Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

DMARC - Domain-based Message Authentication, Reporting and Conformance

DMARC ist ein E-Mail-Authentifizierungsprotokoll, das auf SPF und DKIM aufbaut und Domaininhaber in die Lage versetzt, E-Mail-Spoofing und Phishing-Angriffe zu verhindern.

Inhaltsverzeichnis (6 Abschnitte)

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, das 2015 als RFC 7489 standardisiert wurde. Es baut auf den beiden Vorgängerprotokollen SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) auf und löst deren gemeinsamen Schwachpunkt: Ohne DMARC können E-Mails den SPF/DKIM-Check bestehen und trotzdem eine gefälschte Absenderadresse (From-Header) tragen.

Das Grundproblem: E-Mail-Spoofing

Das SMTP-Protokoll wurde 1982 ohne Authentifizierungsmechanismen entworfen. Jeder kann eine E-Mail mit beliebiger Absenderadresse versenden - technisch erfordert es nur wenige Zeilen Code. Dieser Konstruktionsfehler ist die Grundlage für:

  • CEO-Fraud (Business Email Compromise): E-Mails im Namen des Geschäftsführers fordern Überweisungen
  • Phishing-Kampagnen: E-Mails von security@ihre-bank.de oder support@paypal.com
  • Marken-Missbrauch: Angreifer versenden Spam im Namen legitimer Unternehmen

DMARC schließt diese Lücke, indem es E-Mail-Empfängern erlaubt, zu prüfen, ob eine empfangene Nachricht wirklich von der im From-Header genannten Domain stammt.

Die drei Bausteine: SPF, DKIM, DMARC

SPF (Sender Policy Framework)

SPF legt in einem DNS-TXT-Eintrag fest, welche Mailserver E-Mails für eine Domain versenden dürfen:

example.com. TXT "v=spf1 include:_spf.google.com ip4:203.0.113.0/24 -all"

Limitierung: SPF prüft die technische Envelope-Absenderadresse (MAIL FROM / Return-Path), nicht den sichtbaren From-Header. Ein Angreifer kann eine eigene SPF-konforme Adresse als Envelope-Sender nutzen und trotzdem info@ihre-domain.de im From-Header zeigen.

DKIM (DomainKeys Identified Mail)

DKIM signiert ausgehende E-Mails kryptografisch. Der öffentliche Schlüssel liegt im DNS:

selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."

Limitierung: DKIM prüft die Signatur-Domain (d=-Tag), nicht den From-Header. Beide können unterschiedlich sein.

DMARC - Alignment und Policy

DMARC verknüpft SPF und DKIM mit dem From-Header durch das Konzept des Alignments:

  • SPF-Alignment: Die SPF-Envelope-Domain muss mit dem From-Header-Domain übereinstimmen
  • DKIM-Alignment: Die DKIM-d=-Domain muss mit dem From-Header-Domain übereinstimmen

Schlägt das Alignment fehl, greift die DMARC-Policy.

DMARC-DNS-Eintrag erklärt

_dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensic@example.com; pct=100; sp=reject"
TagBedeutung
v=DMARC1Protokollversion
p=none/quarantine/rejectPolicy für nicht-konforme E-Mails
rua=Empfängeradresse für Aggregatberichte
ruf=Empfängeradresse für Forensikberichte
pct=Prozentsatz der Nachrichten, auf die Policy angewandt wird
sp=Subdomain-Policy
adkim=s/rDKIM-Alignment: strict oder relaxed
aspf=s/rSPF-Alignment: strict oder relaxed

DMARC-Policy-Stufen

p=none - Beobachtungsmodus

E-Mails werden unverändert zugestellt. DMARC-Reports werden gesendet. Einstiegspunkt für alle neuen Implementierungen - unbedingt notwendig, um legitime Mailströme zu kartieren, bevor man schärfere Policies aktiviert.

p=quarantine - Verdächtig markieren

Nicht-konforme E-Mails landen im Spam-/Quarantäne-Ordner. Empfänger können sie noch einsehen, aber sie sind stigmatisiert.

p=reject - Ablehnen

Nicht-konforme E-Mails werden vom empfangenden Mailserver vollständig abgelehnt. Maximaler Schutz - aber nur aktivieren, wenn alle legitimen E-Mail-Quellen korrekt konfiguriert sind.

Implementierung in 5 Schritten

Schritt 1: DMARC-Report-Empfänger einrichten

Richten Sie eine Mailbox oder einen DMARC-Report-Aggregator (z. B. DMARC Analyzer, Valimail, dmarcian) ein.

Schritt 2: SPF korrekt konfigurieren

Listen Sie alle legitimen Mailserver auf. Prüfen Sie: Marketing-Tools (Mailchimp, HubSpot), CRM-Systeme, ERP-Systeme, Cloud-Services (Office 365, Google Workspace).

Schritt 3: DKIM einrichten

Aktivieren Sie DKIM-Signierung für alle legitimen E-Mail-Quellen.

Schritt 4: DMARC mit p=none einschalten

_dmarc.ihredomain.de. TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihredomain.de"

Schritt 5: Reports analysieren und Policy verschärfen

Analysieren Sie 4-6 Wochen lang die Berichte. Identifizieren Sie unbekannte Mailquellen. Konfigurieren Sie SPF/DKIM für alle legitimen Quellen nach. Dann Schritt für Schritt: p=quarantinep=reject.

Warum DMARC für Unternehmen unverzichtbar ist

Ab Februar 2024: Google und Yahoo verlangen DMARC für Bulk-Versender (>5.000 Mails/Tag). Ohne korrekte DMARC-Konfiguration landen E-Mails in Spam oder werden abgelehnt.

BIMI-Voraussetzung: Brand Indicators for Message Identification (BIMI) zeigt das Unternehmenslogo in der Inbox - aber nur wenn DMARC auf p=quarantine oder p=reject steht.

Phishing-Schutz: Ohne DMARC kann jeder Angreifer E-Mails im Namen Ihrer Domain versenden. Mit p=reject ist dies technisch unmöglich.

Laut AWARE7-Daten hatten im Jahr 2025 noch 38% der DAX40-Unternehmen kein oder nur ein p=none-DMARC - und boten damit offene Flanken für E-Mail-Spoofing.

Weiterführende Informationen: Kostenlosen Domain-Check starten | E-Mail-Sicherheit verbessern

Quellen & Referenzen

  1. [1] RFC 7489 - DMARC: Domain-based Message Authentication, Reporting, and Conformance - IETF
  2. [2] BIMI - Brand Indicators for Message Identification - BIMI Group
  3. [3] Google/Yahoo DMARC-Anforderung ab Februar 2024 - Google

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 03.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung