DMARC für Google Workspace einrichten
Schritt-für-Schritt-Anleitung: DMARC-Record beim DNS-Provider anlegen, Alignment mit Gmail prüfen, Google Postmaster Tools für Reporting nutzen und BIMI-Voraussetzung schaffen.
DMARC für Google Workspace (Gmail)
Google Workspace signiert ausgehende E-Mails automatisch mit DKIM unter Ihrer Domain, sofern DKIM im Admin Center aktiviert ist — das DKIM-Alignment steht damit bereits. Der DMARC-Record wird beim DNS-Provider angelegt, nicht in der Google Admin Console. Ein entscheidender Vorteil: Google unterstützt BIMI (Brand Indicators for Message Identification), das Ihr Markenlogo direkt im Gmail-Posteingang anzeigt — Voraussetzung ist DMARC mit p=quarantine oder p=reject.
Mit 35 von 165 Punkten ist DMARC der gewichtigste Faktor im Wolf-Agents Email Security Check. Die Google Postmaster Tools ergänzen den Wolf-Agents Scanner durch Gmail-spezifische DMARC-Bestehensraten und Reputationsdaten — eine Kombination, die für die Enforcement-Vorbereitung ideal ist. Für NIS2-pflichtige Unternehmen mit Google Workspace dokumentiert ein korrekt konfigurierter DMARC-Record die Umsetzung technischer Schutzmaßnahmen nach §38 BSIG.
Hardening-Pfad: Nach DMARC mit p=none folgt der schrittweise Wechsel zu p=quarantine und p=reject — siehe DMARC-Enforcement für Google Workspace.
DMARC-Record im DNS anlegen
Erstellen Sie den TXT-Record bei Ihrem DNS-Provider — nicht in der Google Admin Console. Google selbst verwaltet keine DMARC-Records für Ihre Domain.
_dmarc.ihre-domain.de. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"Ein häufiger Fehler: Admins suchen die DMARC-Konfiguration in der Google Admin Console unter Apps → Google Workspace → Gmail. DMARC wird ausschließlich über DNS beim Domain-Registrar konfiguriert. Google bietet lediglich eine Dokumentation unter support.google.com/a/answer/2466580.
Alignment sicherstellen
Google Workspace stellt DKIM-Alignment automatisch sicher, wenn Sie DKIM in der Admin Console aktiviert haben (Kapitel 03). Gmail signiert mit d=ihre-domain.de. SPF-Alignment wird über den korrekten SPF-Record sichergestellt.
Drittanbieter-Integration prüfen
- Listen Sie alle Dienste auf, die E-Mails über Ihre Domain senden (Newsletter, CRM, Support)
- Aktivieren Sie bei jedem Dienst Custom-DKIM-Signierung mit
d=ihre-domain.de - Google Postmaster Tools zeigen DMARC-Fehlschläge pro Absender-IP — nutzen Sie diese Daten
- Salesforce-Sonderfall: SPF-Alignment schlägt konstruktionsbedingt fehl — nur DKIM-Alignment funktioniert
DMARC-Record verifizieren
Nach dem Anlegen des DNS-Records prüfen Sie die Propagierung. Senden Sie zusätzlich eine Test-E-Mail an eine Gmail-Adresse und prüfen Sie unter „Original anzeigen“ den DMARC-Status.
# Linux / macOS
dig _dmarc.ihre-domain.de TXT +short
# Windows (PowerShell)
Resolve-DnsName -Name _dmarc.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings
# Erwartete Ausgabe:
# "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"
# Gmail-Header prüfen (Original anzeigen):
# dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=ihre-domain.deValidieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft DMARC auf 35 Punkte inklusive Policy, Reporting und Alignment. Ergänzend zeigen die Google Postmaster Tools die DMARC-Bestehensrate und Domain-Reputation speziell für Gmail-Empfänger — eine wertvolle Zusatzperspektive für die Enforcement-Vorbereitung.
Reporting mit Google Postmaster Tools
Die Google Postmaster Tools (postmaster.google.com) bieten kostenlose DMARC-Analyse speziell für Gmail-Empfänger: DMARC-Bestehensraten, Domain-Reputation und Zustellbarkeitsdaten. Kombinieren Sie die Postmaster Tools mit einem DMARC-Reporting-Tool für die vollständige Sicht.
Monitoring-Phase (2-4 Wochen)
- Richten Sie eine dedizierte Mailbox für
dmarc-reports@ihre-domain.deein - Registrieren Sie Ihre Domain in den Google Postmaster Tools
- Nutzen Sie zusätzlich dmarcian oder Postmark DMARC für die Aggregate-Report-Analyse
- Identifizieren Sie alle legitimen Absender in den Reports
- Erst nach vollständiger Authentifizierung aller Dienste: Policy verschärfen (Kapitel 05)
Google unterstützt BIMI (Brand Indicators for Message Identification) — Ihr Markenlogo direkt im Gmail-Posteingang. Voraussetzung: DMARC mit mindestens p=quarantine. Ein zusätzlicher Anreiz, die Enforcement-Phase abzuschließen.
Häufige Fehler bei Google Workspace
Die folgenden drei Fehler treten bei Google-Workspace-DMARC-Konfigurationen besonders häufig auf.
DMARC-Record in der Google Admin Console gesucht
Problem: Admins suchen die DMARC-Konfiguration in der Google Admin Console unter Apps → Google Workspace → Gmail → Authentifizierung. Dort finden sich nur DKIM- und SPF-Hinweise — kein DMARC-Setup.
Lösung: DMARC wird ausschließlich über DNS beim Domain-Registrar konfiguriert. In der Google Admin Console gibt es keine DMARC-Verwaltung.
DKIM nicht aktiviert vor DMARC-Deployment
Problem: DMARC wird mit p=quarantine aktiviert, aber DKIM ist in der Google Admin Console nicht eingeschaltet. Gmail signiert dann mit einer Google-eigenen Domain — DKIM-Alignment schlägt fehl.
Lösung: Vor DMARC-Deployment: DKIM in der Admin Console unter Apps → Google Workspace → Gmail → Authentifizierung aktivieren und den DNS-Record veröffentlichen (DKIM-Anleitung).
Forensic Reports an externe Dienste konfiguriert
Problem: Google sendet grundsätzlich keine Forensic Reports (ruf=) — nur Aggregate Reports (rua=). Admins wundern sich, warum keine detaillierten Fehlerberichte eintreffen.
Lösung: Verlassen Sie sich auf Aggregate Reports für die Monitoring-Phase. Forensic Reports sind bei Google nicht verfügbar und aus Datenschutzgründen (TTDSG §3) ohnehin problematisch bei externen Diensten.
Wie steht Ihre Domain bei DMARC?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.