DMARC für Microsoft 365 einrichten
Schritt-für-Schritt-Anleitung: DMARC-Record im DNS anlegen, Alignment mit Exchange Online prüfen, Aggregate Reports einrichten und den Weg zur Enforcement-Policy vorbereiten.
DMARC für Microsoft 365 (Exchange Online)
Microsoft 365 handhabt SPF- und DKIM-Alignment automatisch korrekt, wenn beide Protokolle für Ihre Domain konfiguriert sind — der Return-Path verwendet Ihre Domain und die DKIM-Signatur nutzt Ihre benutzerdefinierte Domain. DMARC selbst wird ausschließlich über DNS konfiguriert, nicht im Exchange Admin Center. Eine häufige Verwechslung: Die Anti-Phishing-Einstellungen im Defender Portal steuern nur, wie M365 mit eingehenden E-Mails umgeht — nicht die ausgehende DMARC-Policy.
DMARC ist mit 35 von 165 Punkten der gewichtigste Faktor im Wolf-Agents Email Security Check. Für NIS2-pflichtige Unternehmen dokumentiert ein korrekt konfigurierter DMARC-Record die proaktive Absicherung der E-Mail-Kommunikation — ein prüfbarer Nachweis bei Audits und ein Schutz gegen die persönliche Geschäftsführerhaftung nach §38 BSIG.
Hardening-Pfad: Nach DMARC mit p=none folgt der schrittweise Wechsel zu p=quarantine und p=reject — siehe DMARC-Enforcement für Microsoft 365.
DMARC-Record im DNS anlegen
Erstellen Sie einen TXT-Record bei Ihrem DNS-Provider. Microsoft 365 benötigt keine Konfiguration im Admin Center — DMARC wird ausschließlich über DNS gesteuert.
_dmarc.ihre-domain.de. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"Wo den Record anlegen?
- Erstellen Sie den TXT-Record bei Ihrem DNS-Provider (nicht im M365 Admin Center)
- Host/Name:
_dmarc(Ihr Provider ergänzt die Domain automatisch) - Wert:
v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1 - TTL: 3600 (1 Stunde) oder Standard-Wert
Für die MOERA-Domain (tenantname.onmicrosoft.com) kann DMARC über das M365 Admin Center konfiguriert werden — das ist die einzige Ausnahme. Für alle eigenen Domains erfolgt die DMARC-Konfiguration ausschließlich über DNS.
Alignment sicherstellen
Microsoft 365 handhabt SPF- und DKIM-Alignment automatisch korrekt — vorausgesetzt, Sie haben SPF (Kapitel 02) und DKIM (Kapitel 03) für Ihre Domain konfiguriert. Der Return-Path verwendet Ihre Domain (SPF-Alignment), und die DKIM-Signatur nutzt Ihre benutzerdefinierte Domain (DKIM-Alignment).
Alignment bei Drittanbietern prüfen
- Nutzen Sie SendGrid, Mailchimp oder HubSpot neben M365? Dann muss DKIM-Alignment für jeden Dienst separat konfiguriert werden
- Aktivieren Sie Custom-DKIM-Signierung bei jedem Drittanbieter mit
d=ihre-domain.de - SPF-Alignment allein reicht bei Drittanbietern oft nicht — der Return-Path weicht ab
- DKIM-Alignment ist der Goldstandard: überlebt Weiterleitungen und funktioniert dienstübergreifend
Die Einstellungen unter Email & collaboration → Policies → Anti-phishing im Defender Portal steuern nur, wie M365 eingehende E-Mails behandelt, die DMARC nicht bestehen. Ihre eigene DMARC-Policy (der DNS-Record) ist davon unabhängig.
DMARC-Record verifizieren
Nach dem Anlegen des DNS-Records prüfen Sie die korrekte Propagierung. DNS-Änderungen brauchen je nach Provider 5 Minuten bis 24 Stunden.
# Linux / macOS
dig _dmarc.ihre-domain.de TXT +short
# Windows (PowerShell)
Resolve-DnsName -Name _dmarc.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings
# Erwartete Ausgabe:
# "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft DMARC auf 35 Punkte inklusive Policy-Bewertung, Reporting und Alignment-Konfiguration.
Reporting einrichten und auswerten
Microsoft 365 sendet seit März 2023 DMARC Aggregate Reports an die in rua= angegebene Adresse. Es gibt jedoch kein DMARC Reporting Dashboard im M365 Defender Portal — für die Analyse benötigen Sie ein externes Tool.
Reports auswerten (2-4 Wochen)
- Richten Sie eine dedizierte Mailbox für
dmarc-reports@ihre-domain.deein - Warten Sie mindestens 2-4 Wochen im Monitoring-Modus (
p=none) - Nutzen Sie dmarcian, Postmark DMARC oder EasyDMARC zur Auswertung
- Identifizieren Sie alle legitimen Absender — prüfen Sie SPF/DKIM für jeden Dienst
- Erst wenn alle Dienste korrekt authentifiziert sind: Policy verschärfen (Kapitel 05)
Häufige Fehler bei Microsoft 365
Die folgenden drei Fehler treten bei Microsoft-365-DMARC-Konfigurationen besonders häufig auf. Jeder einzelne kann dazu führen, dass DMARC unwirksam ist oder falsch interpretiert wird.
Verwechslung Defender Anti-Phishing vs. DMARC-Record
Problem: Admins konfigurieren die DMARC-Einstellungen im Defender Portal unter Anti-Phishing und glauben, damit sei DMARC aktiviert. Diese Einstellungen betreffen nur die Behandlung eingehender E-Mails — Ihre eigene Domain bleibt ungeschützt.
Lösung: Den DMARC-TXT-Record unter _dmarc.ihre-domain.de beim DNS-Provider anlegen. Das Defender Portal steuert nur die eingehende DMARC-Verarbeitung.
Drittanbieter ohne Custom-DKIM-Signierung
Problem: Newsletter-Tools wie Mailchimp oder HubSpot senden mit eigener DKIM-Domain (d=mcsv.net). M365 selbst hat korrektes Alignment, aber der Drittanbieter nicht — DMARC schlägt für Newsletter fehl.
Lösung: Bei jedem Drittanbieter Custom-DKIM-Signierung aktivieren (d=ihre-domain.de). DMARC-Reports im Monitoring-Modus zeigen diese Fehlschläge sofort.
DMARC-Record für MOERA-Domain vergessen
Problem: Die Standard-Domain tenantname.onmicrosoft.com (MOERA) hat keinen DMARC-Record. Angreifer können diese Domain für Spoofing nutzen, wenn sie ungeschützt bleibt.
Lösung: DMARC auch für die MOERA-Domain konfigurieren — über das M365 Admin Center (einzige Ausnahme, da Sie die onmicrosoft.com-DNS nicht direkt verwalten).
Wie steht Ihre Domain bei DMARC?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.