DMARC für Proton Mail einrichten

Schritt-für-Schritt-Anleitung: DMARC-Record für Proton Mail Custom Domain im Proton Account anzeigen, beim externen DNS-Provider als TXT _dmarc eintragen, Alignment mit SPF und DKIM verifizieren — mit Bridge-Architektur-Hinweis und Schweizer DSG.

DMARC prüfen Plattform entdecken
Proton Mail · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 14. Mai 2026

DMARC für Proton Mail (Schweiz, E2EE mit Custom Domain)

Proton dokumentiert auf proton.me/support: „The default value is p=none. However, to improve your security we recommend setting this value to p=quarantine.“ Proton empfiehlt also explizit eine Sicherheits-Verbesserung — Mails, die SPF/DKIM-Prüfung nicht bestehen, sollen im Spam-Ordner landen statt mit dem Default p=none direkt zugestellt zu werden. DMARC orchestriert SPF (include:_spf.protonmail.ch) und DKIM (drei CNAMEs für automatische Rotation) zu einer durchsetzbaren Policy — beide nutzen die Header-From-Domain und erfüllen Alignment automatisch.

Als Pflichtmaßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung), BSI TR-03182 und DSGVO Art. 32 ist DMARC die übergeordnete Sender-Authentifizierung. Schweizer Datenschutz: Proton AG mit Sitz in Genf untersteht dem revDSG Art. 8 (Datensicherheit) — zusätzlich End-to-End-Verschlüsselung mit Zero-Access-Architektur. Proton bietet kein natives DMARC-Reporting-Dashboard — die rua-Reports landen in einem normalen Proton-Postfach oder bei einem externen DMARC-Tool. Der Wolf-Agents Email Security Check verifiziert die DMARC-Syntax, validiert die rua-Empfänger-Domain per DNS-Authorization (RFC 7489 § 7.1), prüft das DKIM-Header-Alignment, erkennt den fehlenden Subdomain-Override (sp=-Tag) als Angriffsvektor für Echospoofing und SubdoMailing und meldet Drift zwischen p=-Policy und Proton-Konfiguration.

Hardening-Pfad: Nach DMARC mit p=none folgt der schrittweise Wechsel zur Proton-Empfehlung p=quarantine und weiter zu p=reject — siehe DMARC-Enforcement für Proton Mail. Bedrohungs-Cluster: Ein DMARC-Record mit p=reject stoppt Business Email Compromise (FBI IC3 2024: 2,77 Mrd. USD Schaden) und CEO-Phishing mit Ihrer Marke beim Empfänger noch vor der Zustellung.

Ausführliche Einführung in DMARC

1 Schritt 1 von 4

DMARC-Record im Proton Account anzeigen

Im Proton Account zeigt der DMARC-Tab den empfohlenen TXT-Record-Wert. Wolf-Agents empfiehlt aber, statt direkt mit Proton's p=quarantine-Empfehlung zu starten, zuerst 2-4 Wochen mit p=none zu beobachten.

Menüpfad im Proton Account

  1. Im Proton Account auf Settings → All settings → Organization → Domain names navigieren
  2. Neben Ihrer Domain auf Review klicken
  3. Den DMARC-Tab öffnen
  4. Proton zeigt den Default-Wert mit p=none und einen Hinweis auf die p=quarantine-Empfehlung
  5. Den TXT-Record-Wert kopieren und beim externen DNS-Provider eintragen
2 Schritt 2 von 4

DMARC-Record beim DNS-Provider eintragen

Tragen Sie den TXT-Record mit Hostname _dmarc beim externen DNS-Provider ein. p=none ist die korrekte Start-Policy: keine Mail wird blockiert, alle Aggregate-Reports laufen für 2-4 Wochen ein, danach folgt der Wechsel zur Proton-Empfehlung.

DMARC-Record Phase Beobachtung Proton Mail 
Hostname:    _dmarc
Typ:         TXT
Wert:        v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.ch; fo=1
TTL:         3600 (1 Stunde)
Proton-Empfehlung p=quarantine — bewusst gewählt (Information-Gain)

Proton dokumentiert explizit: „The default value is p=none. However, to improve your security we recommend setting this value to p=quarantine.“ Die Empfehlung ist nicht „direkt setzen“, sondern als End-Ziel nach 2-4 Wochen Beobachtungsphase erreichen — Wolf-Agents empfiehlt den schrittweisen Übergang über die Enforcement-Roadmap, bei der nach p=quarantine noch p=reject für maximalen Schutz folgt. Quelle: proton.me/support/anti-spoofing-custom-domain (abgerufen 2026-05-14).

