DMARC einrichten

DMARC teilt E-Mail-Empfängerservern mit, wie vorzugehen ist, wenn sie eine Nachricht von Ihrer Domain erhalten, die die SPF- oder DKIM-Authentifizierung nicht bestanden hat. Die betreffenden E-Mails können abgelehnt, in Quarantäne verschoben oder zugestellt werden. Sie können auch Berichte erhalten, mit denen Sie mögliche Authentifizierungsprobleme und schädliche Aktivitäten in Bezug auf Nachrichten ermitteln können, die von Ihrer Domain gesendet werden. Zum Einrichten von DMARC fügen Sie Ihrer Domain einen DMARC-DNS-TXT-Eintrag (DMARC-Eintrag) hinzu.

Ein DMARC-Eintrag ist eine Textzeile, die Sie Ihrer Domain gemäß den Anweisungen Ihres Domainanbieters hinzufügen. Hier ist ein Beispiel für einen DMARC-Eintrag:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Wenn Empfängerserver E-Mails von Ihrer Domain erhalten, die die SPF- oder DKIM-Prüfung nicht bestehen, prüfen sie Ihren DMARC-Eintrag, um zu ermitteln, was mit den Nachrichten geschehen soll: ablehnen, in Quarantäne verschieben oder normal zustellen.

Themen in diesem Hilfeartikel

Hinweis

  • Sie müssen SPF und/oder DKIM für Ihre Domain aktivieren, bevor Sie DMARC verwenden können. Wenn Sie SPF und/oder DKIM noch nicht eingerichtet haben, lesen Sie den Hilfeartikel Spoofing, Phishing und Spam verhindern.

    • Wenn Sie SPF und/oder DKIM vor der Aktivierung von DMARC nicht einrichten, gibt es möglicherweise Probleme bei der Zustellung von Nachrichten aus Ihrer Domain.
    • Nach der Einrichtung von SPF und/oder DKIM dauert es 48 Stunden, bis auch DMARC eingerichtet werden kann.

  • Wenn Sie prüfen möchten, ob DMARC bereits für Ihre Domain eingerichtet ist, können Sie eines der vielen kostenlosen Tools im Internet verwenden. Wenn DMARC bereits eingerichtet ist, sollten Sie Ihre DMARC-Berichte prüfen, um sicherzustellen, dass Nachrichten effektiv authentifiziert werden und wie erwartet zugestellt werden.

  • Sie müssen in der Admin-Konsole nichts tun, um DMARC einzurichten. Bestimmen Sie stattdessen Ihren DMARC-Eintrag anhand der Anleitung auf dieser Seite. Melden Sie sich dann bei Ihrem Domainhost an und fügen Sie den DMARC-Eintrag gemäß den Anweisungen des Domainhosts für DMARC hinzu.

Schritt 1: Gruppe oder Postfach für Berichte einrichten

Wie viele DMARC-Berichte Sie erhalten, hängt davon ab, wie viele E-Mails in Ihrer Domain gesendet werden und an wie viele Domains Sie E-Mails senden. Es kann also sein, dass Sie jeden Tag mehrere erhalten. Bei großen Unternehmen können täglich Hunderte oder sogar Tausende von Berichten eingehen. Google empfiehlt, eine Gruppe oder ein eigenes Postfach zu erstellen, in dem Sie DMARC-Berichte empfangen und verwalten können.

Wichtig: Die E-Mail-Adresse für Berichte befindet sich normalerweise in derselben Domain wie die Domain, auf der Ihr DMARC-Eintrag gehostet wird. Wenn die E-Mail-Adresse eine andere Domain hat, müssen Sie in der anderen Domain einen DNS-Eintrag hinzufügen. Weitere Informationen finden Sie auf der Seite DMARC-Berichte unter Berichte an eine E-Mail-Adresse in einer anderen Domain senden.

Schritt 2: E-Mails von Drittanbietern authentifizieren

Wenn Sie einen Drittanbieterdienst verwenden, um E-Mails für Ihre Organisation zu senden, müssen Sie dafür sorgen, dass Nachrichten, die von Drittanbietern gesendet werden, authentifiziert werden und die SPF- und DKIM-Prüfungen bestehen:

  • Wenden Sie sich an den Drittanbieter, um sicherzustellen, dass SPF und DKIM korrekt eingerichtet sind.
  • Achten Sie darauf, dass die Envelope-Absenderdomain des Anbieters mit Ihrer Domain übereinstimmt. Fügen Sie dem SPF-Eintrag für Ihre Domain die IP-Adresse des sendenden E-Mail-Servers des Anbieters hinzu.
  • Leiten Sie ausgehende E-Mails vom Anbieter über Google weiter, indem Sie die Einstellung SMTP-Relaydienst verwenden.

Schritt 3: DMARC-Eintrag bestimmen

Ihre DMARC-Richtlinien werden in einer Zeile mit Textwerten definiert, einem sogenannten DMARC Eintrag. Dieser Eintrag definiert Folgendes:

  • Wie streng Nachrichten per DMARC geprüft werden sollen
  • Empfohlene Aktionen für den empfangenden Server, wenn dort Nachrichten eingehen, die die Authentifizierungsprüfungen nicht bestanden haben

Beispiel für einen DMARC-Eintrag (ersetzen Sie example.com durch Ihre Domain):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

Die Tags v und p müssen zuerst aufgeführt werden. Andere Tags können in beliebiger Reihenfolge aufgeführt werden.

Wir empfehlen, für die erste Anwendung von DMARC für die Richtlinienoption (p) die Einstellung none (keine) festzulegen. Wenn Sie wissen, wie Nachrichten aus Ihrer Domain von empfangenden Servern authentifiziert werden, können Sie Ihre Richtlinie aktualisieren. Legen Sie dann im Lauf der Zeit für die Empfängerrichtlinie die Einstellung quarantine (Quarantäne) oder reject (Ablehnen) fest. Weitere Informationen finden Sie unter Empfohlene DMARC-Einführung.

Definitionen und Werte von Tags in DMARC-Einträgen

Tag Beschreibung und Werte
v

Erforderlich: DMARC-Version. Muss DMARC1 lauten.
p Erforderlich: Weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten.
  • none (keine): Die Nachricht wird ohne weitere Maßnahmen an den vorgesehenen Empfänger zugestellt. Nachrichten werden in einem täglichen Bericht protokolliert. Der Bericht wird an die E-Mail-Adresse gesendet, die mit der Option rua im Eintrag angegeben ist.
  • quarantine—Die Nachrichten werden als Spam markiert und an den Spamordner des Empfängers gesendet. Empfänger können Spamnachrichten prüfen, um zulässige Nachrichten zu finden.
  • reject—Nachricht ablehnen. Bei dieser Option sendet der Empfängerserver in der Regel eine Unzustellbarkeitsnachricht an den sendenden Server.

Hinweis zu BIMI:Wenn Ihre Domain BIMI verwendet, muss die DMARC p-Option auf quarantine oder reject gesetzt sein. BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none (keine) festgelegt wurde.
pct

Das Tag pct ist optional. Google empfiehlt jedoch, es bei der Einführung von DMARC in Ihren DMARC-Eintrag aufzunehmen, damit Sie den Prozentsatz der E-Mails verwalten können, auf die Ihre DMARC-Richtlinie angewendet wird.

Gibt den Prozentsatz der nicht authentifizierten Nachrichten an, die der DMARC-Richtlinie unterliegen. Wenn Sie DMARC nach und nach bereitstellen, können Sie mit einem kleinen Prozentsatz Ihrer Nachrichten beginnen. Wenn mehr Nachrichten von Ihrer Domain die Authentifizierung auf den Empfängerservern bestehen, erhöhen Sie den Prozentsatz, bis 100 % erreicht sind.

Muss eine ganze Zahl zwischen 1 und 100 sein. Wenn Sie diese Option nicht im Eintrag verwenden, gilt die DMARC-Richtlinie für alle Nachrichten, die von Ihrer Domain gesendet werden.

Hinweis zu BIMI:Wenn Ihre Domain BIMI verwendet, muss der pct-Wert Ihrer DMARC-Richtlinien 100 betragen. BIMI unterstützt keine DMARC-Richtlinien, bei denen für pct ein Wert unter 100 festgelegt wurde.
rua

Das Tag rua ist optional. Google empfiehlt jedoch, es immer in Ihren DMARC-Eintrag aufzunehmen.

Senden Sie DMARC-Berichte an eine E-Mail-Adresse. Die E-Mail-Adresse muss mailto: enthalten.
Beispiel: mailto:dmarc-reports@beispiel.de (ersetzen Sie beispiel.de durch Ihre Domain).

  • Wenn Sie DMARC-Berichte an mehrere E-Mail-Adressen senden möchten, trennen Sie die einzelnen E-Mail-Adressen durch Kommas und fügen Sie vor jeder E-Mail-Adresse das Präfix mailto: hinzu. Beispiel: mailto:dmarc-reports@beispiel.de, mailto:dmarc-admin@beispiel.de (ersetzen Sie beispiel.de durch Ihre Domain).
  • Diese Option kann zu einer großen Anzahl von Berichts-E-Mails führen. Wir empfehlen, nicht Ihre eigene E-Mail-Adresse zu verwenden. Nutzen Sie stattdessen möglichst ein separates Postfach, eine Gruppe oder einen Drittanbieterdienst speziell für DMARC-Berichte.
  • Wenn Sie DMARC-Berichte an eine E-Mail-Adresse senden möchten, die sich in einer anderen Domain als der Domain befindet, auf der Ihr DMARC-Eintrag gehostet wird, fügen Sie den DNS-Einträgen der E-Mail-Domain einen TXT-Eintrag hinzu. Weitere Informationen finden Sie auf der Seite DMARC-Berichte unter Berichte an eine E-Mail-Adresse in einer anderen Domain senden.
ruf

Nicht unterstützt: Das Tag ruf , mit dem Fehlerberichte gesendet werden, wird in Gmail nicht unterstützt. Fehlerberichte werden auch forensische Berichte genannt.
sp Optional: Legt die Richtlinie für Nachrichten fest, die über Subdomains Ihrer primären Domain gesendet werden. Diese Option können Sie nutzen, wenn Sie eine andere DMARC-Richtlinie für Ihre Subdomains verwenden möchten.
  • noneDie Nachricht wird ohne weitere Maßnahmen an den vorgesehenen Empfänger zugestellt. Nachrichten werden in einem täglichen Bericht protokolliert. Der Bericht wird an die E-Mail-Adresse gesendet, die mit der Option rua in der Richtlinie angegeben ist.
  • quarantineDie Nachrichten werden als Spam markiert und an den Spamordner des Empfängers gesendet. Empfänger können Spamnachrichten prüfen, um zulässige Nachrichten zu finden.
  • reject**reject** (Ablehnen): Die Nachricht wird abgelehnt. Bei dieser Option sendet der Empfängerserver eine Unzustellbarkeitsnachricht an den sendenden Server.

Wenn Sie diese Option nicht im Eintrag verwenden, wird für die Subdomains die für die übergeordnete Domain festgelegte DMARC-Richtlinie übernommen.
adkim Optional: Legt die Abgleichrichtlinie für DKIM fest. Darin ist definiert, wie genau Nachrichteninformationen mit DKIM-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich finden Sie weiter unten auf dieser Seite.
  • sStrenger Abgleich (strict). Der Name der Absenderdomain muss genau mit dem entsprechenden Wert d=Domainname in den DKIM-E-Mail-Headern übereinstimmen.
  • rLockerer Abgleich (relaxed), die Standardeinstellung. Teilweise Übereinstimmungen sind zulässig. Jede gültige Subdomain von d=domain in den DKIM-E-Mail-Headern wird akzeptiert.
aspf Optional: Legt die Abgleichrichtlinie für SPF fest. Darin ist definiert, wie genau Nachrichteninformationen mit SPF-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich finden Sie weiter unten auf dieser Seite.
  • sStrenger Abgleich (strict). Der Nachrichtenheader „Von“ muss genau mit dem Domainnamen im Befehl „SMTP MAIL FROM“ übereinstimmen.
  • r Lockerer Abgleich (relaxed), die Standardeinstellung. Teilweise Übereinstimmungen sind zulässig. Jede gültige Subdomain des Domainnamens wird akzeptiert.

DMARC-Abgleich

Nachrichten können die DMARC-Prüfung bestehen oder nicht, je nachdem, wie weit die Domain im Header Von: mit der von SPF oder DKIM angegebenen Absenderdomain übereinstimmt. Das wird als Abgleich bezeichnet.

Sie haben die Wahl zwischen zwei Abgleichsmodi: „strict“ (streng) oder „relaxed“ (locker). Sie können den Abgleichsmodus für SPF und DKIM im DMARC-Eintrag mit den aspf und adkim DMARC-Eintrags-Tags festlegen.

Authentifizierungsmethode Strenger Abgleich Lockerer Abgleich
SPF Eine genaue Übereinstimmung zwischen der Domain in der Adresse des Envelope-Absenders (auch als Rücksendepfadadresse bezeichnet) und der Domain in der Adresse im Header Von:. Die Domain der Adresse im Header Von: muss mit der Domain in der Adresse des Envelope-Absenders (auch als Rücksendepfadadresse bezeichnet) übereinstimmen oder eine Subdomain davon sein.
DKIM Eine genaue Übereinstimmung zwischen der relevanten DKIM-Domain und der Domain der Adresse im Header Von:. Die Domain der Adresse im Header Von: muss mit der Domain übereinstimmen, die im DKIM-Signatur-Tag d= angegeben ist, oder eine Subdomain davon sein.

In bestimmten Fällen empfiehlt Google, zum strengen Abgleich zu wechseln, um den Schutz vor Spoofing zu erhöhen:

  • E-Mails werden von einer Subdomain außerhalb Ihrer Kontrolle gesendet.
  • Sie haben Subdomains, die von einer anderen Entität verwaltet werden.

Für eine erfolgreiche DMARC-Authentifizierung müssen Nachrichten mindestens eine der folgenden Prüfungen bestehen:

  • SPF-Authentifizierung und SPF-Abgleich
  • DKIM-Authentifizierung und DKIM-Abgleich

Eine DMARC-Authentifizierung schlägt fehl, wenn Nachrichten die folgenden beiden Prüfungen nicht bestehen:

  • SPF oder SPF-Abgleich
  • DKIM oder DKIM-Abgleich

Schritt 4: DMARC-Eintrag Ihrer Domain hinzufügen

Wichtig: Lesen Sie für diesen Schritt die DMARC-Hilfe Ihres Domainhosts. Die Schritte zum Hinzufügen eines DMARC-Eintrags variieren je nach Domainhost.

Eintrag hinzufügen oder aktualisieren

Wichtig: Richten Sie DKIM und SPF ein, bevor Sie DMARC einrichten. Nachrichten sollten mindestens 48 Stunden mit DKIM und SPF authentifiziert werden, bevor Sie DMARC aktivieren.

  1. Halten Sie die Textdatei oder Zeile für Ihren DMARC-Eintrag bereit.
  2. Melden Sie sich bei Ihrem Domainhost an. Das ist in der Regel der Anbieter, bei dem Sie Ihren Domainnamen erworben haben. Wenn Sie sich nicht sicher sind, welchen Domainhost Sie verwenden, lesen Sie den Hilfeartikel Domainregistrar identifizieren.
  3. Rufen Sie die Seite auf, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren. Wenn Sie nicht wissen, wo Sie diese Seite finden, sehen Sie in der Dokumentation zu Ihrer Domain nach.

  4. Fügen Sie den TXT-Eintrag mit diesen Informationen hinzu oder aktualisieren Sie ihn (siehe Dokumentation für Ihre Domain):

    Feldname Einzugebender Wert
    Typ Der Eintragstyp ist TXT.
    Host (Name, Hostname, Alias) Dieser Wert sollte _dmarc.beispiel.de lauten (ersetzen Sie beispiel.de durch Ihren Domainnamen).
    Wert Die Stringfolge, aus der der TXT-Eintrag besteht. Beispiel: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Weitere Informationen finden Sie weiter oben auf dieser Seite unter DMARC-Eintrag bestimmen.
    Hinweis: Bei einigen Domainhosts wird der Domainname automatisch hinzugefügt. Nachdem Sie den TXT-Eintrag hinzugefügt oder aktualisiert haben, prüfen Sie, ob der Domainname im DMARC-Eintrag richtig formatiert ist.
  5. Speichern Sie die Änderungen.
  6. Wenn Sie DMARC für mehrere Domains einrichten, führen Sie diese Schritte für jede Domain aus. Jede Domain kann eine andere Richtlinie sowie unterschiedliche Berichtsoptionen haben (im Eintrag definiert).
  7. Wenn Sie prüfen möchten, ob DMARC für Ihre Domain eingerichtet ist, können Sie eines der vielen kostenlosen Tools im Internet verwenden.


Google, Google Workspace sowie zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.