen einen eigenen DKIM-Key — dieser muss im KAS separat für jede Domain eingerichtet werden.
Lösung: Im KAS für jede sendende Domain DKIM separat aktivieren und den zugehörigen CNAME- oder TXT-Record im DNS der jeweiligen Domain hinterlegen. Anschließend mit dem Wolf-Agents Email Security Scanner verifizieren, dass alle Domains DKIM pass liefern.
DMARC Enforcement-Roadmap auch für:
Wie steht Ihre Domain bei DMARC Enforcement?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.