3 Schritt 3 von 4

Alignment mit SPF und DKIM verifizieren

DMARC verlangt, dass entweder SPF oder DKIM (mindestens eine der beiden) aligned ist — also dieselbe Domain wie der Header-From-Adresse autorisiert. Bei Proton Mail Custom Domain passt das automatisch, weil Proton mit der Header-From-Domain als Return-Path versendet und mit zentral verwalteten DKIM-Schlüsseln signiert.

Verifikation im Terminal / PowerShell Verifikation 
# DMARC-Record prüfen
dig _dmarc.ihre-domain.ch TXT +short

# SPF-Include prüfen
dig TXT ihre-domain.ch +short
# Erwartet: "v=spf1 include:_spf.protonmail.ch -all"

# Proton-SPF-Policy auflösen
dig TXT _spf.protonmail.ch +short

# DKIM-CNAMEs prüfen (alle drei!)
dig CNAME <proton-selector-1>._domainkey.ihre-domain.ch +short
dig CNAME <proton-selector-2>._domainkey.ihre-domain.ch +short
dig CNAME <proton-selector-3>._domainkey.ihre-domain.ch +short

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — er prüft DMARC-Syntax, rua-Authorization, Alignment-Modi (aspf=/adkim=) und meldet den fehlenden sp=-Subdomain-Override als Spoofing-Risiko.

4 Schritt 4 von 4

Aggregate-Reporting einrichten

DMARC sendet täglich XML-Aggregate-Reports an die in rua= angegebene Adresse. Diese Reports zeigen jeden Sender, der mit Ihrer Domain als Header-From E-Mails versendet hat — autorisiert oder gefälscht. Proton bietet kein DMARC-Dashboard — die XML-Reports landen in einem normalen Proton-Postfach und sind ohne Parser schwer lesbar.

Zwei Optionen für Reporting

  1. Option A — Proton-Postfach: In der Proton-Account-Verwaltung eine dedizierte Adresse dmarc-reports@ihre-domain.ch anlegen und die XML-Reports manuell oder per Skript parsen. Aufwendig, aber kostenlos.
  2. Option B — externes DMARC-Tool: Service wie dmarcian, Postmark DMARC oder EasyDMARC nutzen. rua=mailto:reports@dmarc-tool.com setzen und über das jeweilige Dashboard auswerten. Komfortabler, aber kostenpflichtig.
  3. Beobachtungsfenster: 2-4 Wochen Reports sammeln, dann zur Enforcement-Roadmap (p=quarantine → p=reject) übergehen
rua-Authorization bei Cross-Domain-Reporting (Information-Gain)

Wenn Sie ein externes DMARC-Tool (dmarcian, Postmark DMARC, EasyDMARC) nutzen, muss der Reporting-Anbieter laut RFC 7489 § 7.1 explizit autorisiert werden. Konkret muss bei der Reporting-Domain ein TXT-Record ihre-domain.ch._report._dmarc.<reporting-domain> IN TXT "v=DMARC1" existieren. Wolf-Agents prüft die rua-Authorization automatisch und meldet fehlende Cross-Domain-Records. Quelle: datatracker.ietf.org/doc/html/rfc7489 § 7.1 (abgerufen 2026-05-14).

Custom-Domain Tarif-Differenzierung Plus/Unlimited (Information-Gain)

Proton differenziert Custom-Domain-Features klar nach Tarif: Mail Plus unterstützt 1 Custom Domain mit Catch-All-Funktion und 10 Aliases. Proton Unlimited unterstützt 3 Custom Domains mit Catch-All und „unlimited hide-my-email aliases“ (laut Proton Mail Pricing-Seite, abgerufen 2026-05-14 via proton.me/mail/pricing). Proton Business richtet sich an Teams mit zentraler Admin-Konsole. Catch-All bedeutet: alle E-Mails an Ihre Domain landen im Posteingang, auch wenn die Adresse nicht existiert oder Tippfehler enthält — ein Wert für KMU mit häufigen Kontaktanfragen. Bei Tarif-Downgrade auf Kostenlos verlieren Sie alle Custom-Domain-Features inklusive DKIM-Schlüssel.

Häufige Fehler bei Proton Mail

Diese drei Fehler treten bei Proton-Mail-DMARC-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass DMARC vom Empfänger als ungültig gewertet wird oder Reporting ins Leere läuft.

Proton-Empfehlung p=quarantine direkt aktiviert

Problem: Im Proton Account wird die DMARC-Empfehlung p=quarantine direkt nach DKIM-Aktivierung gesetzt. Legitime Mails (Cron-Skripte über externe SMTP-Provider, alte Marketing-Tools), die noch nicht im SPF-Record stehen, werden sofort von allen Empfängern in den Spam-Ordner verschoben. Wichtige Mails gehen verloren, bevor die ersten Aggregate-Reports einlaufen.

