Sie definieren die Funktion "Domain-based Message Authentication, Reporting and Conformance" (DMARC), indem Sie einen DMARC-Eintrag in den DNS-Einstellungen Ihrer Domain eingeben.
Nachdem Sie den Text des DMARC-Eintrags vorbereitet haben, fügen Sie den DNS-TXT-Eintrag bei Ihrem Domainanbieter hinzu oder aktualisieren Sie ihn dort. Wenn Sie einen DNS-TXT-Eintrag aktualisieren möchten, geben Sie die Textzeile ein, in der der DMARC-Richtlinieneintrag in der Verwaltungskonsole Ihres Domainanbieters definiert ist.
Wenn Sie Ihre DMARC-Richtlinie ändern und Ihren Eintrag aktualisieren, müssen Sie immer auch den DNS-TXT-Eintrag bei Ihrem Domainanbieter aktualisieren.
Subdomains und zusätzliche Domains
Wenn Sie mehr als eine Domain haben, führen Sie für jede Domain die folgenden Schritte aus. Jede Domain kann eine andere Richtlinie sowie unterschiedliche Berichtsoptionen haben (im Eintrag definiert).
Wenn Sie keine DMARC-Richtlinien für Subdomains erstellen, wird die DMARC-Richtlinie der übergeordneten Domain übernommen. DMARC-Richtlinien für Subdomains definieren Sie mit dem sp Richtlinien-Tag im DMARC-Eintrag für die übergeordnete Domain.
Eintrag hinzufügen oder aktualisieren
Wichtig:
- Bevor Sie DMARC konfigurieren, sollten Sie DomainKeys Identified Mail (DKIM) und Sender Policy Framework (SPF) konfigurieren. Nachrichten sollten mindestens 48 Stunden mit DKIM und SPF authentifiziert werden, bevor Sie DMARC aktivieren.
- Die in den folgenden Schritten verwendeten Domains sind nur Beispiele. Ersetzen Sie diese Beispieldomains durch Ihre eigenen Domains.
Führen Sie diese Schritte in der Verwaltungskonsole Ihres Domainhosts aus, nicht in der Admin-Konsole. Wer ist mein Domainhost?
- Bereiten Sie die Textdatei oder Zeile für Ihren Richtlinieneintrag vor.
- Melden Sie sich in der Verwaltungskonsole des Domainhosts an.
- Suchen Sie die Seite, auf der DNS-Einträge aktualisiert werden.
- Fügen Sie einen DNS-TXT-Eintrag hinzu oder ändern Sie einen vorhandenen Eintrag, indem Sie Ihren Eintrag in den TXT-Eintrag für _dmarc eingeben:
- Name des TXT-Eintrags: Geben Sie in das erste Feld unter dem Namen des DNS-Hosts Folgendes ein: _dmarc.solarmora.com
Wichtig: Bei einigen Domainhosts wird nach _dmarc automatisch der Domainname hinzugefügt. Prüfen Sie daher, nachdem Sie den TXT-Eintrag hinzugefügt haben, ob der DMARC-TXT-Eintrag stimmt.
- Wert des TXT-Eintrags: Geben Sie in das zweite Feld den Text für Ihren DMARC-Eintrag ein. Beispiel:
v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com
Die Namen der Felder variieren je nach Anbieter. Die Feldnamen für DNS-TXT-Einträge können von Anbieter zu Anbieter variieren. Die hier verwendete Domain ist ein Beispiel. Ersetzen Sie solarmora.com durch Ihre eigene Domain.
- Name des TXT-Eintrags: Geben Sie in das erste Feld unter dem Namen des DNS-Hosts Folgendes ein: _dmarc.solarmora.com
- Speichern Sie die Änderungen.
DMARC deaktivieren
Wir raten davon ab, DMARC für Ihre Organisation oder Domain zu deaktivieren. Ohne DMARC können Hacker und andere böswillige Nutzer die Identität von Nachrichten so fälschen, dass sie den Anschein erwecken, aus Ihrer Organisation oder Domain zu stammen. Dadurch besteht für Ihre Nutzer und Ihre Kontakte die Gefahr von Spam, Spoofing und Phishing. Wenn Sie DMARC deaktivieren müssen, folgen Sie dieser Anleitung.
Name des DMARC-TXT-Eintrags prüfen (optional)
Wichtig: Die in den folgenden Schritten verwendeten Domains sind nur Beispiele. Ersetzen Sie diese Beispieldomains durch Ihre eigenen Domains.
Einige Domainhosts fügen Ihren Domainnamen automatisch am Ende des Namens des TXT-Eintrags ein, den Sie in Schritt 4a unter Eintrag hinzufügen oder aktualisieren eingegeben haben. Das kann dazu führen, dass der Name des DMARC-TXT-Eintrags falsch formatiert ist.
Wenn Sie beispielsweise _dmarc.solarmora.com eingeben und der Domainhost Ihren Domainnamen automatisch hinzufügt, wird der Name des TXT-Eintrags als _dmarc.solarmora.com.solarmora.com falsch formatiert.
Nachdem Sie den DMARC-TXT-Eintrag wie unter Eintrag hinzufügen oder aktualisieren beschrieben hinzugefügt haben, prüfen Sie, ob der Name des TXT-Eintrags richtig formatiert ist.
