Anleitung: Empfohlene DMARC-Einführung

DMARC sollte am besten nach und nach eingeführt werden. Beginnen Sie mit der Richtlinie none (keine), die lediglich den E-Mail-Verkehr überwacht, und wechseln Sie später zu einer, die alle nicht authentifizierten Nachrichten ablehnt.

Mit der Richtlinie none (keine) können Sie bereits Berichte empfangen, ohne dass Ihre Nachrichten von den empfangenden Servern abgelehnt oder in den Spamordner verschoben werden. Sie können Ihre DMARC-Richtlinie auch so konfigurieren, dass sie nur auf einen Teil der von Ihrer Organisation gesendeten Nachrichten angewendet wird. Mit diesen beiden Funktionen können Sie DMARC schrittweise bereitstellen und dabei Ihren E-Mail-Verkehr im Blick behalten.

Wichtig: Vor der Konfiguration von DMARC müssen erst DKIM und SPF konfiguriert werden. Bevor Sie DMARC aktivieren, sollte die Nachrichtenauthentifizierung mit DKIM und SPF mindestens 48 Stunden lang laufen. Eine detaillierte Anleitung zum Einrichten von SPF und DKIM finden Sie im Hilfeartikel Spoofing, Phishing und Spam verhindern.

1. Mit einer weniger strikten DMARC-Richtlinie beginnen

Beginnen Sie mit einem DMARC-Eintrag, für den die Erzwingung none (keine) festgelegt ist, und mit einer E-Mail-Adresse, die für tägliche DMARC-Berichte konfiguriert ist. So erhalten Sie Berichte, ohne dass Nachrichten Ihrer Domain von empfangenden Servern abgelehnt oder als Spam markiert werden. Wir empfehlen, diesen Eintrag mindestens eine Woche lang zu verwenden. Nach dieser Zeit sind die Daten in den täglichen Berichten üblicherweise repräsentativ für Ihren gesamten E-Mail-Verkehr.

Sehen Sie sich Ihre täglichen DMARC-Berichte an, um nachzuprüfen, ob Nachrichten von Ihrer Domain über bekannte autorisierte Server gesendet werden und die Authentifizierungsprüfungen bestehen.

Wir empfehlen, mit einer DMARC-Richtlinie zu beginnen, die nicht zu restriktiv ist oder die nur für einen kleinen Teil Ihres E-Mail-Verkehrs gilt. Zum Beispiel:

  1. Melden Sie sich bei Ihrem Domainhost an, um den DMARC-DNS-TXT-Eintrag bei Ihrem Domainanbieter zu aktualisieren.
  2. Geben Sie eine Richtlinie ein, die für 100 % der Nachrichten gilt, für die jedoch die Erzwingung auf none: (keine) eingestellt ist:

    v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

Die Richtlinie wird auf 100 % aller von E-Mail-Servern empfangenen Nachrichten angewendet. Die Erzwingung wird jedoch auf none (keine) eingestellt. Nachrichten werden also normal zugestellt, auch wenn sie die DMARC-Authentifizierung nicht bestehen. Jeder E-Mail-Server, der E-Mails von Ihrer Domain empfängt, sendet tägliche Berichte an dmarc@solarmora.com.

2. DMARC-Berichte prüfen

Gehen Sie Ihre Berichte jeden Tag durch, um Folgendes herauszufinden:

  • Welche Server oder Drittanbieter senden E-Mails für Ihre Domain?
  • Wie viel Prozent der Nachrichten aus Ihrer Domain bestehen die DMARC-Prüfung?
  • Welche Server oder Dienste senden Nachrichten, die die DMARC-Prüfung nicht bestehen? 

Suchen Sie nach Problemtrends, zum Beispiel:

  • Empfänger erhalten gültige Nachrichten von Ihnen, die aber in den Spamordner verschoben werden.
  • Sie erhalten Unzustellbarkeitsnachrichten oder Fehlermeldungen von Empfängern.

Weitere Informationen zur Fehlerbehebung bei DMARC

Sie erhalten weiterhin tägliche Berichte, solange der aktualisierte Eintrag das Tag rua mit Ihrer E-Mail- oder Postfachadresse enthält. Am besten bleiben Sie mindestens sieben Tage lang in dieser Phase, bevor Sie in die nächste übergehen. Die Dauer hängt von der Größe Ihrer Organisation und dem E-Mail-Verkehr ab. 

Weitere Informationen zu DMARC-Berichten 

3. Einen kleinen Teil der Nachrichten unter Quarantäne stellen

Wenn Sie DMARC-Berichte mindestens eine Woche lang beobachtet und keine negativen Ergebnisse festgestellt haben, können Sie die Richtlinie auf quarantine (Quarantäne) setzen und das Tag pct hinzufügen, damit die Richtlinie auf einen kleinen Teil Ihrer E-Mails angewendet wird. Beispiel:

  1. Melden Sie sich bei Ihrem Domainhost an, um den DMARC-DNS-TXT-Eintrag bei Ihrem Domainanbieter zu aktualisieren.
  2. Eine Richtlinie, die für 5 % der Nachrichten gilt, und für die die Erzwingung auf quarantine (Quarantäne) festgelegt ist. Nachrichten innerhalb dieser 5 %, die die DMARC-Authentifizierung nicht bestehen, werden an den Spamordner der Empfänger gesendet:

    v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

Die Richtlinie wird nur auf 5 % der Nachrichten angewendet, die von E-Mail-Servern empfangen werden. Nachrichten, die die DMARC-Authentifizierung nicht bestehen, werden an den Spamordner der Empfänger gesendet. Nur ein kleiner Teil der Nachrichten ist betroffen. Empfänger können Nachrichten, die in den Spamordner verschoben werden, prüfen. Jeder E-Mail-Server, der E-Mails von Ihrer Domain empfängt, sendet tägliche Berichte an dmarc@solarmora.com.

Kleine Organisationen haben gegebenenfalls einen genauen Überblick über den gesamten E-Mail-Verkehr und können die Richtlinie auf einen größeren Anteil ihrer Nachrichten anwenden. Große Organisationen haben häufig einen höheren E-Mail-Verkehr, an dem mitunter auch alte Server oder externe Absender beteiligt sind.

 Großen Organisationen empfehlen wir, den Prozentsatz der betroffenen Nachrichten schrittweise zu erhöhen, um das Risiko zu verringern, dass viele Nachrichten abgelehnt oder als Spam markiert werden. Ein kleines Unternehmen kann mit einem Quarantäneanteil von 10 % beginnen und ein sehr großes mit 1 %.

4. Alle nicht authentifizierten Nachrichten ablehnen

Das ist der letzte Schritt bei der Bereitstellung von DMARC. Wenn Sie sicher sind, dass die meisten oder alle Nachrichten von Ihrer Domain konform sind und die Authentifizierung (SPF und DKIM) bestehen, können Sie strengere DMARC-Richtlinien erzwingen.

Wenn DMARC wie erwartet funktioniert, können Sie die Richtlinie auf reject (ablehnen) setzen und festlegen, dass sie auf 100 % der von Ihrer Organisation gesendeten Nachrichten angewendet wird. Beispiel:

  1. Melden Sie sich bei Ihrem Domainhost an, um den DMARC-DNS-TXT-Eintrag bei Ihrem Domainanbieter zu aktualisieren.
  2. Aktualisieren Sie den Eintrag und stellen Sie strengere Erzwingungsoptionen ein. Beispiel:

    v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com

Die Richtlinie betrifft alle Nachrichten, die von E-Mail-Servern empfangen werden. Wenn der Eintrag nicht das Tag pct enthält, wird die Richtlinie auf 100 % der von Ihrer Domain gesendeten Nachrichten angewendet. Alle Nachrichten, bei denen die DMARC-Authentifizierung fehlschlägt, werden abgelehnt. Der Absender kann dafür jeweils eine Unzustellbarkeitsnachricht erhalten. Jeder E-Mail-Server, der Nachrichten von Ihrer Domain erhält, sendet tägliche Berichte an zwei E-Mail-Adressen: postmaster@solarmora.com und dmarc@solarmora.com.
War das hilfreich?
Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Anmelden, um weitere Supportoptionen zu erhalten und das Problem schnell zu beheben