Lösung: Zuerst 2-4 Wochen mit p=none starten und Aggregate-Reports sammeln. Alle legitimen Sender im SPF-Record ergänzen. Erst dann schrittweise auf p=quarantine (Proton-Empfehlung) und weiter auf p=reject wechseln — siehe Enforcement-Roadmap.

DMARC ohne DKIM-Verifikation

Problem: Der DMARC-Record wurde angelegt, aber nur einer oder zwei der drei DKIM-CNAMEs sind aktiv (Migration unvollständig oder ein CNAME wurde versehentlich gelöscht). Während einer Proton-Schlüssel-Rotation wird der gerade aktive Schlüssel über einen anderen CNAME-Selector exponiert — wenn dieser fehlt, schlägt DKIM fehl. DMARC-Alignment bricht, viele dmarc=fail-Reports.

Lösung: Im Proton Account unter Domain names → Review → DKIM alle drei CNAMEs prüfen. Mit dig CNAME <selector>._domainkey.ihre-domain.ch +short alle drei einzeln testen — alle müssen auflösen. Im Proton Account muss der DKIM-Tab grünes Häkchen zeigen, sonst ist DMARC-Alignment nicht stabil.

rua-Postfach im Proton nicht angelegt

Problem: Im rua=mailto:dmarc-reports@ihre-domain.ch ist eine Adresse angegeben, für die im Proton Account kein Postfach existiert. DMARC-Reports werden zugestellt, aber als 5.1.1 unknown user abgewiesen. Die XML-Reports gehen verloren, der absendende Postmaster sieht permanente Bounces und stoppt nach mehreren Tagen den Versand.

Lösung: Vor der Aktivierung des DMARC-Records im Proton Account die Adresse dmarc-reports@ als zusätzliche Mail-Adresse anlegen — oder einen Catch-All einrichten (sofern Proton-Tarif das erlaubt). Bei externen Reporting-Tools die exakt vom Tool vorgegebene Adresse verwenden und nach 24 Stunden den Test-Mail-Empfang verifizieren.

Schweizer EDÖB 32. Tätigkeitsbericht 2024/2025 (Information-Gain-Welle 2)

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB / FDPIC) hat am 30. Juni 2025 seinen 32. Tätigkeitsbericht für den Berichtszeitraum 1. April 2024 – 31. März 2025 veröffentlicht. Kernbefunde mit direkter Relevanz für Proton-Mail-Custom-Domain-Kunden: Die EDÖB hat erste Verfahren unter dem revidierten DSG (in Kraft seit 1. September 2023) abgeschlossen und konkretisiert damit die Anwendungs-Praxis von Art. 8 revDSG (Datensicherheit / TOM). Die Zahl der Zugangsgesuche nach dem Öffentlichkeitsgesetz stieg um fast 30 Prozent gegenüber dem Vorjahr; die Schlichtungsanfragen um 53 Prozent. Für Proton-Mail-Kunden bedeutet das: Datenschutzbehörden in der Schweiz schreiten seit 2024-2025 verstärkt gegen Verstöße ein — eine durchgesetzte DMARC-Policy (p=reject + sp=reject) ist nicht nur Best Practice, sondern als TOM nach Art. 8 revDSG belegbarer Stand der Technik. Quelle: edoeb.admin.ch — Tätigkeitsbericht des EDÖB (abgerufen 2026-05-14).

NIS2, BSI TR-03108, DSGVO Art. 32 und Schweizer DSG: DMARC bei Proton Mail

DMARC ist die übergeordnete Sender-Authentifizierungs-Policy für eine Domain — sie bindet SPF- und DKIM-Ergebnisse zu einer durchsetzbaren Anweisung an Empfänger. NIS2 Art. 21 Abs. 2 lit. h verlangt Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung. BSI TR-03108 nennt DMARC als Mindestanforderung. DSGVO Art. 32 fordert technische Maßnahmen zur Sicherheit der Verarbeitung. Schweizer Datenschutz: revDSG Art. 8 (Datensicherheit/TOM) analog DSGVO Art. 32. Bei Proton Mail Custom Domain ist DMARC-Alignment automatisch gegeben — Proton versendet mit der Header-From-Domain und signiert mit zentralen DKIM-CNAME-Records. Schweizer Datensouveränität (kein US-CLOUD-Act-Zugriff) plus End-to-End-Verschlüsselung mit Zero-Access ist Proton's spezifischer USP. Wolf-Agents empfiehlt nach 2-4 Wochen p=none-Beobachtung den Wechsel zu p=quarantine (Proton-Empfehlung) und weiter zu p=reject für maximalen Schutz — siehe Enforcement-Roadmap. Der Wolf-Agents Email Security Check bewertet DMARC mit bis zu 22 Punkten der 165-Punkte-Analyse.

DMARC-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerNetcupHostpointInfomaniakWorld4YouPostfixEximMailcowGenerisch

Wie steht Ihre Domain bei DMARC?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten