DMARC einrichten

DMARC teilt E‑Mail-Empfängerservern mit, wie vorzugehen ist, wenn sie eine Nachricht von Ihrer Domain erhalten, die die SPF- oder DKIM-Authentifizierung nicht bestanden hat. Die verfügbaren Aktionen sind „Ablehnen“, „Unter Quarantäne stellen“ oder „Nachricht zustellen“. Sie können auch Berichte abrufen, mit denen Sie mögliche Authentifizierungsprobleme und schädliche Aktivitäten in Bezug auf Nachrichten ermitteln können, die von Ihrer Domain gesendet werden. Richten Sie DMARC ein, indem Sie Ihrer Domain einen DMARC-DNS-TXT-Eintrag (DMARC-Eintrag) hinzufügen.

Ein DMARC-Eintrag ist eine Textzeile, die Sie Ihrer Domain gemäß der Anleitung Ihres Domainanbieters hinzufügen. Beispiel für einen DMARC-Eintrag:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Wenn Empfängerserver E‑Mails von Ihrer Domain erhalten, die die SPF- oder DKIM-Prüfung nicht bestehen, wird anhand Ihres DMARC-Eintrags festgelegt, was mit den Nachrichten geschehen soll: ablehnen, unter Quarantäne stellen oder normal zustellen.

Themen in diesem Hilfeartikel

Hinweis

  • Sie müssen SPF und/oder DKIM für Ihre Domain aktivieren, bevor Sie DMARC verwenden können. Wenn Sie SPF und/oder DKIM noch nicht eingerichtet haben, lesen Sie den Hilfeartikel Spoofing, Phishing und Spam verhindern.
    • Wenn Sie SPF und/oder DKIM vor der Aktivierung von DMARC nicht einrichten, gibt es möglicherweise Probleme bei der Zustellung von Nachrichten aus Ihrer Domain.
    • Nach der Einrichtung von SPF und/oder DKIM dauert es 48 Stunden, bis auch DMARC eingerichtet werden kann.
  • Um zu prüfen, ob DMARC bereits für Ihre Domain eingerichtet ist, können Sie eines der vielen kostenlosen Tools im Internet verwenden. Wenn DMARC bereits eingerichtet ist, sollten Sie Ihre DMARC-Berichte prüfen, um sicherzustellen, dass Nachrichten effektiv authentifiziert und wie erwartet zugestellt werden.
  • Sie müssen in der Google Admin-Konsole nichts tun, um DMARC einzurichten. Bestimmen Sie stattdessen Ihren DMARC-Eintrag anhand der Anleitung auf dieser Seite. Melden Sie sich dann bei Ihrem Domainhost an und fügen Sie den DMARC-Eintrag gemäß der DMARC-Anleitung des Domainhosts hinzu.

Schritt 1: Gruppe oder Postfach für Berichte einrichten

Wie viele DMARC-Berichte Sie per E-Mail erhalten, hängt davon ab, wie viele E-Mails in Ihrer Domain gesendet werden und an wie viele Domains Sie E-Mails senden. Es kann also sein, dass Sie jeden Tag mehrere erhalten. Bei großen Unternehmen können täglich hunderte oder sogar tausende von Berichten eingehen. Google empfiehlt, eine Gruppe oder ein eigenes Postfach zu erstellen, in dem Sie DMARC-Berichte empfangen und verwalten können.

Wichtig:Die E-Mail-Adresse für Berichte befindet sich normalerweise in derselben Domain wie die Domain, auf der Ihr DMARC-Eintrag gehostet wird. Wenn die E‑Mail-Adresse eine andere Domain hat, müssen Sie einen DNS-Eintrag für die andere Domain hinzufügen. Weitere Informationen finden Sie auf der Seite „DMARC-Berichte“ im Abschnitt Berichte an eine E-Mail-Adresse in einer anderen Domain senden.

Schritt 2: Prüfen, ob Drittanbieter-E-Mails authentifiziert werden

Wenn Sie einen Drittanbieterdienst zum Senden von E‑Mails für Ihre Organisation verwenden, müssen Sie dafür sorgen, dass Nachrichten, die von Drittanbieterdiensten gesendet werden, authentifiziert werden und die SPF- und DKIM-Prüfungen bestehen:

  • Wenden Sie sich an den Drittanbieter, um sicherzustellen, dass SPF und DKIM korrekt eingerichtet wurden.
  • Achten Sie darauf, dass die Envelope-Absenderdomain des Anbieters mit Ihrer Domain übereinstimmt. Fügen Sie dem SPF-Eintrag für Ihre Domain die IP-Adresse des sendenden E-Mail-Servers des Anbieters hinzu.
  • Ausgehende E-Mails vom Anbieter müssen mit dem SMTP-Relay-Dienst über Google weitergeleitet werden.

Schritt 3: DMARC-Eintrag bestimmen

Ihre DMARC-Richtlinien werden in einer Zeile mit Textwerten definiert, einem sogenannten DMARC-Eintrag. Mit diesem Eintrag wird Folgendes festgelegt:

  • Wie streng Nachrichten per DMARC geprüft werden sollen
  • Empfohlene Aktionen für den empfangenden Server, wenn dort Nachrichten eingehen, die die Authentifizierungsprüfungen nicht bestanden haben

Beispiel für einen DMARC-Eintrag (ersetzen Sie example.com durch Ihre Domain):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Die Tags v und p müssen zuerst aufgeführt werden. Andere Tags können in beliebiger Reihenfolge aufgeführt werden.

Wenn Sie mit der Verwendung von DMARC beginnen, empfehlen wir, die Richtlinienoption (p) auf none (keine) festzulegen. Wenn Sie wissen, wie Nachrichten aus Ihrer Domain von empfangenden Servern authentifiziert werden, können Sie Ihre Richtlinie aktualisieren. Legen Sie dann im Lauf der Zeit für die Empfängerrichtlinie die Einstellung quarantine (Quarantäne) oder reject (Ablehnen) fest. Weitere Informationen finden Sie unter Empfohlene DMARC-Einführung.

Definitionen und Werte von Tags in DMARC-Einträgen

Tag Beschreibung und Werte
v

(Erforderlich) DMARC-Version. Muss DMARC1 sein.
p Erforderlich: Weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten.
  • none Die Nachricht wird ohne weitere Maßnahmen an den vorgesehenen Empfänger zugestellt. Nachrichten in einem täglichen Bericht protokollieren. Der Bericht wird an die E-Mail-Adresse gesendet, die mit der Option rua im Eintrag angegeben wurde.
  • quarantine— Die Nachrichten werden als Spam markiert und an den Spamordner des Empfängers gesendet. Empfänger können überprüfen, ob der Spamordner auch zulässige Nachrichten enthält.
  • reject—Die Nachricht wird abgelehnt. Bei dieser Option sendet der Empfängerserver in der Regel eine Unzustellbarkeitsnachricht an den sendenden Server.

Hinweis zu BIMI: Wenn Ihre Domain BIMI verwendet, muss die p-Option von DMARC auf quarantine (Quarantäne) oder reject (ablehnen) gesetzt sein. BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none (keine) festgelegt wurde.
pct

Das pct-Tag ist optional. Google empfiehlt jedoch, es in Ihren DMARC-Eintrag aufzunehmen, wenn Sie DMARC einführen. So können Sie den Prozentsatz der E-Mails verwalten, auf die Ihre DMARC-Richtlinie angewendet wird.

Gibt den Prozentsatz der nicht authentifizierten Nachrichten an, die der DMARC-Richtlinie unterliegen. Wenn Sie DMARC nach und nach bereitstellen, können Sie mit einem kleinen Prozentsatz Ihrer Nachrichten beginnen. Wenn mehr Nachrichten von Ihrer Domain die Authentifizierung auf den Empfängerservern bestehen, erhöhen Sie den Prozentsatz, bis 100 % erreicht sind.

Muss eine ganze Zahl zwischen 1 und 100 sein. Wenn Sie diese Option nicht im Eintrag verwenden, gilt die DMARC-Richtlinie für alle Nachrichten, die von Ihrer Domain gesendet werden.

Hinweis zu BIMI: Wenn Ihre Domain BIMI verwendet, muss der pct-Wert Ihrer DMARC-Richtlinie 100 betragen. BIMI unterstützt keine DMARC-Richtlinien, bei denen für pct ein Wert unter 100 festgelegt wurde.
rua

Das Tag rua ist optional, Google empfiehlt jedoch, es immer in Ihren DMARC-Eintrag aufzunehmen.

DMARC-Berichte an eine E-Mail-Adresse senden Die E-Mail-Adresse muss mailto: enthalten.
Beispiel: mailto:dmarc-reports@beispiel.de (ersetzen Sie beispiel.de durch Ihre Domain).

  • Wenn Sie DMARC-Berichte an mehrere E-Mail-Adressen senden möchten, trennen Sie die einzelnen E-Mail-Adressen durch Kommas und fügen Sie vor jeder E-Mail-Adresse das Präfix mailto: hinzu. Beispiel: mailto:dmarc-reports@beispiel.de, mailto:dmarc-admin@beispiel.de (ersetzen Sie beispiel.de durch Ihre Domain).
  • Diese Option kann zu sehr vielen Bericht-E-Mails führen. Wir raten davon ab, Ihre eigene E‑Mail-Adresse zu verwenden. Nutzen Sie stattdessen möglichst ein separates Postfach, eine Gruppe oder einen Drittanbieterdienst speziell für DMARC-Berichte.
  • Wenn Sie DMARC-Berichte an eine E-Mail-Adresse senden möchten, die sich in einer anderen Domain als der Domain befindet, auf der Ihr DMARC-Eintrag gehostet wird, fügen Sie den DNS-Einträgen der E-Mail-Domain einen TXT-Eintrag hinzu. Weitere Informationen finden Sie auf der Seite DMARC-Berichte im Abschnitt Berichte an eine E-Mail-Adresse in einer anderen Domain senden.
ruf

(Nicht unterstützt) Das Tag ruf, mit dem Fehlerberichte gesendet werden, wird in Gmail nicht unterstützt. Fehlerberichte werden auch als forensische Berichte bezeichnet.
sp Optional: Legt die Richtlinie für Nachrichten fest, die über Subdomains Ihrer primären Domain gesendet werden. Diese Option können Sie nutzen, wenn Sie eine andere DMARC-Richtlinie für Ihre Subdomains verwenden möchten.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine Die Nachrichten werden als Spam markiert und an den Spamordner des Empfängers gesendet. Empfänger können überprüfen, ob der Spamordner auch zulässige Nachrichten enthält.
  • reject Die Nachricht wird abgelehnt. Bei dieser Option sendet der Empfängerserver eine Unzustellbarkeitsnachricht an den sendenden Server.

Wenn Sie diese Option nicht im Eintrag verwenden, wird für die Subdomains die für die übergeordnete Domain festgelegte DMARC-Richtlinie übernommen.
adkim Optional: Legt die Abgleichrichtlinie für DKIM fest. Darin ist definiert, wie genau Nachrichteninformationen mit DKIM-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich (weiter unten auf dieser Seite)
  • s Strenger Abgleich. Der Name der Absenderdomain muss genau mit dem entsprechenden Wert d=domainname in den DKIM-E-Mail-Headern übereinstimmen.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf Optional: Legt die Abgleichrichtlinie für SPF fest. Darin ist definiert, wie genau Nachrichteninformationen mit SPF-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich (weiter unten auf dieser Seite)
  • s Strenger Abgleich. Der Nachrichtenheader „Von“ muss genau mit dem Domainnamen im Befehl „SMTP MAIL FROM“ übereinstimmen.
  • rLockerer Abgleich (relaxed), die Standardeinstellung. Es sind auch teilweise Übereinstimmungen zulässig. Jede gültige Subdomain des Domainnamens wird akzeptiert.

DMARC-Abgleich

Nachrichten können die DMARC-Prüfung bestehen oder nicht, je nachdem, wie weit die Domain im Von:-Header mit der von SPF oder DKIM angegebenen Absenderdomain übereinstimmt. Das wird als Abgleich bezeichnet.

Sie haben die Wahl zwischen zwei Abgleichsmodi: „strict“ (streng) oder „relaxed“ (locker). Sie können den Abgleichsmodus für SPF und DKIM im DMARC-Eintrag mit den DMARC-Eintrags-Tags aspf und adkim festlegen.

Authentifizierungsmethode Strenger Abgleich Lockerer Abgleich
SPF Eine genaue Übereinstimmung zwischen der Domain in der Adresse des Envelope-Absenders (auch als Rücksendepfadadresse bezeichnet) und der Domain in der Adresse im Von:-Header. Die Domain der Adresse im Von-Header muss mit der Domain in der Adresse des Envelope-Absenders (auch als Rücksendepfadadresse bezeichnet) übereinstimmen oder eine Subdomain davon sein.
DKIM Eine genaue Übereinstimmung zwischen der relevanten DKIM-Domain und der Domain der Adresse im Von:-Header. Die Domain der Adresse im Von:-Header muss mit der Domain übereinstimmen, die im DKIM-Signatur-Tag d= angegeben ist, oder eine Subdomain davon sein.

In bestimmten Fällen empfiehlt Google, den strengen Abgleich zu verwenden, um den Schutz vor Spoofing zu erhöhen:

  • E-Mails werden von einer Subdomain außerhalb Ihrer Kontrolle gesendet.
  • Sie haben Subdomains, die von einer anderen Entität verwaltet werden.
Wichtig:Ein lockerer Abgleich bietet in der Regel einen ausreichenden Schutz vor Spoofing. Ein strenger Abgleich kann dazu führen, dass Nachrichten von zugehörigen Subdomains abgelehnt oder an den Spamordner gesendet werden.

Für eine erfolgreiche DMARC-Authentifizierung müssen Nachrichten mindestens eine der folgenden Prüfungen bestehen:

  • SPF-Authentifizierung und SPF-Abgleich
  • DKIM-Authentifizierung und DKIM-Abgleich

Eine DMARC-Authentifizierung schlägt fehl, wenn Nachrichten die folgenden beiden Prüfungen nicht bestehen:

  • SPF oder SPF-Abgleich
  • DKIM oder DKIM-Abgleich

Schritt 4: DMARC-Eintrag zu Ihrer Domain hinzufügen

Wichtig:Lesen Sie für diesen Schritt die DMARC-Hilfe Ihres Domainhosts. Die Schritte zum Hinzufügen eines DMARC-Eintrags variieren je nach Domainhost.

Eintrag hinzufügen oder aktualisieren

Wichtig:Richten Sie DKIM und SPF ein, bevor Sie DMARC einrichten. Nachrichten sollten mindestens 48 Stunden mit DKIM und SPF authentifiziert werden, bevor Sie DMARC aktivieren.

  1. Halten Sie die Textdatei oder Zeile für Ihren DMARC-Eintrag bereit.
  2. Melden Sie sich bei Ihrem Domainhost an. Das ist normalerweise der Anbieter, bei dem Sie Ihre Domain erworben haben. Wenn Sie nicht sicher sind, wer Ihr Domainhost ist, lesen Sie den Hilfeartikel Domain-Registrar identifizieren.
  3. Rufen Sie die Seite auf, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren. Weitere Informationen erhalten Sie in der Dokumentation Ihrer Domain.

  4. Fügen Sie den TXT-Eintrag mit diesen Informationen hinzu oder aktualisieren Sie ihn (siehe Dokumentation für Ihre Domain):

    Feldname Einzugebender Wert
    Typ Der Eintragstyp ist TXT.
    Host (Name, Hostname, Alias) Dieser Wert sollte _dmarc.beispiel.de lauten (ersetzen Sie beispiel.de durch Ihren Domainnamen).
    Wert Der String, aus dem der TXT-Eintrag besteht. Beispiel: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Weitere Informationen finden Sie oben auf dieser Seite unter DMARC-Eintrag bestimmen.

    Hinweis: Bei einigen Domainhosts wird der Domainname automatisch hinzugefügt. Nachdem Sie den TXT-Eintrag hinzugefügt oder aktualisiert haben, prüfen Sie den Domainnamen im DMARC-Eintrag, um sicherzugehen, dass er richtig formatiert ist.

  5. Speichern Sie die Änderungen.
  6. Wenn Sie DMARC für mehrere Domains einrichten, führen Sie diese Schritte für jede Domain aus. Jede Domain kann eine andere Richtlinie sowie unterschiedliche Berichtsoptionen haben (im Eintrag definiert).
  7. Um zu prüfen, ob DMARC für Ihre Domain eingerichtet ist, können Sie eines der vielen kostenlosen Tools im Internet verwenden.


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.