DMARC für Hostpoint einrichten

Schritt-für-Schritt-Anleitung: DMARC-Aktivierung im Hostpoint Control Panel, automatische Konfiguration ab August 2024, Alignment mit SPF-Redirect und zentralem DKIM-Schlüssel verifizieren, Aggregate-Reporting per rua einrichten — mit Schweizer DSG-Hinweis.

DMARC prüfen Plattform entdecken
Hostpoint · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 14. Mai 2026

DMARC für Hostpoint (Schweiz Managed Webhosting)

Hostpoint dokumentiert auf support.hostpoint.ch: „Für Domains, die ab August 2024 einem Webhosting oder einer Cloud Office-Gruppe zugewiesen werden, wird DMARC automatisch aktiviert.“ Bei älteren Domains erfolgt die Aktivierung im Hostpoint Control Panel mit einem Klick — Hostpoint trägt den DMARC-TXT-Record in die verwaltete DNS-Zone ein. DMARC orchestriert SPF (v=spf1 redirect=spf.mail.hostpoint.ch) und DKIM (Hostpoint-zentral verwalteter Schlüssel) zu einer durchsetzbaren Policy — beide nutzen die Header-From-Domain und erfüllen Alignment automatisch.

Als Pflichtmaßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung), BSI TR-03182 und DSGVO Art. 32 ist DMARC die übergeordnete Sender-Authentifizierung. Schweizer Datenschutz: Hostpoint untersteht dem revDSG Art. 8 (Datensicherheit). Hostpoint bietet kein natives DMARC-Reporting-Dashboard — die rua-Reports landen in einem normalen Postfach. Der Wolf-Agents Email Security Check verifiziert die DMARC-Syntax, validiert die rua-Empfänger-Domain per DNS-Authorization (RFC 7489 § 7.1), prüft das DKIM-Header-Alignment, erkennt den fehlenden Subdomain-Override (sp=-Tag) als Angriffsvektor für Echospoofing und SubdoMailing und meldet Drift zwischen p=-Policy und Hostpoint-Konfiguration.

Hardening-Pfad: Nach DMARC mit p=none folgt der schrittweise Wechsel zu p=quarantine und p=reject — siehe DMARC-Enforcement für Hostpoint. Bedrohungs-Cluster: Ein DMARC-Record mit p=reject stoppt Business Email Compromise (FBI IC3 2024: 2,77 Mrd. USD Schaden) und CEO-Phishing mit Ihrer Marke beim Empfänger noch vor der Zustellung.

Ausführliche Einführung in DMARC

1 Schritt 1 von 4

DMARC-Status prüfen — bereits automatisch aktiv?

Bei Domains, die seit August 2024 einem Webhosting oder einer Cloud Office-Gruppe bei Hostpoint zugewiesen wurden, ist DMARC laut Hostpoint-Doku automatisch aktiviert. Prüfen Sie zuerst, ob das auf Ihre Domain zutrifft.

DNS-Prüfung des aktuellen DMARC-Status Hostpoint 
# DMARC-Status im DNS prüfen
dig _dmarc.ihre-domain.ch TXT +short

# Falls Hostpoint automatisch eingerichtet hat (ab August 2024):
# Ein vorgegebener DMARC-Record erscheint
# Falls leer: weiter zu Schritt 2 (manuelle Aktivierung)
2 Schritt 2 von 4

DMARC-Record im Hostpoint Control Panel anlegen

Für ältere Domains aktivieren Sie DMARC mit einem Klick im HCP. p=none ist die korrekte Start-Policy: keine Mail wird blockiert, alle Aggregate-Reports laufen für 2-4 Wochen ein, danach folgt die Verschärfung.

Menüpfad im Hostpoint Control Panel

  1. Anmelden mit Ihrer Hostpoint ID
  2. Im oberen Menü auf Domains klicken
  3. Gewünschte Domain auswählen
  4. Im Bereich E-Mail-Sicherheit auf E-Mail-Sicherheit konfigurieren klicken
  5. DMARC aktivieren — Hostpoint trägt den TXT-Record automatisch in die verwaltete DNS-Zone ein
  6. Bei externer DNS-Zone: den von Hostpoint angezeigten Wert manuell beim externen Provider eintragen
DMARC-Record Phase Beobachtung (manuell) Hostpoint 
Host:        _dmarc
Typ:         TXT
Wert:        v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.ch; fo=1
TTL:         3600 (1 Stunde)
3 Schritt 3 von 4

Alignment mit SPF und DKIM verifizieren

DMARC verlangt, dass entweder SPF oder DKIM (mindestens eine der beiden) aligned ist — also dieselbe Domain wie der Header-From-Adresse autorisiert. Bei Hostpoint-Webhosting passt das automatisch, weil Hostpoint mit der Header-From-Domain als Return-Path und mit zentral verwaltetem DKIM-Schlüssel der jeweiligen Domain signiert.

Verifikation im Terminal / PowerShell Verifikation 
# DMARC-Record prüfen
dig _dmarc.ihre-domain.ch TXT +short

# SPF-Redirect prüfen
dig TXT ihre-domain.ch +short
# Erwartet: "v=spf1 redirect=spf.mail.hostpoint.ch"

# Hostpoint-SPF-Policy auflösen
dig TXT spf.mail.hostpoint.ch +short

# DKIM-Public-Key prüfen — Selector aus Test-Mail-Header übernehmen
dig TXT <hostpoint-selector>._domainkey.ihre-domain.ch +short

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — er prüft DMARC-Syntax, rua-Authorization, Alignment-Modi (aspf=/adkim=) und meldet den fehlenden sp=-Subdomain-Override als Spoofing-Risiko.

4 Schritt 4 von 4

Aggregate-Reporting einrichten

DMARC sendet täglich XML-Aggregate-Reports an die in rua= angegebene Adresse. Diese Reports zeigen jeden Sender, der mit Ihrer Domain als Header-From E-Mails versendet hat — autorisiert oder gefälscht. Hostpoint bietet kein DMARC-Dashboard — die XML-Reports landen in einem normalen Postfach und sind ohne Parser schwer lesbar.

Zwei Optionen für Reporting

  1. Option A — Hostpoint-Postfach: Im HCP-Mailpanel eine dedizierte Adresse dmarc-reports@ihre-domain.ch anlegen und die XML-Reports manuell oder per Skript parsen (z.B. mit dmarc-parser CLI). Aufwendig, aber kostenlos.
  2. Option B — externes DMARC-Tool: Service wie dmarcian, Postmark DMARC oder EasyDMARC nutzen. rua=mailto:reports@dmarc-tool.com setzen und über das jeweilige Dashboard auswerten. Komfortabler, aber kostenpflichtig.
  3. Beobachtungsfenster: 2-4 Wochen Reports sammeln, dann zur Enforcement-Roadmap (p=quarantine → p=reject) übergehen
rua-Authorization bei Cross-Domain-Reporting-Tools (Information-Gain)

Wenn Sie ein externes DMARC-Tool (dmarcian, Postmark DMARC, EasyDMARC) nutzen, muss der Reporting-Anbieter laut RFC 7489 § 7.1 explizit autorisiert werden — sonst lehnen viele empfangende Server die Cross-Domain-Reports ab und Sie sehen weniger Daten als erwartet. Konkret muss bei der Reporting-Domain ein TXT-Record ihre-domain.ch._report._dmarc.<reporting-domain> IN TXT "v=DMARC1" existieren. Beispiel für dmarcian: ihre-domain.ch._report._dmarc.dmarcian.com. Die meisten Anbieter dokumentieren den exakten Record im Onboarding. Wolf-Agents prüft die rua-Authorization automatisch und meldet fehlende Cross-Domain-Records. Quelle: datatracker.ietf.org/doc/html/rfc7489 § 7.1 (abgerufen 2026-05-14).

Externe DMARC-Tools im Vergleich (Information-Gain)

Da Hostpoint kein natives DMARC-Dashboard bietet, übernehmen externe Tools die Aggregate-Report-Auswertung. dmarcian beschreibt sich offiziell als „DMARC Management Platform“ mit Domain-Übersicht, Source-Identifikation, Alerting und 30-Tage-Trial — kostenlose Tools wie DMARC Inspector, SPF Surveyor, DKIM Validator gibt es zusätzlich (Quelle: dmarcian.com, abgerufen 2026-05-14). Postmark DMARC ist ein kostenfreier Monitoring-Dienst von Postmark, ohne Auto-Remediation. EasyDMARC bietet MSP-Programm mit Multi-Domain-Verwaltung. Bei kleineren Hostpoint-Setups (1-3 Domains) reicht das eigene HCP-Mailpostfach mit dmarc-parser CLI — ab 5+ Domains lohnt der Wechsel auf ein Tool mit Dashboard.

Häufige Fehler bei Hostpoint

Diese drei Fehler treten bei Hostpoint-DMARC-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass DMARC vom Empfänger als ungültig gewertet wird oder Reporting ins Leere läuft.

DMARC aktiviert ohne aktivierten DKIM

Problem: Bei einer älteren Hostpoint-Domain wurde DMARC manuell aktiviert, aber DKIM bleibt auf „inaktiv“. DMARC verlangt Alignment mit mindestens einem von SPF oder DKIM — ohne DKIM bleibt nur SPF-Alignment, was bei Weiterleitungen häufig bricht. Die DMARC-Reports zeigen viele dmarc=fail-Einträge, obwohl die Mails legitim sind.

Lösung: Vor der DMARC-Aktivierung sicherstellen, dass auch DKIM im HCP unter E-Mail-Sicherheit konfigurieren aktiv ist (siehe DKIM für Hostpoint). Beide gemeinsam ergeben den maximalen Alignment-Schutz.

rua-Postfach existiert nicht oder bouncet

Problem: Im rua=mailto:dmarc-reports@ihre-domain.ch ist eine Adresse angegeben, für die im Hostpoint Mail-Panel kein Postfach existiert. DMARC-Reports werden von empfangenden Servern zugestellt, aber als 5.1.1 unknown user abgewiesen. Die wertvollen XML-Reports gehen verloren — und der Postmaster der absendenden Domain (z.B. Google, Microsoft) sieht permanente Bounces und stoppt nach mehreren Tagen den Versand.

Lösung: Vor der Aktivierung des DMARC-Records im Hostpoint Mail-Panel das Postfach dmarc-reports@ anlegen — oder einen Catch-All einrichten. Bei externen Reporting-Tools die exakt vom Tool vorgegebene Adresse verwenden und nach 24 Stunden den Test-Mail-Empfang verifizieren.

DNS-Zone bei externem Registrar — HCP-Aktivierung wirkungslos

Problem: Domain bei Hostpoint zur Mail-Nutzung, DNS-Zone bei externem Provider. Im HCP wird DMARC „aktiviert“ angezeigt, weil die Mail-Sicherheits-Schalter im HCP gesetzt sind — Hostpoint kann den TXT-Record aber nicht in die externe DNS-Zone schreiben. Der DMARC-Record fehlt tatsächlich; Empfänger sehen dmarc=none.

Lösung: Im HCP unter E-Mail-Sicherheit konfigurieren den von Hostpoint vorgegebenen DMARC-Wert auslesen und manuell beim externen DNS-Provider als TXT-Record mit Hostname _dmarc eintragen. Mit dig _dmarc.ihre-domain.ch TXT +short nach 10 Minuten verifizieren.

Microsoft-Reject Mai 2025 und PCI DSS v4.0 als Treiber (Information-Gain-Welle 2)

Seit Mai 2025 setzt Microsoft bei Outlook.com und Microsoft 365 für Massenversender (≥ 5000 Mails/Tag) die p=reject-Empfehlung von Google und Yahoo durch — Hostpoint-Kunden, die Newsletter, Mahnungen oder Bestellbestätigungen an Microsoft-Empfänger senden, riskieren ohne durchgesetzte DMARC-Policy Mail-Bounces. Parallel verlangt PCI DSS v4.0 (seit 31. März 2025 verpflichtend) Anti-Phishing-Mechanismen einschließlich DMARC für Kreditkarten-verarbeitende Unternehmen. Hostpoint-Kunden im E-Commerce und in der Finanzbranche treffen damit gleich zwei Vorgaben — DMARC mit p=quarantine reicht nicht mehr, p=reject ist der neue Praxis-Standard. Wolf-Agents-Empfehlung: parallel zur Hostpoint-Auto-Aktivierung die DMARC-Enforcement-Roadmap einplanen. Quelle: ad-hoc-news.de „E-Mail-Sicherheit 2026: SPF, DKIM, DMARC sind Pflicht für alle“ (abgerufen 2026-05-14).

NIS2, BSI TR-03108, DSGVO Art. 32 und Schweizer DSG: DMARC bei Hostpoint

DMARC ist die übergeordnete Sender-Authentifizierungs-Policy für eine Domain — sie bindet SPF- und DKIM-Ergebnisse zu einer durchsetzbaren Anweisung an Empfänger. NIS2 Art. 21 Abs. 2 lit. h verlangt Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung — DMARC ist die kryptografisch verankerte Sender-Policy. BSI TR-03108 nennt DMARC als Mindestanforderung für sicheren E-Mail-Transport. DSGVO Art. 32 fordert technische Maßnahmen zur Sicherheit der Verarbeitung — eine durchsetzbare Sender-Policy ist ein direkter Schutz personenbezogener Daten vor Identitätsmissbrauch der Domain. Schweizer Datenschutz: revDSG Art. 8 fordert geeignete technische Maßnahmen zur Datensicherheit, analog DSGVO Art. 32. Bei Hostpoint-Webhosting ist DMARC-Alignment automatisch gegeben, weil Hostpoint mit der Header-From-Domain versendet und mit zentralem DKIM signiert. Wolf-Agents empfiehlt nach 2-4 Wochen p=none-Beobachtung den Wechsel zu p=quarantine mit pct=10 und schrittweise Erhöhung — siehe Enforcement-Roadmap. Der Wolf-Agents Email Security Check bewertet DMARC mit bis zu 22 Punkten der 165-Punkte-Analyse.

DMARC-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerNetcupInfomaniakWorld4YouProton MailPostfixEximMailcowGenerisch

Wie steht Ihre Domain bei DMARC?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten