DMARC für Infomaniak einrichten
Schritt-für-Schritt-Anleitung: DMARC-Record im Infomaniak Manager via Global Security Wizard anlegen, Alignment mit SPF und zentralem DKIM verifizieren und Aggregate-Reporting per rua einrichten — mit Schweizer DSG-Hinweis.
DMARC für Infomaniak (Schweiz Cloud + Mail Service)
Infomaniak dokumentiert im Global Security Tool zwei DMARC-Setup-Modi: einen Simple-Modus mit „Infomaniak-Empfehlung“ (Quarantine bzw. Reject 100 %) und einen Advanced-Modus für manuelle Konfiguration. DMARC orchestriert SPF (v=spf1 include:spf.infomaniak.ch -all) und DKIM (Infomaniak-zentral verwalteter Schlüssel) zu einer durchsetzbaren Policy — beide nutzen die Header-From-Domain und erfüllen Alignment automatisch.
Als Pflichtmaßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung), BSI TR-03182 und DSGVO Art. 32 ist DMARC die übergeordnete Sender-Authentifizierung. Schweizer Datenschutz: Infomaniak untersteht dem revDSG Art. 8 (Datensicherheit) — Schweizer Datensouveränität mit 100 % CH-Rechenzentren ist ein USP. Infomaniak bietet kein natives DMARC-Reporting-Dashboard — die rua-Reports landen in einem normalen Postfach. Der Wolf-Agents Email Security Check verifiziert die DMARC-Syntax, validiert die rua-Empfänger-Domain per DNS-Authorization (RFC 7489 § 7.1), prüft das DKIM-Header-Alignment, erkennt den fehlenden Subdomain-Override (sp=-Tag) als Angriffsvektor für Echospoofing und SubdoMailing und meldet Drift zwischen p=-Policy und Infomaniak-Konfiguration.
Hardening-Pfad: Nach DMARC mit p=none folgt der schrittweise Wechsel zu p=quarantine und p=reject — siehe DMARC-Enforcement für Infomaniak. Bedrohungs-Cluster: Ein DMARC-Record mit p=reject stoppt Business Email Compromise (FBI IC3 2024: 2,77 Mrd. USD Schaden) und CEO-Phishing mit Ihrer Marke beim Empfänger noch vor der Zustellung.
DMARC im Global Security Wizard öffnen
Das Infomaniak Global Security Tool bietet einen DMARC-Wizard mit zwei Modi — Simple-Modus übernimmt die Infomaniak-Empfehlung mit einem Klick, Advanced-Modus erlaubt manuelle Anpassung aller Tags (p, sp, pct, rua, ruf, fo).
Menüpfad im Infomaniak Manager
- Im Infomaniak Manager auf Mail Service Management navigieren
- Den Namen Ihres Mail Service anklicken
- In der linken Seitenleiste Global Security auswählen
- Den Tab DMARC öffnen
- Simple-Modus wählen für Infomaniak-Empfehlung oder Advanced-Modus für manuelle Konfiguration
- Bei Infomaniak-DNS: Direkt anwenden — bei externer DNS: angezeigten Wert beim externen Provider als TXT-Record mit Host
_dmarceintragen
DMARC-Record anlegen (Simple oder Advanced)
Empfehlung von Wolf-Agents bei Neueinrichtung: Im Advanced-Modus mit p=none starten, 2-4 Wochen Aggregate-Reports sammeln und alle legitimen Sender identifizieren. Erst danach auf die Infomaniak-Empfehlung p=quarantine bzw. p=reject mit pct=100 wechseln.
Host: _dmarc
Typ: TXT
Wert: v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.ch; fo=1
TTL: 3600 (1 Stunde)Im Simple-Modus präsentiert Infomaniak laut Doku die Policy „Reject“ zu 100 % als empfohlene Konfiguration — Mails, die SPF/DKIM-Prüfung nicht bestehen, werden vom empfangenden Server direkt abgelehnt. Eine schwächere Alternative ist „Quarantine“ zu 100 % (Mails landen im Spam-Ordner). Wolf-Agents empfiehlt, die Empfehlung NICHT direkt anzuwenden — starten Sie mit p=none für 2-4 Wochen Beobachtung. Quelle: infomaniak.com/.../secure-mail-traffic-with-spf-dmarc (abgerufen 2026-05-14).
Alignment mit SPF und DKIM verifizieren
DMARC verlangt, dass entweder SPF oder DKIM (mindestens eine der beiden) aligned ist — also dieselbe Domain wie der Header-From-Adresse autorisiert. Bei Infomaniak-Mail-Service passt das automatisch, weil Infomaniak mit der Header-From-Domain als Return-Path versendet und mit zentral verwaltetem DKIM-Schlüssel der jeweiligen Domain signiert.
# DMARC-Record prüfen
dig _dmarc.ihre-domain.ch TXT +short
# SPF-Include prüfen
dig TXT ihre-domain.ch +short
# Erwartet: "v=spf1 include:spf.infomaniak.ch -all"
# Infomaniak-SPF-Policy auflösen
dig TXT spf.infomaniak.ch +short
# DKIM-Public-Key prüfen — Selector aus Test-Mail-Header übernehmen
dig TXT <infomaniak-selector>._domainkey.ihre-domain.ch +short
Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — er prüft DMARC-Syntax, rua-Authorization, Alignment-Modi (aspf=/adkim=) und meldet den fehlenden sp=-Subdomain-Override als Spoofing-Risiko.
Aggregate-Reporting einrichten
DMARC sendet täglich XML-Aggregate-Reports an die in rua= angegebene Adresse. Diese Reports zeigen jeden Sender, der mit Ihrer Domain als Header-From E-Mails versendet hat — autorisiert oder gefälscht. Infomaniak bietet kein DMARC-Dashboard — die XML-Reports landen in einem normalen Postfach und sind ohne Parser schwer lesbar.
Zwei Optionen für Reporting
- Option A — Infomaniak Mail Service: Im Manager eine dedizierte Adresse
dmarc-reports@ihre-domain.chanlegen und die XML-Reports manuell oder per Skript parsen. Aufwendig, aber kostenlos. - Option B — externes DMARC-Tool: Service wie dmarcian, Postmark DMARC oder EasyDMARC nutzen.
rua=mailto:reports@dmarc-tool.comsetzen und über das jeweilige Dashboard auswerten. Komfortabler, aber kostenpflichtig. - Beobachtungsfenster: 2-4 Wochen Reports sammeln, dann zur Enforcement-Roadmap (p=quarantine → p=reject) übergehen
Wenn Sie ein externes DMARC-Tool (dmarcian, Postmark DMARC, EasyDMARC) nutzen, muss der Reporting-Anbieter laut RFC 7489 § 7.1 explizit autorisiert werden — sonst lehnen viele empfangende Server die Cross-Domain-Reports ab und Sie sehen weniger Daten als erwartet. Konkret muss bei der Reporting-Domain ein TXT-Record ihre-domain.ch._report._dmarc.<reporting-domain> IN TXT "v=DMARC1" existieren. Wolf-Agents prüft die rua-Authorization automatisch und meldet fehlende Cross-Domain-Records. Quelle: datatracker.ietf.org/doc/html/rfc7489 § 7.1 (abgerufen 2026-05-14).
Bei Infomaniak unterscheidet sich das Kosten-Modell für DMARC-Setups je nach Produkt: Mail Plus wird pro Adresse abgerechnet (mehrere Mailboxen für DMARC-Auswertung kosten extra) — wer ein dediziertes dmarc-reports@-Postfach für Aggregate-Reports braucht, sollte das Tarif-Modell vorab durchrechnen. Webhosting enthält den integrierten Mail Service ohne Adressen-Cap bzw. mit hohem Cap und ist für 3-10 Postfächer günstiger. Wer nur den DMARC-rua-Empfänger separat braucht (ohne aktive Mail-Adresse), kann die Aggregate-Reports auch direkt zu einem externen DMARC-Tool wie dmarcian senden lassen — dann reicht ein einziges Postfach im bestehenden Plan. Für KMU mit 3-25 Postfächern: Webhosting-Bundle als günstigere Option prüfen, weil bei Mail Plus pro Adresse abgerechnet wird.
