Zum Hauptinhalt springen
EU Web Security: In 10 Schritten zum besseren Rating · Teil 2

DMARC: Von "none" zu "reject" — in drei Schritten

46,8% der EU-Websites haben DMARC, aber 63% setzen die Policy auf "none". Warum das niemanden schützt, und wie Sie es richtig machen.

· SiteGuardian

Teil 2 der Serie „EU Web Security: In 10 Schritten zum besseren Rating"

Das Problem

Jemand schickt eine E-Mail von geschaeftsfuehrung@ihre-domain.de an Ihren Kunden. Die Mail enthält eine Zahlungsaufforderung. Sie stammt nicht von Ihnen.

Ohne DMARC: Der Mailserver des Empfängers hat keine Möglichkeit zu prüfen, ob die Absenderdomain legitim ist. Die Mail landet im Posteingang.

Mit DMARC auf reject: Der Mailserver prüft SPF und DKIM, stellt fest dass die Mail nicht autorisiert ist, und lehnt sie ab. Sie wird nie zugestellt.

46,8% der europäischen Websites haben einen DMARC-Record. Aber 63% davon setzen die Policy auf none — also keine Durchsetzung. Die Domain bleibt spoofbar, als hätte man gar kein DMARC.

Was wir im Benchmark sehen

Aus über 700.000 europäischen Websites:

  • SPF: 75,7% — die meisten haben die Grundlage
  • DKIM: 31,1% — weniger als ein Drittel signieren ihre Mails
  • DMARC: 46,8% — aber davon:
  • policy=none: 63% (beobachtet nur, blockiert nichts)
  • policy=quarantine: 17% (verschiebt in Spam)
  • policy=reject: 20% (lehnt ab — der einzige wirksame Schutz)

Und dann die Fehlkonfigurationen: quarantaine, rejet, keiner, brak, beleidsnaam — Tippfehler die dazu führen, dass der Record nicht erkannt wird. Der DMARC-Standard ist strikt: ein Tippfehler im Policy-Feld und die gesamte Konfiguration wird ignoriert.

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) baut auf SPF und DKIM auf:

  1. SPF prüft: Darf dieser Mailserver im Namen meiner Domain senden?
  2. DKIM prüft: Wurde die Nachricht unterwegs verändert?
  3. DMARC sagt: Was soll passieren, wenn SPF und DKIM scheitern?

Ohne DMARC entscheidet jeder empfangende Mailserver selbst. Mit DMARC entscheiden Sie.

Die drei Schritte

Schritt 1: DMARC auf none setzen (Tag 1)

Erstellen Sie einen TXT-Record für _dmarc.ihre-domain.de:

v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de
  • p=none — keine Durchsetzung, nur Beobachtung
  • rua=mailto:... — hierhin schicken empfangende Server aggregierte Reports

Die Reports zeigen Ihnen, wer E-Mails in Ihrem Namen versendet. Oft entdecken Sie dabei Newsletter-Tools, CRM-Systeme oder Drittanbieter, die Sie vergessen haben.

Warten Sie 2-4 Wochen. Analysieren Sie die Reports. Stellen Sie sicher, dass alle legitimen Absender SPF- oder DKIM-aligned sind.

Schritt 2: Auf quarantine eskalieren (Woche 3-4)

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-reports@ihre-domain.de
  • p=quarantine — nicht-authentifizierte Mails gehen in den Spam-Ordner
  • pct=10 — nur 10% der Mails werden so behandelt (stufenweiser Rollout)

Beobachten Sie die Reports. Keine Beschwerden? Erhöhen Sie pct auf 50, dann 100.

Schritt 3: Auf reject eskalieren (Woche 5-6)

v=DMARC1; p=reject; rua=mailto:dmarc-reports@ihre-domain.de

Jetzt werden gefälschte Mails komplett abgelehnt. Ihre Domain ist geschützt.

SPF und DKIM müssen stimmen

DMARC funktioniert nur, wenn mindestens SPF oder DKIM korrekt konfiguriert sind:

SPF: Ein TXT-Record für ihre-domain.de der alle autorisierten Mailserver auflistet:

v=spf1 include:_spf.google.com include:spf.brevo.com -all

Das -all am Ende ist entscheidend — es sagt „alle anderen ablehnen". ~all (Tilde) ist ein Softfail und wird oft ignoriert.

DKIM: Ihr Mailprovider generiert ein Schlüsselpaar. Der öffentliche Schlüssel wird als TXT-Record unter selektor._domainkey.ihre-domain.de eingetragen. Fragen Sie Ihren Provider — die meisten haben eine Anleitung.

Häufige Fehler

1. Drittanbieter vergessen. Newsletter-Tools (Mailchimp, Brevo), Ticketsysteme (Zendesk, Freshdesk), CRM (HubSpot) — alle senden Mails in Ihrem Namen. Alle müssen im SPF-Record stehen oder DKIM-signieren.

2. Subdomains nicht beachten. DMARC gilt standardmäßig auch für Subdomains. Wenn marketing.ihre-domain.de Mails versendet, muss auch das abgedeckt sein. Nutzen Sie sp=reject für eine separate Subdomain-Policy.

3. Reports nicht lesen. Die DMARC-Reports als XML sind nicht leserfreundlich. Nutzen Sie einen kostenlosen Report-Analyzer (dmarcian, Postmark DMARC Tool) um zu verstehen, was passiert.

Regulatorischer Kontext

  • NIS2 Art. 21(2)(j) verlangt Maßnahmen zur „Sicherheit der Lieferkette" — dazu gehört die Absicherung der E-Mail-Kommunikation mit Partnern und Zulieferern.
  • DSGVO Art. 32 fordert „geeignete technische Maßnahmen" — E-Mail-Spoofing ermöglicht Phishing, das zu Datenschutzverletzungen führt.
  • DORA Art. 7 verlangt vom Finanzsektor die Identifikation und Klassifikation aller IKT-Risiken — E-Mail-basierte Angriffe gehören zu den häufigsten.

Prüfen Sie Ihre Domain

SiteGuardian prüft SPF, DKIM, DMARC, STARTTLS und MTA-STS in einem Scan — und zeigt Ihnen nicht nur ob die Records existieren, sondern ob sie korrekt funktionieren:

https://siteguardian.io/scan

Nächste Woche in Teil 3: Content Security Policy — die wirksamste Einzelmaßnahme gegen XSS, die bei 89% der EU-Websites fehlt.

Dieser Artikel ist Teil der Serie „EU Web Security: In 10 Schritten zum besseren Rating". Die Daten stammen aus dem SiteGuardian EU Web Security Benchmark mit über 700.000 bewerteten Websites.

Wie schneidet Ihre Website im Vergleich ab?

SiteGuardian scannt Ihre Domain über sechs Sicherheitsdimensionen — kostenlos, sofort, ohne Registrierung.

Website scannen

EU Web Security: In 10 Schritten zum besseren Rating

Dieser Artikel ist Teil einer wöchentlichen Serie zu Best Practices der EU-Web-Sicherheit.

SiteGuardian

2026-04-20

RSS