DMARC Enforcement für Infomaniak

Schritt-für-Schritt-Roadmap: vom Beobachtungs-Modus (p=none) über Quarantäne (p=quarantine) zur Infomaniak-Empfehlung Reject (p=reject) — mit sp=reject Subdomain-Override und Global Security Wizard-Hinweisen.

DMARC-Policy prüfen Plattform entdecken

Infomaniak · Enforcement-Roadmap

Von Wolf-Agents Security Team · Aktualisiert: 14. Mai 2026

DMARC Enforcement bei Infomaniak (Schweiz Cloud + Mail Service)

Infomaniak empfiehlt im Global Security Tool die Policy „Reject“ zu 100 % als End-Ziel — Mails, die SPF/DKIM-Prüfung nicht bestehen, werden direkt abgewiesen. Wolf-Agents empfiehlt aber NICHT den direkten Sprung in die Infomaniak-Empfehlung: ohne 2-4 Wochen Beobachtungsphase werden legitime Sender (Cron-Skripte, externe Marketing-Tools) sofort verloren. Disziplinierte Beobachtung der Reports, schrittweise pct-Erhöhung und ein separater sp=-Tag für Subdomains sind Pflicht.

Infomaniak nutzt zentrale Mail-Server mit dem dokumentierten Default-SPF v=spf1 include:spf.infomaniak.ch -all und automatisch verwalteten DKIM-Schlüsseln. Beide sind alignment-konform mit der Header-From-Domain — DMARC kann darauf aufbauen. Falls Sie DMARC noch nicht aktiviert haben, starten Sie mit der DMARC-Anleitung für Infomaniak.

Der Wolf-Agents Email Security Scanner prüft Ihre aktuelle DMARC-Policy-Stufe, validiert den pct-Wert gegen die p=-Policy, markiert den fehlenden sp=-Subdomain-Override explizit als Risiko-Punkt und erkennt SPF-Drift nach Infomaniak-Service-Wechseln (z.B. Mail Plus → Webhosting). Wolf-Agents Stack Detection findet außerdem Provider-Wechsel beim Lieferanten oder bei eigenen Sub-Diensten — verlinkt zu VEC (Vendor Email Compromise) und SubdoMailing.

Für NIS2-pflichtige Unternehmen mit Infomaniak-Infrastruktur ist p=none keine ausreichende Compliance. NIS2 Art. 21 Abs. 2 lit. b (Bewältigung von Sicherheitsvorfällen) bindet Enforcement direkt an aktive Spoofing-Vorfälle — DMARC-Reports zeigen den Vorfall, p=reject beendet ihn. Zusätzlich NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung). Schweizer Datenschutz: revDSG Art. 8 fordert geeignete technische Maßnahmen zur Datensicherheit. Bei NIS2 Art. 23 Meldepflichten (24h-Frühwarnung, 72h-Vorfallsmeldung, 1-Monats-Abschlussbericht) sind DMARC-Aggregate-Reports forensisch verwertbar — auch für Schweizer Unternehmen mit EU-Geschäft.

Ausführliche DMARC Enforcement Roadmap

1 Phase 1 von 4

Beobachtungsphase bei Infomaniak (Advanced-Modus)

Beginnen Sie im Global Security Tool im Advanced-Modus mit p=none — das blockiert nichts, aber empfangende Server senden täglich XML-Aggregate-Reports an Ihre rua-Adresse. Verwenden Sie NICHT direkt den Simple-Modus mit „Reject 100 %“ — das ist die Infomaniak-Empfehlung als End-Ziel, nicht als Startwert.

Host:        _dmarc
Typ:         TXT
Wert:        v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.ch; ruf=mailto:dmarc-reports@ihre-domain.ch; fo=1; pct=100

Setup-Schritte im Infomaniak Manager

Im Infomaniak Mail Service das Postfach dmarc-reports@ihre-domain.ch anlegen
Unter Mail Service Management → Global Security → DMARC → Advanced-Modus
Den Wert v=DMARC1; p=none; rua=mailto:dmarc-reports@...; fo=1; pct=100 eintragen
Bei externer DNS-Zone: Wert beim externen Provider als TXT-Record mit Host _dmarc eintragen
Über 2-4 Wochen tägliche XML-Reports parsen — manuell mit dmarc-parser oder via dmarcian

2 Phase 2 von 4

Quarantäne-Phase mit pct-Erhöhung

Nach 2-4 Wochen sauberer Reports (alle Sender identifiziert, alle DKIM-Signaturen valide) wechseln Sie auf p=quarantine; pct=10. Das bedeutet: Empfänger verschieben 10 % der nicht-konformen Mails in den Spam-Ordner. Über 1-2 Wochen erhöhen Sie schrittweise auf pct=100. Ergänzen Sie den sp=quarantine-Tag — sonst gilt die Policy nur für die Hauptdomain, Subdomains bleiben offen für Spoofing.

# Tag 1 — pct=10
Wert: v=DMARC1; p=quarantine; sp=quarantine; pct=10; rua=mailto:dmarc-reports@ihre-domain.ch; fo=1

# Tag 7 — pct=25
Wert: v=DMARC1; p=quarantine; sp=quarantine; pct=25; rua=mailto:dmarc-reports@ihre-domain.ch; fo=1

# Tag 14 — pct=50
Wert: v=DMARC1; p=quarantine; sp=quarantine; pct=50; rua=mailto:dmarc-reports@ihre-domain.ch; fo=1

# Tag 21 — pct=100
Wert: v=DMARC1; p=quarantine; sp=quarantine; pct=100; rua=mailto:dmarc-reports@ihre-domain.ch; fo=1

sp=-Tag explizit anlegen

Ohne sp=-Tag fällt die Subdomain-Policy auf p= zurück. Setzen Sie sp=quarantine oder direkt sp=reject früh, da Subdomains seltener von legitimen Sendern verwendet werden und das Risiko minimal ist. Guardio Labs hat 2024 über 8.000 Marken-Subdomains aufgedeckt, die für SubdoMailing missbraucht wurden.

3 Phase 3 von 4

Reject-Phase — Infomaniak-Empfehlung erreichen

Nach 2-4 Wochen p=quarantine; pct=100 ohne neue Anomalien wechseln Sie auf p=reject — das ist die explizite Infomaniak-Empfehlung im Simple-Modus. Empfänger lehnen nicht-konforme Mails dann direkt mit SMTP-Status 550 DMARC policy ab. Starten Sie wieder mit pct=10 und erhöhen Sie schrittweise.

# Tag 1 — pct=10
Wert: v=DMARC1; p=reject; sp=reject; pct=10; rua=mailto:dmarc-reports@ihre-domain.ch; fo=1

# Tag 14 — pct=50
Wert: v=DMARC1; p=reject; sp=reject; pct=50; rua=mailto:dmarc-reports@ihre-domain.ch; fo=1

# Tag 28 — Final (Infomaniak-Empfehlung)
Wert: v=DMARC1; p=reject; sp=reject; pct=100; rua=mailto:dmarc-reports@ihre-domain.ch; fo=1; ri=86400

Mit p=reject; sp=reject; pct=100 entspricht Ihre Domain der Infomaniak-Simple-Modus-Empfehlung und ist DMARC-konform nach BSI TR-03108 und NIS2-Stand-der-Technik geschützt.

4 Phase 4 von 4

Monitoring etablieren

DMARC-Enforcement ist kein „set and forget“. Nach Erreichen von p=reject; pct=100 bleibt das kontinuierliche Monitoring nötig — neue Sender oder Service-Wechsel zwischen Infomaniak-Produkten (Mail Plus, Webhosting, kSuite) können DMARC fehlschlagen lassen.

Monatliche Monitoring-Aufgaben

Aggregate-Reports auswerten: Anteil der Mails mit dmarc=pass vs. dmarc=fail trenden. Neue Sender im source_ip-Feld identifizieren
SPF-Drift prüfen: Mit dig TXT ihre-domain.ch +short | grep "v=spf1" auf doppelte Records prüfen. spf.infomaniak.ch rekursiv auflösen
DKIM-Status: Bei DNS-Provider-Wechsel sicherstellen, dass der Infomaniak-DKIM-Eintrag noch aktiv ist
Wolf-Agents Scanner monatlich: 165-Punkte-Analyse inklusive DMARC-Policy, sp=-Tag, BIMI-Bereitschaft und Stack-Detection für externe Versender
Forensik bei Vorfall: Bei einem aktiven Spoofing-Vorfall die Aggregate-Reports der letzten 30 Tage als NIS2-Art.-23-Meldung-Belege aufbereiten

kSuite-Migrationen als Drift-Quelle (Information-Gain)

Infomaniak bietet die kSuite-Familie (kMail, kDrive, kPaste etc.) als integrierte SaaS-Plattform. Bei einer Migration vom eigenständigen Mail Service zu kSuite (oder umgekehrt) können sich MX-Records und SPF-Includes ändern — die globale DMARC-Policy bricht dann, wenn die Mail-MTA-Server gewechselt sind, der SPF-Record aber noch auf den alten Service zeigt. Vor jeder Service-Migration den SPF/DKIM/DMARC-Stack im Global Security Tool re-validieren.

parsedmarc + dmarcian als Reporting-Doppel-Strategie (Information-Gain)

Wie Hostpoint bietet Infomaniak kein eigenes DMARC-Aggregat-Dashboard. Für Compliance-pflichtige Setups (NIS2 Art. 23 forensische Belegbarkeit) empfiehlt Wolf-Agents eine Doppel-Strategie: parsedmarc (Open-Source-Python-Tool, optional mit Elasticsearch + Kibana) für vollständige on-prem-Aufbewahrung der Aggregat-Reports in einem Infomaniak-Webhosting-Subdomain — DSGVO-/revDSG-konform, keine Cross-Border-Verarbeitung. Parallel dmarcian (kommerzielle „DMARC Management Platform“ mit 30-Tage-Trial, Quelle dmarcian.com, abgerufen 2026-05-14) als Cloud-Dashboard für Daily-Ops-Übersicht. Beide rua-Adressen im DMARC-Record kombinieren: rua=mailto:dmarc@ihre-domain.ch,mailto:reports@dmarcian.com — RFC 7489 § 6.2 erlaubt Multi-rua-Adressen. Bei externen Reporting-Tools die rua-Authorization (RFC 7489 § 7.1) im DNS setzen, sonst lehnen Empfänger die Cross-Domain-Reports ab.

Häufige Fehler beim Infomaniak-Enforcement

Diese drei Fehler treten bei der Infomaniak-spezifischen DMARC-Enforcement-Roadmap besonders häufig auf — jeder einzelne kann Enforcement aushebeln oder legitime Sender unbeabsichtigt blockieren.

Direkt Simple-Modus „Reject 100 %“ angeklickt

Problem: Die Infomaniak-Empfehlung im Simple-Modus heißt „Reject 100 %“ — viele Anwender klicken den Button direkt nach DKIM-Aktivierung an. Legitime Mails (Cron-Skripte, alte Marketing-Tools, Helpdesk-Systeme), die noch nicht im SPF-Record stehen, werden sofort von allen Empfängern abgewiesen. Bevor die ersten Aggregate-Reports einlaufen, sind Mails verloren.

Lösung: Strikt die 4-Phasen-Roadmap einhalten. Im Advanced-Modus starten mit p=none, dann via p=quarantine; pct=10 → pct=100 schrittweise auf p=reject; pct=100. Insgesamt 6-8 Wochen für sichere Umstellung.

sp=-Tag vergessen — Subdomain bleibt offen

Problem: Der DMARC-Record enthält p=reject, aber kein sp=. Standardmäßig fällt die Subdomain-Policy bei nicht existierendem sp= auf p= zurück — das wäre korrekt. Bei Infomaniak-Mail-Service werden aber häufig nur eine Handvoll Subdomains tatsächlich für E-Mail genutzt — alle anderen sind für Spoofing-Angriffe wie SubdoMailing offen. Guardio Labs hat 2024 über 8.000 Marken-Subdomains aufgedeckt.

Lösung: sp=reject explizit setzen — die Subdomain ist dann ohne eigene SPF/DKIM-Konfiguration komplett für Spoofing geschützt. Falls Sie tatsächlich Sub-Sender brauchen (z.B. news.ihre-domain.ch für Marketing), legen Sie auf der Subdomain einen eigenen DMARC-Record an mit eigener Policy.

SPF-Include bricht nach kSuite-Migration

Problem: Eine Domain mit Infomaniak-SPF-Include (v=spf1 include:spf.infomaniak.ch -all) wird auf eine andere Mail-Plattform (Microsoft 365, Proton Mail) migriert, ohne den SPF-Record anzupassen. Infomaniak signiert nicht mehr, der neue Versender ist nicht in spf.infomaniak.ch autorisiert — bei p=reject bouncen alle Mails sofort.

Lösung: Vor jeder Mail-Provider-Migration den SPF-Record anpassen. Bei paralleler Nutzung beide Includes kombinieren: v=spf1 include:spf.infomaniak.ch include:spf.protection.outlook.com -all. Nach der Migration die DMARC-Reports auf neue Anomalien überwachen und ggf. von p=reject kurzfristig auf p=quarantine zurück.

NIS2, BSI TR-03108, DSGVO Art. 32 und Schweizer DSG: Enforcement bei Infomaniak

DMARC-Enforcement schließt den Sender-Authentifizierungs-Kreislauf — ohne p=reject liefert SPF/DKIM nur eine technische Information, die der Empfänger ignorieren darf. NIS2 Art. 21 Abs. 2 lit. b (Bewältigung von Sicherheitsvorfällen) bindet Enforcement direkt an laufende Spoofing-Vorfälle als reaktive Schutzmaßnahme. NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung). BSI TR-03108 empfiehlt p=reject als Mindeststandard — exakt die Infomaniak-Empfehlung. DSGVO Art. 32 fordert technische Maßnahmen zur Sicherheit der Verarbeitung. Schweizer Datenschutz: revDSG Art. 8 (Datensicherheit/TOM) analog DSGVO Art. 32. NIS2 Art. 23 schreibt 24h-Frühwarnung, 72h-Vorfallsmeldung und 1-Monats-Abschlussbericht vor — DMARC-Aggregate-Reports liefern die Forensik-Datenbasis für alle drei Fristen. Wolf-Agents prüft explizit den sp=-Tag der DMARC-Policy — fehlender Subdomain-Override = Risiko-Punkt-Markierung im 165-Punkte-Scan, verlinkt zu SubdoMailing.

DMARC-Enforcement-Roadmap auch für:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint World4You Proton Mail Postfix Exim Mailcow Generisch

Wie steht Ihre Domain bei DMARC Enforcement?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten