DMARC einrichten — Allgemeine Anleitung

Provider-unabhängige Schritt-für-Schritt-Anleitung: DMARC-Record bei Ihrem DNS-Provider anlegen, Alignment sicherstellen, Reporting einrichten und den Weg zur Enforcement-Policy vorbereiten.

DMARC prüfen Plattform entdecken
Alle Provider · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 7. April 2026

DMARC einrichten — für jeden DNS-Provider

DMARC ist provider-unabhängig: Der Record ist ein DNS-TXT-Eintrag unter _dmarc.ihre-domain.de — das Format ist bei Cloudflare, AWS Route 53, Namecheap und jedem anderen DNS-Provider identisch. Der einzige Unterschied liegt in der Oberfläche, über die Sie den Record anlegen. Diese Anleitung beschreibt den Prozess DNS-Provider-agnostisch mit den gängigsten Oberflächen als Beispiele.

DMARC schützt Ihre Domain gegen Spoofing — 35 von 165 Punkten im Wolf-Agents Email Security Check. Ohne DMARC ist Ihre maximale Note D, mit p=none maximal C. Für die Compliance-Dokumentation nach NIS2 und DSGVO Art. 32 ist ein aktiv durchgesetzter DMARC-Record ein prüfbarer Nachweis technischer Schutzmaßnahmen.

Hardening-Pfad: Nach DMARC mit p=none folgt der schrittweise Wechsel zu p=quarantine und p=reject — siehe DMARC-Enforcement provider-unabhängig.

Ausführliche Einführung in DMARC

1Schritt 1 von 4

DMARC-Record im DNS anlegen

Erstellen Sie einen TXT-Record bei Ihrem DNS-Provider. Das Format ist bei allen Providern identisch — nur die Oberfläche unterscheidet sich.

DNS TXT-RecordAlle Provider
Typ:       TXT
Host/Name: _dmarc
Wert:      v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1
TTL:       3600

DNS-Oberflächen der gängigsten Provider

  1. Cloudflare: Dashboard → DNS → Add Record → TXT
  2. AWS Route 53: Hosted Zone → Create Record → TXT
  3. Namecheap: Domain List → Advanced DNS → Add New Record → TXT
  4. DigitalOcean: Networking → Domains → Your Domain → Add Record → TXT
  5. OVH: Webcloud → DNS Zone → Add an Entry → TXT
Hostname-Varianten beachten

Je nach Provider geben Sie _dmarc (Provider ergänzt Domain) oder _dmarc.ihre-domain.de. (mit Punkt am Ende) als Hostname ein. Prüfen Sie nach dem Anlegen per dig, ob der Record unter dem korrekten FQDN auflöst.

2Schritt 2 von 4

Alignment sicherstellen

DMARC prüft Alignment: Die Domain der SPF- oder DKIM-Authentifizierung muss mit der sichtbaren Absenderdomain übereinstimmen. Stellen Sie sicher, dass SPF und DKIM korrekt konfiguriert sind, bevor Sie DMARC aktivieren.

Universelle Alignment-Checkliste

  1. SPF-Alignment: Ist der Return-Path (Envelope-From) Ihre Domain? Prüfen Sie die Bounce-Konfiguration
  2. DKIM-Alignment: Signiert Ihr Mailserver mit d=ihre-domain.de? Prüfen Sie den DKIM-Selektor
  3. Drittanbieter: Listen Sie alle Dienste auf, die E-Mails in Ihrem Namen senden
  4. Für jeden Drittanbieter: Custom-DKIM-Signierung mit Ihrer Domain aktivieren
  5. DKIM-Alignment ist der Goldstandard — überlebt Weiterleitungen, funktioniert dienstübergreifend
3Schritt 3 von 4

DMARC-Record verifizieren

Prüfen Sie den Record per Kommandozeile und senden Sie eine Test-E-Mail an Gmail, um den DMARC-Status im Header zu kontrollieren.

Terminal / PowerShellVerifikation
# Linux / macOS
dig _dmarc.ihre-domain.de TXT +short

# Windows (PowerShell)
Resolve-DnsName -Name _dmarc.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

# Erwartete Ausgabe:
# "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"

# Gmail-Header prüfen (Original anzeigen):
# dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=ihre-domain.de

Validieren Sie mit dem Wolf-Agents Email Security Check — 35 DMARC-Punkte inklusive Policy, Reporting und Alignment.

4Schritt 4 von 4

Reporting einrichten und auswerten

Warten Sie mindestens 2-4 Wochen im Monitoring-Modus (p=none). Aggregate Reports zeigen, welche Server E-Mails in Ihrem Namen senden — darunter oft vergessene Dienste. Erst wenn alle Dienste korrekt authentifiziert sind: Policy verschärfen.

Monitoring-Phase

  1. Richten Sie eine dedizierte Mailbox für dmarc-reports@ihre-domain.de ein
  2. Nutzen Sie dmarcian (kostenlos bis 10.000 Mails/Monat) oder Postmark DMARC (unbegrenzt kostenlos)
  3. Identifizieren Sie alle legitimen Absender — SPF/DKIM für jeden Dienst korrekt konfigurieren
  4. Erst dann: Policy verschärfen über die 4-Phasen-Roadmap (Kapitel 05)

Häufige Fehler — provider-übergreifend

Diese drei Fehler treten bei DMARC-Konfigurationen unabhängig vom Provider am häufigsten auf.

Unterstrich vergessen — _dmarc vs. dmarc

Problem: Der Record wird unter dmarc.ihre-domain.de statt _dmarc.ihre-domain.de angelegt. Empfangende Mailserver suchen ausschließlich unter dem Prefix _dmarc — der Record ohne Unterstrich wird nie gefunden.

Lösung: Immer _dmarc mit führendem Unterstrich als Hostname verwenden. Prüfen Sie nach dem Anlegen mit dig _dmarc.ihre-domain.de TXT.

rua-Adresse auf externer Domain ohne Autorisierung

Problem: Die rua=-Adresse zeigt auf eine andere Domain (z.B. dmarc@monitoring-service.com), aber der Autorisierungs-Record fehlt. Empfangende Mailserver senden dann keine Reports an diese Adresse.

Lösung: Externes Reporting braucht einen DNS-Record bei der Empfänger-Domain: ihre-domain.de._report._dmarc.monitoring-service.com TXT "v=DMARC1". Die meisten DMARC-Dienste konfigurieren diesen Record automatisch.

DMARC ohne SPF und DKIM aktiviert

Problem: DMARC wird konfiguriert, aber SPF und/oder DKIM fehlen oder sind fehlerhaft. DMARC prüft Alignment gegen SPF und DKIM — ohne beide kann DMARC keine Authentifizierung durchführen.

Lösung: Vor DMARC-Deployment: SPF (Kapitel 02) und DKIM (Kapitel 03) korrekt konfigurieren und verifizieren. Test-E-Mail an Gmail senden und Header prüfen: beide müssen PASS zeigen.

DMARC-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerPostfixExim

Wie steht Ihre Domain bei DMARC?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten