DMARC für Netcup einrichten

Schritt-für-Schritt-Anleitung: DMARC-Record im Netcup Customer Control Panel anlegen, Hostname _dmarc beachten, Alignment mit SPF und DKIM verifizieren und Aggregate-Reporting per rua= einrichten.

DMARC prüfen Plattform entdecken
Netcup · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 13. Mai 2026

DMARC für Netcup (DACH-DE Managed Webhosting)

Netcup ergänzt im CCP DNS-Tab den Hostnamen automatisch um die Domain — geben Sie als Host nur _dmarc ein, nicht den vollständigen FQDN. Der Wert kommt ohne umschließende Anführungszeichen ins Destination-Feld. DMARC orchestriert SPF (v=spf1 mx a include:_spf.webhosting.systems ~all) und DKIM (CNAMEs auf webhosting.systems) zu einer durchsetzbaren Policy — beide nutzen bei Netcup-Webhosting die Header-From-Domain und erfüllen Alignment automatisch.

Als Pflichtmaßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung), BSI TR-03182 und DSGVO Art. 32 ist DMARC die übergeordnete Sender-Authentifizierung. Netcup bietet kein natives DMARC-Reporting-Dashboard — die rua-Reports landen in einem normalen Postfach. Der Wolf-Agents Email Security Check verifiziert die DMARC-Syntax, validiert die rua-Empfänger-Domain per DNS-Authorization (RFC 7489 § 7.1), prüft das DKIM-Header-Alignment für jede signierende Domain, erkennt den fehlenden Subdomain-Override (sp=-Tag) als Angriffsvektor für Echospoofing und SubdoMailing und meldet Drift zwischen p=-Policy und der tatsächlichen Provider-Konfiguration.

Hardening-Pfad: Nach DMARC mit p=none folgt der schrittweise Wechsel zu p=quarantine und p=reject — siehe DMARC-Enforcement für Netcup. Bedrohungs-Cluster: Ein DMARC-Record mit p=reject stoppt Business Email Compromise (FBI IC3 2024: 2,77 Mrd. USD Schaden) und CEO-Phishing mit Ihrer Marke beim Empfänger noch vor der Zustellung.

Ausführliche Einführung in DMARC

1 Schritt 1 von 4

DMARC-Record im Netcup CCP anlegen

Erstellen Sie einen TXT-Record im CCP. p=none ist die korrekte Start-Policy: keine Mail wird blockiert, alle Aggregate-Reports laufen für 2-4 Wochen ein, danach folgt die Verschärfung.

Netcup CCP DNS-Eingabe Netcup 
Host:        _dmarc
Typ:         TXT
Destination: v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1
TTL:         3600 (1 Stunde)

Menüpfad im Netcup CCP

  1. Melden Sie sich im Customer Control Panel (CCP) an
  2. Navigieren Sie zu Domains → Lupe-Symbol → DNS
  3. Erstellen Sie einen neuen Eintrag: Host _dmarc · Typ TXT · Destination ohne umschließende Anführungszeichen
  4. Klicken Sie auf DNS Records speichern — bei Erfolg grüne Meldung, Fehler rot
  5. Nach 10 Minuten prüfen, dass für den Record Gültig = yes und Geändert = no stehen
2 Schritt 2 von 4

Alignment mit SPF und DKIM verifizieren

DMARC verlangt, dass entweder SPF oder DKIM (mindestens eine der beiden) aligned ist — also dieselbe Domain wie der Header-From-Adresse autorisiert. Bei Netcup-Webhosting passt das automatisch, weil Netcup ausgehende E-Mails mit der Header-From-Domain als Return-Path und DKIM d=-Domain versendet.

Netcup-Default-Konfiguration Alignment 
# SPF-Record (Webhosting-Default — siehe SPF-Anleitung)
ihre-domain.de.  IN  TXT  "v=spf1 mx a include:_spf.webhosting.systems ~all"

# DKIM-CNAMEs (siehe DKIM-Anleitung)
key1._domainkey  IN  CNAME  key1._domainkey.webhosting.systems
key2._domainkey  IN  CNAME  key2._domainkey.webhosting.systems

# DMARC-Record (dieser Schritt)
_dmarc           IN  TXT    "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"
Drittanbieter und Alignment

Wenn Sie über zusätzliche Sender (Newsletter-Tools, CRM, Transaktions-Mail) versenden, muss deren From:-Adresse entweder Ihre Domain enthalten und mit eigenem DKIM signieren — oder Sie nutzen eine Subdomain (z.B. news.ihre-domain.de). Andernfalls schlägt DMARC für diese Mails fehl, obwohl Netcup selbst alignment-konform ist.

3 Schritt 3 von 4

DMARC-Record verifizieren

Nach Speichern des TXT-Records läuft die DNS-Propagation bei Netcup typischerweise innerhalb von 10 Minuten — global bis 48 Stunden, weil Resolver TTLs unterschiedlich respektieren.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig _dmarc.ihre-domain.de TXT +short

# Windows (PowerShell)
Resolve-DnsName -Name _dmarc.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

# Erwartete Ausgabe:
# "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"

# Erweiterte Prüfung: rua-Authorization für Cross-Domain-Reports
# (nur nötig wenn rua auf andere Domain als _dmarc-Domain zeigt)
dig _dmarc.ihre-domain.de.report-domain.com TXT +short
# Erwartet: "v=DMARC1"

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — er prüft DMARC-Syntax, rua-Authorization, Alignment-Modi (aspf=/adkim=) und meldet den fehlenden sp=-Subdomain-Override als Spoofing-Risiko.

4 Schritt 4 von 4

Aggregate-Reporting einrichten

DMARC sendet täglich XML-Aggregate-Reports an die in rua= angegebene Adresse. Diese Reports zeigen jeden Sender, der mit Ihrer Domain als Header-From E-Mails versendet hat — autorisiert oder gefälscht. Netcup bietet kein DMARC-Dashboard — die XML-Reports landen in einem normalen Postfach und sind ohne Parser schwer lesbar.

Zwei Optionen für Reporting

  1. Option A — Netcup-Mail-Postfach: Im CCP-Mailpanel eine dedizierte Adresse dmarc-reports@ihre-domain.de anlegen und die XML-Reports manuell oder per Skript parsen (z.B. mit dmarc-parser CLI). Aufwendig, aber kostenlos.
  2. Option B — externes DMARC-Tool: Service wie dmarcian, Postmark DMARC oder EasyDMARC nutzen. rua=mailto:reports@dmarc-tool.com setzen und über das jeweilige Dashboard auswerten. Komfortabler, aber kostenpflichtig.
  3. Beobachtungsfenster: 2-4 Wochen Reports sammeln, dann zur Enforcement-Roadmap (p=quarantine → p=reject) übergehen
rua-Authorization bei Cross-Domain-Reporting-Tools (Information-Gain)

Wenn Sie ein externes DMARC-Tool (dmarcian, Postmark DMARC, EasyDMARC) nutzen, muss der Reporting-Anbieter laut RFC 7489 § 7.1 explizit autorisiert werden — sonst lehnen viele empfangende Server die Cross-Domain-Reports ab und Sie sehen weniger Daten als erwartet. Konkret muss bei der Reporting-Domain ein TXT-Record ihre-domain.de._report._dmarc.<reporting-domain> IN TXT "v=DMARC1" existieren. Beispiel für dmarcian: ihre-domain.de._report._dmarc.dmarcian.com. Die meisten Anbieter dokumentieren den exakten Record im Onboarding. Wolf-Agents prüft die rua-Authorization automatisch und meldet fehlende Cross-Domain-Records. Quelle: datatracker.ietf.org/doc/html/rfc7489 § 7.1 (abgerufen 2026-05-13).

Häufige Fehler bei Netcup

Diese drei Fehler treten bei Netcup-DMARC-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass DMARC vom Empfänger als ungültig gewertet wird oder Reporting ins Leere läuft.

Host _dmarc.ihre-domain.de statt _dmarc

Problem: Bei der Eingabe im CCP wird der vollständige FQDN _dmarc.ihre-domain.de als Host angegeben. Netcup ergänzt automatisch die Domain — der Record landet dann unter _dmarc.ihre-domain.de.ihre-domain.de, was nicht aufgelöst wird. Empfänger erkennen keine DMARC-Policy und werten dies als none.

Lösung: Im Host-Feld nur _dmarc eingeben — analog zum SPF-@ oder DKIM-key1._domainkey. Mit dig _dmarc.ihre-domain.de TXT +short nach 10 Minuten prüfen, ob der Record erscheint.

Anführungszeichen im Destination-Feld

Problem: Der DMARC-Wert wird mit doppelten Anführungszeichen kopiert: "v=DMARC1; p=none; rua=mailto:...". Netcup quotet beim Export automatisch — die zusätzlichen Quotes erzeugen einen Syntaxfehler oder einen Record mit eingebettetem Quote-Zeichen, den Empfänger nicht als gültige Policy parsen.

Lösung: Im Destination-Feld den DMARC-Record ohne umschließende Anführungszeichen einfügen — exakt wie das Wertfeld erwartet: v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1.

rua-Postfach existiert nicht oder bouncet

Problem: Im rua=mailto:dmarc-reports@ihre-domain.de ist eine Adresse angegeben, für die im Netcup CCP kein Postfach existiert. DMARC-Reports werden von empfangenden Servern zugestellt, aber als 5.1.1 unknown user abgewiesen. Die wertvollen XML-Reports gehen verloren — und der Postmaster der absendenden Domain (z.B. Google, Microsoft) sieht permanente Bounces und stoppt nach mehreren Tagen den Versand.

Lösung: Vor der Aktivierung des DMARC-Records im Netcup Mail-Panel das Postfach dmarc-reports@ anlegen — oder den Catch-All aktivieren. Bei externen Reporting-Tools die exakt vom Tool vorgegebene Adresse (z.B. reports@yourdomain.dmarcian.com) verwenden und nach 24 Stunden den Test-Mail-Empfang verifizieren.

NIS2, BSI TR-03108 und DSGVO Art. 32: DMARC bei Netcup

DMARC ist die übergeordnete Sender-Authentifizierungs-Policy für eine Domain — sie bindet SPF- und DKIM-Ergebnisse zu einer durchsetzbaren Anweisung an Empfänger. NIS2 Art. 21 Abs. 2 lit. h verlangt Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung — DMARC ist die kryptografisch verankerte Sender-Policy. BSI TR-03108 nennt DMARC als Mindestanforderung für sicheren E-Mail-Transport. DSGVO Art. 32 fordert technische Maßnahmen zur Sicherheit der Verarbeitung — eine durchsetzbare Sender-Policy ist ein direkter Schutz personenbezogener Daten vor Identitätsmissbrauch der Domain. Bei Netcup-Webhosting ist DMARC-Alignment automatisch gegeben, weil Netcup mit der Header-From-Domain versendet und signiert. Wolf-Agents empfiehlt nach 2-4 Wochen p=none-Beobachtung den Wechsel zu p=quarantine mit pct=10 und schrittweise Erhöhung — siehe Enforcement-Roadmap. Der Wolf-Agents Email Security Check bewertet DMARC mit bis zu 22 Punkten der 165-Punkte-Analyse.

DMARC-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerPostfixEximMailcowGenerisch

Wie steht Ihre Domain bei DMARC?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten