Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

DMARC - Domain-based Message Authentication, Reporting and Conformance

DMARC ist ein E-Mail-Authentifizierungsprotokoll, das auf SPF und DKIM aufbaut und Domaininhaber in die Lage versetzt, E-Mail-Spoofing und Phishing-Angriffe zu verhindern.

Inhaltsverzeichnis (6 Abschnitte)

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, das 2015 als RFC 7489 standardisiert wurde. Es baut auf den beiden Vorgängerprotokollen SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) auf und löst deren gemeinsamen Schwachpunkt: Ohne DMARC können E-Mails den SPF/DKIM-Check bestehen und trotzdem eine gefälschte Absenderadresse (From-Header) tragen.

Das Grundproblem: E-Mail-Spoofing

Das SMTP-Protokoll wurde 1982 ohne Authentifizierungsmechanismen entworfen. Jeder kann eine E-Mail mit beliebiger Absenderadresse versenden - technisch erfordert es nur wenige Zeilen Code. Dieser Konstruktionsfehler ist die Grundlage für:

  • CEO-Fraud (Business Email Compromise): E-Mails im Namen des Geschäftsführers fordern Überweisungen
  • Phishing-Kampagnen: E-Mails von security@ihre-bank.de oder support@paypal.com
  • Marken-Missbrauch: Angreifer versenden Spam im Namen legitimer Unternehmen

DMARC schließt diese Lücke, indem es E-Mail-Empfängern erlaubt, zu prüfen, ob eine empfangene Nachricht wirklich von der im From-Header genannten Domain stammt.

Die drei Bausteine: SPF, DKIM, DMARC

SPF (Sender Policy Framework)

SPF legt in einem DNS-TXT-Eintrag fest, welche Mailserver E-Mails für eine Domain versenden dürfen:

example.com. TXT "v=spf1 include:_spf.google.com ip4:203.0.113.0/24 -all"

Limitierung: SPF prüft die technische Envelope-Absenderadresse (MAIL FROM / Return-Path), nicht den sichtbaren From-Header. Ein Angreifer kann eine eigene SPF-konforme Adresse als Envelope-Sender nutzen und trotzdem info@ihre-domain.de im From-Header zeigen.

DKIM (DomainKeys Identified Mail)

DKIM signiert ausgehende E-Mails kryptografisch. Der öffentliche Schlüssel liegt im DNS:

selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."

Limitierung: DKIM prüft die Signatur-Domain (d=-Tag), nicht den From-Header. Beide können unterschiedlich sein.

DMARC - Alignment und Policy

DMARC verknüpft SPF und DKIM mit dem From-Header durch das Konzept des Alignments:

  • SPF-Alignment: Die SPF-Envelope-Domain muss mit dem From-Header-Domain übereinstimmen
  • DKIM-Alignment: Die DKIM-d=-Domain muss mit dem From-Header-Domain übereinstimmen

Schlägt das Alignment fehl, greift die DMARC-Policy.

DMARC-DNS-Eintrag erklärt

_dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensic@example.com; pct=100; sp=reject"
TagBedeutung
v=DMARC1Protokollversion
p=none/quarantine/rejectPolicy für nicht-konforme E-Mails
rua=Empfängeradresse für Aggregatberichte
ruf=Empfängeradresse für Forensikberichte
pct=Prozentsatz der Nachrichten, auf die Policy angewandt wird
sp=Subdomain-Policy
adkim=s/rDKIM-Alignment: strict oder relaxed
aspf=s/rSPF-Alignment: strict oder relaxed

DMARC-Policy-Stufen

p=none - Beobachtungsmodus

E-Mails werden unverändert zugestellt. DMARC-Reports werden gesendet. Einstiegspunkt für alle neuen Implementierungen - unbedingt notwendig, um legitime Mailströme zu kartieren, bevor man schärfere Policies aktiviert.

p=quarantine - Verdächtig markieren

Nicht-konforme E-Mails landen im Spam-/Quarantäne-Ordner. Empfänger können sie noch einsehen, aber sie sind stigmatisiert.

p=reject - Ablehnen

Nicht-konforme E-Mails werden vom empfangenden Mailserver vollständig abgelehnt. Maximaler Schutz - aber nur aktivieren, wenn alle legitimen E-Mail-Quellen korrekt konfiguriert sind.

Implementierung in 5 Schritten

Schritt 1: DMARC-Report-Empfänger einrichten

Richten Sie eine Mailbox oder einen DMARC-Report-Aggregator (z. B. DMARC Analyzer, Valimail, dmarcian) ein.

Schritt 2: SPF korrekt konfigurieren

Listen Sie alle legitimen Mailserver auf. Prüfen Sie: Marketing-Tools (Mailchimp, HubSpot), CRM-Systeme, ERP-Systeme, Cloud-Services (Office 365, Google Workspace).

Schritt 3: DKIM einrichten

Aktivieren Sie DKIM-Signierung für alle legitimen E-Mail-Quellen.

Schritt 4: DMARC mit p=none einschalten

_dmarc.ihredomain.de. TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihredomain.de"

Schritt 5: Reports analysieren und Policy verschärfen

Analysieren Sie 4-6 Wochen lang die Berichte. Identifizieren Sie unbekannte Mailquellen. Konfigurieren Sie SPF/DKIM für alle legitimen Quellen nach. Dann Schritt für Schritt: p=quarantinep=reject.

Warum DMARC für Unternehmen unverzichtbar ist

Ab Februar 2024: Google und Yahoo verlangen DMARC für Bulk-Versender (>5.000 Mails/Tag). Ohne korrekte DMARC-Konfiguration landen E-Mails in Spam oder werden abgelehnt.

BIMI-Voraussetzung: Brand Indicators for Message Identification (BIMI) zeigt das Unternehmenslogo in der Inbox - aber nur wenn DMARC auf p=quarantine oder p=reject steht.

Phishing-Schutz: Ohne DMARC kann jeder Angreifer E-Mails im Namen Ihrer Domain versenden. Mit p=reject ist dies technisch unmöglich.

Laut AWARE7-Daten hatten im Jahr 2025 noch 38% der DAX40-Unternehmen kein oder nur ein p=none-DMARC - und boten damit offene Flanken für E-Mail-Spoofing.

Weiterführende Informationen: Kostenlosen Domain-Check starten | E-Mail-Sicherheit verbessern

Quellen & Referenzen

  1. [1] RFC 7489 - DMARC: Domain-based Message Authentication, Reporting, and Conformance - IETF
  2. [2] BIMI - Brand Indicators for Message Identification - BIMI Group
  3. [3] Google/Yahoo DMARC-Anforderung ab Februar 2024 - Google

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 03.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de