DMARC für World4You einrichten
Schritt-für-Schritt-Anleitung: DMARC-Record im My-World4You unter Ihr Paket Domain DNS-Verwaltung anlegen, Alignment mit SPF und DKIM verifizieren und Aggregate-Reporting per rua einrichten — mit österreichischem DSG-Hinweis.
DMARC für World4You (Österreich Managed Webhosting)
World4You bietet die DMARC-Aktivierung über die DNS-Verwaltung im My-World4You unter Ihr Paket → Domain → DNS-Verwaltung — ein TXT-Record mit Hostname _dmarc wird manuell angelegt. DMARC orchestriert SPF (v=spf1 mx include:spf.w4ymail.at -all) und DKIM (im My-World4You unter „E-Mail & Exchange → Einstellungen“ aktivierbar) zu einer durchsetzbaren Policy — beide nutzen die Header-From-Domain und erfüllen Alignment automatisch.
Als Pflichtmaßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung), BSI TR-03182 und DSGVO Art. 32 ist DMARC die übergeordnete Sender-Authentifizierung. Österreichischer Datenschutz: World4You untersteht dem Österreichischen DSG § 1 (Grundrecht, Verfassungsrang). World4You bietet kein natives DMARC-Reporting-Dashboard — die rua-Reports landen in einem normalen Postfach. Der Wolf-Agents Email Security Check verifiziert die DMARC-Syntax, validiert die rua-Empfänger-Domain per DNS-Authorization (RFC 7489 § 7.1), prüft das DKIM-Header-Alignment, erkennt den fehlenden Subdomain-Override (sp=-Tag) als Angriffsvektor für Echospoofing und SubdoMailing und meldet Drift zwischen p=-Policy und World4You-Konfiguration.
Hardening-Pfad: Nach DMARC mit p=none folgt der schrittweise Wechsel zu p=quarantine und p=reject — siehe DMARC-Enforcement für World4You. Bedrohungs-Cluster: Ein DMARC-Record mit p=reject stoppt Business Email Compromise (FBI IC3 2024: 2,77 Mrd. USD Schaden) und CEO-Phishing mit Ihrer Marke beim Empfänger noch vor der Zustellung.
DMARC-Record im My-World4You anlegen
Erstellen Sie einen TXT-Record über die DNS-Verwaltung im My-World4You. p=none ist die korrekte Start-Policy: keine Mail wird blockiert, alle Aggregate-Reports laufen für 2-4 Wochen ein, danach folgt die Verschärfung.
Hostname: _dmarc
Typ: TXT
Wert: v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.at; fo=1
TTL: 3600 (1 Stunde)Menüpfad im My-World4You
- Im My-World4You-Kundenbereich anmelden
- Den Menüpunkt Ihr Paket → Domain → DNS-Verwaltung öffnen
- Neuer Eintrag: Hostname
_dmarc, TypTXT, Wert ohne umschließende Anführungszeichen - Speichern bestätigen — die DNS-Änderung wird übernommen
- Mit
dig _dmarc.ihre-domain.at TXT +shortnach 10-30 Minuten verifizieren
Alignment mit SPF und DKIM verifizieren
DMARC verlangt, dass entweder SPF oder DKIM (mindestens eine der beiden) aligned ist — also dieselbe Domain wie der Header-From-Adresse autorisiert. Bei World4You-Webhosting passt das automatisch, weil World4You mit der Header-From-Domain als Return-Path versendet und nach DKIM-Aktivierung mit zentral verwaltetem DKIM-Schlüssel der Domain signiert.
# SPF-Record (Webhosting-Default — siehe SPF-Anleitung)
ihre-domain.at. IN TXT "v=spf1 mx include:spf.w4ymail.at -all"
# DKIM (im My-World4You unter E-Mail & Exchange aktiviert)
<selector>._domainkey IN TXT "v=DKIM1; k=rsa; p=..."
# DMARC-Record (dieser Schritt)
_dmarc IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.at; fo=1"Wenn Sie über zusätzliche Sender (Newsletter-Tools, CRM, eigener WordPress-SMTP) versenden, muss deren From:-Adresse entweder Ihre Domain enthalten und mit eigenem DKIM signieren — oder Sie nutzen eine Subdomain (z.B. news.ihre-domain.at). Andernfalls schlägt DMARC für diese Mails fehl, obwohl World4You selbst alignment-konform ist.
DMARC-Record verifizieren
Nach Speichern des TXT-Records läuft die DNS-Propagation typischerweise innerhalb von 10-30 Minuten — global bis 48 Stunden, weil Resolver TTLs unterschiedlich respektieren.
# Linux / macOS
dig _dmarc.ihre-domain.at TXT +short
# Windows (PowerShell)
Resolve-DnsName -Name _dmarc.ihre-domain.at -Type TXT | Select-Object -ExpandProperty Strings
# Erwartete Ausgabe:
# "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.at; fo=1"
Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — er prüft DMARC-Syntax, rua-Authorization, Alignment-Modi (aspf=/adkim=) und meldet den fehlenden sp=-Subdomain-Override als Spoofing-Risiko.
Aggregate-Reporting einrichten
DMARC sendet täglich XML-Aggregate-Reports an die in rua= angegebene Adresse. Diese Reports zeigen jeden Sender, der mit Ihrer Domain als Header-From E-Mails versendet hat — autorisiert oder gefälscht. World4You bietet kein DMARC-Dashboard — die XML-Reports landen in einem normalen Postfach und sind ohne Parser schwer lesbar.
Zwei Optionen für Reporting
- Option A — World4You-Mail-Postfach: Im My-World4You eine dedizierte Adresse
dmarc-reports@ihre-domain.atanlegen und die XML-Reports manuell oder per Skript parsen. Aufwendig, aber kostenlos. - Option B — externes DMARC-Tool: Service wie dmarcian, Postmark DMARC oder EasyDMARC nutzen.
rua=mailto:reports@dmarc-tool.comsetzen und über das jeweilige Dashboard auswerten. Komfortabler, aber kostenpflichtig. - Beobachtungsfenster: 2-4 Wochen Reports sammeln, dann zur Enforcement-Roadmap (p=quarantine → p=reject) übergehen
Wenn Sie ein externes DMARC-Tool (dmarcian, Postmark DMARC, EasyDMARC) nutzen, muss der Reporting-Anbieter laut RFC 7489 § 7.1 explizit autorisiert werden — sonst lehnen viele empfangende Server die Cross-Domain-Reports ab. Konkret muss bei der Reporting-Domain ein TXT-Record ihre-domain.at._report._dmarc.<reporting-domain> IN TXT "v=DMARC1" existieren. Wolf-Agents prüft die rua-Authorization automatisch und meldet fehlende Cross-Domain-Records. Quelle: datatracker.ietf.org/doc/html/rfc7489 § 7.1 (abgerufen 2026-05-14).
Österreich setzt die EU-NIS2-Richtlinie via Netz- und Informationssystemsicherheitsgesetz (NISG) 2026 in nationales Recht um. Der frühere Entwurf NISG 2024 erreichte im Nationalrat nicht die erforderliche Zweidrittelmehrheit, die EU-Kommission leitete daraufhin ein Vertragsverletzungsverfahren ein. Am 12. Dezember 2025 hat der Nationalrat das NISG 2026 mit Zweidrittelmehrheit beschlossen, am 23. Dezember 2025 als BGBl. I Nr. 94/2025 publiziert und tritt am 1. Oktober 2026 in Kraft; rund 4.000 österreichische Unternehmen fallen in den Anwendungsbereich, die Registrierungs-Frist für „wesentliche“ und „wichtige“ Einrichtungen läuft bis 31. Dezember 2026. Zentrale Cybersicherheitsbehörde ist neu das Bundesamt für Cybersicherheit, dem Bundesminister für Inneres unmittelbar nachgeordnet. Offizielle Anlaufstelle: nis.gv.at; Gesetzes-Volltext: RIS BGBl. I Nr. 94/2025. Praktische Implikation für World4You-Kunden: DMARC-Aggregate-Reports gelten als forensische Belege für NIS2-Art-23-konforme Meldepflichten (24h-Frühwarnung, 72h-Vorfall, 1-Monats-Abschlussbericht).
Häufige Fehler bei World4You
Diese drei Fehler treten bei World4You-DMARC-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass DMARC vom Empfänger als ungültig gewertet wird oder Reporting ins Leere läuft.
Hostname _dmarc.ihre-domain.at statt _dmarc
Problem: Bei der Eingabe in der My-World4You-DNS-Verwaltung wird der vollständige FQDN _dmarc.ihre-domain.at als Hostname angegeben. Das DNS-System ergänzt automatisch die Domain — der Record landet dann unter _dmarc.ihre-domain.at.ihre-domain.at und wird nicht aufgelöst. Empfänger erkennen keine DMARC-Policy und werten dies als none.
Lösung: Im Hostname-Feld nur _dmarc eingeben — analog zum SPF-Feld leer (Root-Domain). Mit dig _dmarc.ihre-domain.at TXT +short nach 30 Minuten prüfen, ob der Record an der richtigen Stelle erscheint.
DMARC ohne aktiviertes DKIM
Problem: DMARC wurde als TXT-Record angelegt, aber DKIM bleibt im My-World4You unter „E-Mail & Exchange → Einstellungen“ deaktiviert. DMARC verlangt Alignment mit mindestens einem von SPF oder DKIM — ohne DKIM bleibt nur SPF-Alignment, was bei Weiterleitungen häufig bricht. Die DMARC-Reports zeigen viele dmarc=fail-Einträge.
Lösung: Vor der DMARC-Aktivierung sicherstellen, dass auch DKIM im My-World4You aktiv ist (siehe DKIM für World4You). Beide gemeinsam ergeben den maximalen Alignment-Schutz.
rua-Postfach existiert nicht oder bouncet
Problem: Im rua=mailto:dmarc-reports@ihre-domain.at ist eine Adresse angegeben, für die im My-World4You kein Postfach existiert. DMARC-Reports werden zugestellt, aber als 5.1.1 unknown user abgewiesen. Die XML-Reports gehen verloren, der absendende Postmaster sieht permanente Bounces.
Lösung: Vor der Aktivierung des DMARC-Records im My-World4You Mail-Panel das Postfach dmarc-reports@ anlegen — oder einen Catch-All einrichten. Bei externen Reporting-Tools die exakt vom Tool vorgegebene Adresse verwenden und nach 24 Stunden den Test-Mail-Empfang verifizieren.
NIS2, BSI TR-03108, DSGVO Art. 32 und Österreichisches DSG: DMARC bei World4You
DMARC ist die übergeordnete Sender-Authentifizierungs-Policy für eine Domain — sie bindet SPF- und DKIM-Ergebnisse zu einer durchsetzbaren Anweisung an Empfänger. NIS2 Art. 21 Abs. 2 lit. h verlangt Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung. BSI TR-03108 nennt DMARC als Mindestanforderung. DSGVO Art. 32 fordert technische Maßnahmen zur Sicherheit der Verarbeitung. Österreichischer Datenschutz: § 1 DSG (Grundrecht auf Datenschutz, Verfassungsrang) ergänzt die direkt anwendbare DSGVO. Bei World4You-Webhosting ist DMARC-Alignment automatisch gegeben — World4You versendet mit der Header-From-Domain und signiert nach DKIM-Aktivierung. Österreich hat NIS2 via NISG 2026 in nationales Recht umgesetzt (BGBl. I Nr. 94/2025, in Kraft am 1. Oktober 2026); Wolf-Agents-Kunden mit DACH-weitem Geschäft müssen NIS2 inklusive deutscher BSIG-Umsetzung berücksichtigen. Wolf-Agents empfiehlt nach 2-4 Wochen p=none-Beobachtung den Wechsel zu p=quarantine mit pct=10 und schrittweise Erhöhung — siehe Enforcement-Roadmap. Der Wolf-Agents Email Security Check bewertet DMARC mit bis zu 22 Punkten der 165-Punkte-Analyse.
Wie steht Ihre Domain bei DMARC?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.