DMARC Enforcement für IONOS
Schritt-für-Schritt-Roadmap: DNS-Propagation beachten, automatischen SPF-Record prüfen, externes Monitoring einrichten und Policy von p=none über p=quarantine zu p=reject verschärfen — ohne natives DMARC-Dashboard.
DMARC Enforcement bei IONOS
IONOS bietet DKIM-Signierung über das Control Panel und setzt bei einigen Tarifen automatische SPF-Records — was den Enforcement-Prozess in zwei Punkten erschwert: Manuelle SPF-Erweiterungen können überschrieben werden, und ein natives DMARC-Reporting-Dashboard fehlt vollständig. Wer DMARC bei IONOS auf p=reject bringen will, muss ein externes Monitoring-Tool einbinden und die automatische DNS-Verwaltung bewusst kontrollieren.
IONOS ist als reiner Hosting-Provider konzipiert: Die Verantwortung für DMARC-Enforcement liegt vollständig beim Domaininhaber. IONOS sendet keine DMARC-Aggregate-Reports und bietet keine Analyse-Oberfläche — Sie benötigen ein externes Tool wie dmarcian, Postmark DMARC oder EasyDMARC. Der Wolf-Agents Email Security Scanner prüft Ihre aktuelle DMARC-Policy-Stufe, DKIM-Konfiguration und SPF-Vollständigkeit als Teil der 165 Prüfpunkte. Falls Sie DMARC noch nicht eingerichtet haben, starten Sie mit der DMARC-Anleitung für IONOS. Nach Erreichen von p=reject ist der nächste Hardening-Schritt MTA-STS für IONOS — Transport-Verschlüsselung erzwingen.
Für NIS2-pflichtige Unternehmen mit IONOS-Infrastruktur gilt: p=none reicht nicht für Compliance. Art. 21 der NIS2-Richtlinie fordert Maßnahmen nach dem Stand der Technik. Das BSI empfiehlt p=reject. Die Tatsache, dass IONOS keine automatische Policy-Verschärfung vornimmt, entbindet den Domaininhaber nicht von dieser Pflicht — im Gegenteil: Die vollständige Eigenverantwortung liegt beim Unternehmen.
Beobachtungsphase bei IONOS
Legen Sie den DMARC-Record mit p=none im IONOS Control Panel unter Domains & SSL → DNS an. Da IONOS kein eigenes DMARC-Reporting bietet, ist die Einrichtung eines externen Monitoring-Tools vor dem ersten Report-Eingang zwingend notwendig. Konfigurieren Sie DKIM im Control Panel und prüfen Sie anschließend, ob der automatische SPF-Record Ihrer Domain alle sendenden Dienste enthält.
# SPF-Record prüfen (Linux / macOS)
dig ihre-domain.de TXT +short | grep spf
# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings | Select-String "spf"
# Erwartete Ausgabe bei IONOS mit Drittanbieter:
# "v=spf1 include:mxes.net include:servers.mcsv.net ~all"IONOS-spezifische Quellen in Reports
- IONOS Mailserver: IPs im Bereich mx0.perfora.net — sollten SPF und DKIM pass zeigen, sofern DKIM aktiviert ist
- Automatischer SPF-Record: IONOS setzt bei einigen Tarifen selbsttätig einen SPF-Record — prüfen Sie, ob dieser alle Ihre sendenden Server enthält oder überschrieben wurde
- Drittanbieter (Mailchimp, Brevo, HubSpot): Eigene IP-Bereiche erscheinen in den Reports — Custom-DKIM und SPF-Include-Einträge prüfen
- Externes Monitoring (Pflicht): Ohne dmarcian, Postmark DMARC oder EasyDMARC sind die Aggregate Reports nicht auswertbar — IONOS stellt kein Analyse-Interface bereit
Quarantäne und Reject bei IONOS
Die schrittweise Verschärfung von p=quarantine zu p=reject erfolgt bei IONOS über reine DNS-Änderungen im Control Panel. Beachten Sie dabei die DNS-Propagationszeit von IONOS: Abhängig vom gebuchten Tarif kann eine Änderung zwischen einigen Minuten und mehreren Stunden benötigen, bis sie weltweit sichtbar ist. Planen Sie jede pct-Erhöhung für abends oder nachts mit niedrigem Mailvolumen, um unerwünschte Auswirkungen zu minimieren.
