Autor: on | Featured

DMARC richtig einrichten: Praxis-Guide von p=none zu reject

  • Aktualisiert am 22. Januar 2026

DMARC ist dein Leuchtturm: Er macht den Versand nicht schneller, aber verhindert, dass sich jemand mit deiner Domain als Absender verkleidet und du im Nebel auf die Felsen knallst. Praktisch bedeutet das: Provider prüfen, ob deine Mails sauber authentifiziert und zur sichtbaren Absenderdomain im From: passend sind, und handeln dann nach deiner Vorgabe.

Wenn du die Grundlagen nochmal auffrischen willst: Lies zuerst E-Mail-Authentifizierung und danach Domain Alignment. Das spart später Schmerzmittel.

DMARC in 60 Sekunden

DMARC verbindet drei Dinge: SPF, DKIM und Alignment. Alignment heißt: Die Domain, die der Empfänger sieht (From), muss zu SPF (Envelope/Return-Path) und/oder DKIM (d=) passen. Besteht mindestens eins davon aligned, ist das für DMARC meist okay.

Und dann kommt die Policy: p=none (nur beobachten), p=quarantine (strenger behandeln, oft Junk), p=reject (ablehnen). DMARC ist also nicht nur Technik, sondern auch ein Regelwerk für „Was tun, wenn’s nicht passt?“

Mach den Deliverability-Quickcheck und sieh, wo deine größten Hebel liegen: Setup, Listenhygiene, Versandverhalten und Monitoring.

Schritt 0: Voraussetzungen, bevor du am Hebel ziehst

Bevor du Policies hochdrehst, muss die Basis stabil sein. Sonst schießt du dir mit DMARC eher ins eigene Knie als in den Spam.

Schritt 1: DMARC Record anlegen (p=none)

DMARC kommt als TXT-Record in den DNS, und zwar hier:_dmarc.deinedomain.deStarte mit p=none. Damit sammelst du Daten, ohne Zustellung zu riskieren.

v=DMARC1; p=none; rua=mailto:[email protected]; adkim=s; aspf=s; pct=100

rua sind Aggregat-Reports (die willst du). adkim/aspf auf s ist striktes Alignment. Wenn dein Setup sehr verzweigt ist, kannst du vorübergehend relaxed starten, aber das Ziel bleibt: sauber aligned.

DMARC Funktionsweise für E-Mail-Authentifizierung

Schritt 2: 7–14 Tage beobachten (und alle echten Sender finden)

Jetzt kommt die Inventur. In den Reports erkennst du, wer in deinem Namen sendet: CRM, Shop, Support-Tool, Umfrage-Tool, Agentur, Tracking-Domain, alte Systeme. Die drei Kernfragen:

  1. Welche Quellen senden mit deiner Domain im From?
  2. Was davon ist legitim?
  3. Wo fehlt SPF/DKIM oder Alignment?

Tipp: Wenn du viel an Microsoft-Postfächern hängst, passt dazu dein Kontextartikel Microsoft & Zustellbarkeit.

Stufen Domain Alignment

Schritt 3: Aufräumen: Alignment und Signaturen fixen

Das ist der eigentliche DMARC-Job. Ziel: Für jede legitime Quelle gilt mindestens eins: SPF aligned oder DKIM aligned.

  • Custom DKIM/Domain im Tool aktivieren, damit DKIM mit deiner Domain signiert.
  • Absender trennen: Marketing über news.deinedomain.de, Transaktional über mail.deinedomain.de.
  • Subdomains sauber absichern (SPF/DKIM/DMARC passend zur Subdomain).

Wenn du geparkte oder ungenutzte Domains hast: Ungenutzte Domains korrekt parken ist ein perfekter „Neben-Deich“ gegen Missbrauch.

Schritt 4–5: Policy hochdrehen (kontrolliert, in Stufen)

Wenn deine legitimen Sender sauber sind, geh auf quarantine und nutze pct für einen sicheren Rollout:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; adkim=s; aspf=s; pct=10

Steigere dann z. B. auf 25 → 50 → 100. Wenn alles stabil bleibt, ist reject der nächste Schritt:

v=DMARC1; p=reject; rua=mailto:[email protected]; adkim=s; aspf=s; pct=25

Mini-Checkliste: Bereit für quarantine?

  • Alle legitimen Sender sind identifiziert und dokumentiert.
  • DKIM/SPF funktionieren stabil und sind aligned.
  • Keine „Fail-Peaks“ in den Reports nach Änderungen.
  • Unsubscribe/Listenhygiene ist ordentlich (sonst steigt Beschwerdedruck): Listenhygiene.

Häufige Fallen: Drittanbieter senden „From: deine Domain“, aber signieren mit eigener Domain; Weiterleitungen brechen Auth; und „p=none reicht“ ist wie Regenjacke im Orkan: nett, aber nicht genug.

Wenn du DMARC sauber bis reject bringst, ist Spoofing deutlich schwerer und deine Zustellbarkeit bekommt mehr Ruhe. Nicht sexy wie ein Sonnenuntergang in St. Peter-Ording, aber deutlich nützlicher.

Ergänzende Artikel

Kostenlose Beratung

Mit Email Deliverability verhält es sich wie mit dem Zahnarztbesuch: Hinauszögern kann sehr schmerzhaft sein. Lass uns sprechen, um präventiv geeignete Maßnahmen zu ergreifen.

Termin vereinbaren
Frank Rix
Frank Rix (Autor)

Fazit

DMARC ist kein Feature, das man „auch mal“ aktiviert, sondern dein Küstenschutz gegen Spoofing und unnötige Zustellprobleme. Starte mit p=none, finde alle legitimen Sender, fixe SPF/DKIM und Alignment und drehe die Policy dann Schritt für Schritt hoch. Erst quarantine, dann reject. So bleibt deine echte Post im Hafen und der Fake treibt ab.