Häufige Fehler bei Infomaniak
Diese drei Fehler treten bei Infomaniak-DMARC-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass DMARC vom Empfänger als ungültig gewertet wird oder Reporting ins Leere läuft.
Direkt Simple-Modus Reject 100 % aktiviert
Problem: Im Global Security Tool wird der Simple-Modus mit „Reject 100 %“ direkt angewendet — ohne vorherige Beobachtungsphase mit p=none. Legitime Sender wie Cron-Skripte, alte Marketing-Tools oder Helpdesk-Systeme, die noch nicht im SPF-Record stehen, werden sofort von allen Empfängern abgewiesen. Mails sind verloren, bevor die ersten Aggregate-Reports einlaufen.
Lösung: Statt Simple-Modus initial den Advanced-Modus mit p=none; rua=mailto:dmarc-reports@ihre-domain.ch verwenden. 2-4 Wochen Reports sammeln, alle legitimen Sender im SPF ergänzen, dann zu p=quarantine; pct=10 wechseln und schrittweise erhöhen — siehe Enforcement-Roadmap.
rua-Postfach existiert nicht oder bouncet
Problem: Im rua=mailto:dmarc-reports@ihre-domain.ch ist eine Adresse angegeben, für die im Infomaniak Mail Service kein Postfach existiert. DMARC-Reports werden von empfangenden Servern zugestellt, aber als 5.1.1 unknown user abgewiesen. Die wertvollen XML-Reports gehen verloren — und der Postmaster der absendenden Domain sieht permanente Bounces.
Lösung: Vor der Aktivierung des DMARC-Records im Infomaniak Manager unter Mail Service Management → Mailboxes das Postfach dmarc-reports@ anlegen — oder einen Catch-All einrichten. Bei externen Reporting-Tools die exakt vom Tool vorgegebene Adresse verwenden und nach 24 Stunden den Test-Mail-Empfang verifizieren.
DNS-Zone bei externem Registrar — Manager-Status irreführend
Problem: Im Infomaniak Global Security wird DMARC als „konfiguriert“ angezeigt, weil die Wizard-Werte gesetzt wurden — Infomaniak kann den TXT-Record aber nicht in die externe DNS-Zone schreiben. Der DMARC-Record fehlt tatsächlich beim DNS-Provider; Empfänger sehen dmarc=none.
Lösung: Im Global Security DMARC-Tab den von Infomaniak vorgegebenen DMARC-Wert auslesen und manuell beim externen DNS-Provider als TXT-Record mit Hostname _dmarc eintragen. Mit dig _dmarc.ihre-domain.ch TXT +short nach 10 Minuten verifizieren.
NIS2, BSI TR-03108, DSGVO Art. 32 und Schweizer DSG: DMARC bei Infomaniak
DMARC ist die übergeordnete Sender-Authentifizierungs-Policy für eine Domain — sie bindet SPF- und DKIM-Ergebnisse zu einer durchsetzbaren Anweisung an Empfänger. NIS2 Art. 21 Abs. 2 lit. h verlangt Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung. BSI TR-03108 nennt DMARC als Mindestanforderung für sicheren E-Mail-Transport. DSGVO Art. 32 fordert technische Maßnahmen zur Sicherheit der Verarbeitung — eine durchsetzbare Sender-Policy ist ein direkter Schutz personenbezogener Daten vor Identitätsmissbrauch der Domain. Schweizer Datenschutz: revDSG Art. 8 fordert geeignete technische Maßnahmen zur Datensicherheit, analog DSGVO Art. 32. Bei Infomaniak-Mail-Service ist DMARC-Alignment automatisch gegeben — Infomaniak versendet mit der Header-From-Domain und signiert mit zentralem DKIM. Wolf-Agents empfiehlt nach 2-4 Wochen p=none-Beobachtung den Wechsel zu p=quarantine mit pct=10 und schrittweise Erhöhung auf die Infomaniak-Empfehlung p=reject; pct=100 — siehe Enforcement-Roadmap. Der Wolf-Agents Email Security Check bewertet DMARC mit bis zu 22 Punkten der 165-Punkte-Analyse.
Wie steht Ihre Domain bei DMARC?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.