Mit der Dig-Funktion in der Google Admin Toolbox können Sie Ihren DMARC-TXT-Eintrag aufrufen und prüfen:
- Rufen Sie die Google Admin Toolbox auf und wählen Sie die Funktion Dig aus.
- Geben Sie in das Feld Name _dmarc. gefolgt von Ihrem vollständigen Domainnamen ein. Wenn Ihr Domainname beispielsweise solarmora.com lautet, geben Sie _dmarc.solarmora.com ein.
- Klicken Sie unter dem Feld Name auf TXT.
- Prüfen Sie den Namen des DMARC-TXT-Eintrags in den Ergebnissen. Suchen Sie nach der Textzeile, die mit _dmarc beginnt.
DMARC-Eintragsformat
Wichtig: In der DMARC-Richtlinie in diesem Abschnitt werden Beispieldomains verwendet. Beispieldomains durch eigene Domains ersetzen
Der DMARC-Eintrag ist eine Zeile im Format „Nur Text“. Der Text besteht aus einer Liste von DMARC-Tags und ‑Werten, die durch Semikolons getrennt sind. Einige Tags sind erforderlich, andere optional.
Mit einer DMARC-Richtlinie wird Empfängerservern mitgeteilt, welche Aktionen sie bei nicht authentifizierten Nachrichten ausführen sollen, die sie von Ihrer Domain erhalten. Die auszuführende Aktion wird mit dem Richtlinien-Tag (p) angegeben, wenn Sie Ihren DMARC-Eintrag definieren.
Das ist ein Beispiel für einen DMARC-Richtlinieneintrag. Tags werden durch Semikolons ( ;) getrennt. Die Tags v und p müssen zuerst aufgeführt werden, andere Tags in beliebiger Reihenfolge. Wenn Sie zum Senden von DMARC-Berichten das Tag rua verwenden, müssen Sie vor jeder E-Mail-Adresse das Präfix mailto: einfügen, wie in diesem Beispiel gezeigt:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
DMARC-Eintrags-Tags
Halsbandanhänger | Beschreibung und Werte |
V |
DMARC-Version. Muss DMARC1 lauten. Dieses Tag ist erforderlich. |
p | Weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten.
Dieses Tag ist erforderlich. Hinweis zu BIMI: Wenn Ihre Domain BIMI verwendet, muss die p-Option von DMARC auf quarantine (Quarantäne) oder reject (ablehnen) gesetzt sein. BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none (keine) festgelegt wurde. |
pct |
Gibt den Prozentsatz der nicht authentifizierten Nachrichten an, die der DMARC-Richtlinie unterliegen. Wenn Sie DMARC nach und nach bereitstellen, können Sie mit einem kleinen Prozentsatz Ihrer Nachrichten beginnen. Wenn mehr Nachrichten von Ihrer Domain die Authentifizierung auf den Empfängerservern bestehen, erhöhen Sie den Prozentsatz, bis 100 % erreicht sind. Muss eine ganze Zahl zwischen 1 und 100 sein. Wenn Sie diese Option nicht im Eintrag verwenden, gilt die DMARC-Richtlinie für alle Nachrichten, die von Ihrer Domain gesendet werden. Dieses Tag ist optional. Hinweis zu BIMI Wenn Ihre Domain BIMI verwendet, muss der pct-Wert Ihrer DMARC-Richtlinien 100 betragen. BIMI unterstützt keine DMARC-Richtlinien, bei denen für pct ein Wert unter 100 festgelegt wurde. |
rua |
E-Mail-Adresse, an die Berichte zu DMARC-Aktivitäten für Ihre Domain gesendet werden. Die E-Mail-Adresse muss mailto: enthalten, Wenn Sie DMARC-Berichte an mehrere E-Mail-Adressen senden möchten, trennen Sie die einzelnen E-Mail-Adressen durch Kommas und fügen Sie vor jeder E-Mail-Adresse das Präfix mailto: hinzu. Beispiel: Diese Option kann zu sehr vielen Bericht-E-Mails führen. Wir raten davon ab, Ihre eigene E-Mail-Adresse zu verwenden. Nutzen Sie stattdessen möglichst ein separates Postfach, eine Gruppe oder einen Drittanbieterdienst speziell für DMARC-Berichte. Dieses Tag ist optional. |
ruf |
Nicht unterstützt. Das Tag ruf, mit dem Fehlerberichte gesendet werden, wird in Gmail nicht unterstützt. Fehlerberichte werden auch als forensische Berichte bezeichnet. |
sp | Legt die Richtlinie für Nachrichten fest, die über Subdomains Ihrer primären Domain gesendet werden. Diese Option können Sie nutzen, wenn Sie eine andere DMARC-Richtlinie für Ihre Subdomains verwenden möchten.
Wenn Sie diese Option nicht im Eintrag verwenden, wird für die Subdomains die für die übergeordnete Domain festgelegte DMARC-Richtlinie übernommen. Dieses Tag ist optional. |
adkim | Legt die Abgleichrichtlinie für DKIM fest. Darin ist definiert, wie genau Nachrichteninformationen mit DKIM-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich
Dieses Tag ist optional. |
aspf | Legt die Abgleichrichtlinie für SPF fest. Darin ist definiert, wie genau Nachrichteninformationen mit SPF-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich
Dieses Tag ist optional. |