Worauf bei IONOS besonders achten
- DNS-Propagation einkalkulieren: Setzen Sie die TTL Ihrer DNS-Records vor dem Enforcement auf den niedrigsten verfügbaren Wert. Warten Sie nach jeder pct-Erhöhung mindestens 5-7 Tage, bevor Sie die nächste Stufe aktivieren
- Automatischen SPF-Record deaktivieren oder manuell übernehmen: Prüfen Sie im IONOS Control Panel unter
DNS-Einstellungen, ob die automatische DNS-Verwaltung aktiv ist. Falls ja, deaktivieren Sie diese oder erweitern Sie den Record ausschließlich manuell — andernfalls können Ihre SPF-Anpassungen überschrieben werden - Externe Dienste vollständig im SPF erfassen: Jeder Newsletter-Dienst (Mailchimp, Brevo), jedes CRM (HubSpot) und jedes Transaktionssystem muss im SPF-Record per
include:eingetragen sein. Fehlt ein Eintrag, erscheint der Dienst in den Reports mit SPF fail - Externes Monitoring obligatorisch: Ohne ein externes Auswertungstool erkennen Sie kritische Änderungen in Ihrem Sendeverhalten nicht. Der Wolf-Agents Email Security Scanner prüft kontinuierlich Ihre DMARC-Policy-Stufe und DKIM-Konfiguration
# Linux / macOS
dig _dmarc.ihre-domain.de TXT +short
# Windows (PowerShell)
Resolve-DnsName -Name _dmarc.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings
# Erwartete Ausgabe (Phase 1):
# "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"Häufige Probleme bei IONOS-Enforcement
Die folgenden drei Probleme treten bei IONOS-DMARC-Enforcement besonders häufig auf. Alle drei hängen mit der automatischen DNS-Verwaltung und dem fehlenden nativen Reporting zusammen — und können dazu führen, dass legitime E-Mails nach der Policy-Verschärfung im Spam landen oder abgelehnt werden.
DNS-Propagation verzögert Enforcement
Symptom: Policy-Änderungen zeigen in den DMARC-Reports keine Wirkung, obwohl der DNS-Record im Control Panel bereits aktualisiert wurde. Die Reports spiegeln weiterhin die alte Policy wider.
Ursache: IONOS DNS-Propagation kann je nach Tarif und Ziel-Resolver zwischen einigen Minuten und mehreren Stunden dauern. Zwischengespeicherte TTL-Werte bei externen Resolvern verlängern die Wartezeit zusätzlich.
Lösung: TTL der betroffenen DNS-Records vor dem Enforcement auf den niedrigsten verfügbaren Wert setzen (bei IONOS meist 300 Sekunden). Änderungen am Abend mit niedrigem Mailvolumen planen und mindestens 24 Stunden nach der Propagation warten, bevor eine weitere pct-Erhöhung vorgenommen wird.
Automatischer SPF-Record überschreibt manuellen Eintrag
Symptom: Der manuell angepasste SPF-Record wird nach einiger Zeit zurückgesetzt und enthält wieder nur die IONOS-Standard-Einträge. Externe Dienste erscheinen erneut mit SPF fail in den Reports.
Ursache: IONOS setzt bei einigen Tarifen automatische SPF-Records und kann manuelle Änderungen bei bestimmten Konfigurationsänderungen überschreiben. Die automatische DNS-Verwaltung greift dabei in den manuell gepflegten Record ein.
Lösung: Im IONOS Control Panel unter den DNS-Einstellungen prüfen, ob die automatische DNS-Verwaltung aktiv ist. Diese entweder vollständig deaktivieren oder den SPF-Record ausschließlich über die manuelle DNS-Oberfläche pflegen und nach jeder Änderung am Hosting-Paket erneut verifizieren.
Drittanbieter fehlt im SPF bei IONOS-Kombination
Symptom: Newsletter-E-Mails über Mailchimp zeigen SPF fail in den DMARC-Reports, obwohl Mailchimp korrekt als Absender konfiguriert ist. Die E-Mails werden zugestellt, weil DKIM besteht — das Risiko steigt aber mit p=reject.
Ursache: Der automatische IONOS-SPF-Record enthält ausschließlich IONOS-eigene Mailserver. Externe Dienste wie Mailchimp (include:servers.mcsv.net), Brevo oder HubSpot sind nicht enthalten und müssen manuell ergänzt werden.
Lösung: SPF-Record manuell um alle include:-Einträge der genutzten Drittanbieter erweitern. Beispiel: v=spf1 include:mxes.net include:servers.mcsv.net ~all. Anschließend mit dem Wolf-Agents Email Security Scanner verifizieren, dass alle sendenden Dienste korrekt im SPF abgebildet sind und DMARC-Alignment erreicht wird.
DMARC Enforcement-Roadmap auch für:
Wie steht Ihre Domain bei DMARC Enforcement?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.