DMARC einrichten

DMARC teilt E-Mail-Empfängerservern mit, wie vorzugehen ist, wenn sie eine Nachricht von Ihnen erhalten, die die SPF- oder DKIM-Authentifizierung nicht bestanden hat. Sie können die Nachricht ablehnen, unter Quarantäne stellen oder zustellen. Sie können auch Berichte abrufen, mit denen Sie mögliche Authentifizierungsprobleme und schädliche Aktivitäten in Bezug auf Nachrichten ermitteln können, die von Ihrer Domain gesendet werden. Richten Sie DMARC ein, indem Sie Ihrer Domain einen DMARC-DNS-TXT-Eintrag (DMARC-Eintrag) hinzufügen.

Ein DMARC-Eintrag ist eine Textzeile, die Sie Ihrer Domain gemäß der Anleitung Ihres Domainanbieters hinzufügen. Hier ein Beispiel für einen DMARC-Eintrag:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Wenn Empfängerserver E-Mails von Ihrer Domain erhalten, die SPF oder DKIM nicht bestehen, wird anhand Ihres DMARC-Eintrags ermittelt, welche Aktion für die Nachrichten ausgeführt werden soll: Ablehnen, unter Quarantäne stellen oder normal zustellen.

What is DMARC?

Mit DMARC können Sie Nutzer vor gefälschten E-Mail-Nachrichten schützen
sowie Nachrichten verwalten, die die SPF- oder DKIM-Prüfung nicht bestehen.

Themen in diesem Hilfeartikel

Hinweis

  • Sie müssen SPF und/oder DKIM für Ihre Domain aktivieren, bevor Sie DMARC verwenden können. Wenn Sie SPF und/oder DKIM noch nicht eingerichtet haben, lesen Sie den Hilfeartikel Spoofing, Phishing und Spam verhindern.
    • Wenn Sie SPF und/oder DKIM vor der Aktivierung von DMARC nicht einrichten, gibt es möglicherweise Probleme bei der Zustellung von Nachrichten aus Ihrer Domain.
    • Nach der Einrichtung von SPF und/oder DKIM dauert es 48 Stunden, bis auch DMARC eingerichtet werden kann.
  • Mit einem der vielen kostenlosen Tools im Internet können Sie prüfen, ob DMARC bereits für Ihre Domain eingerichtet ist. Wenn DMARC bereits eingerichtet ist, sollten Sie Ihre DMARC-Berichte prüfen, um sicherzustellen, dass Nachrichten effektiv per DMARC authentifiziert und wie erwartet zugestellt werden.
  • Sie müssen in der Admin-Konsole nichts weiter tun, um DMARC einzurichten. Bestimmen Sie stattdessen Ihren DMARC-Eintrag anhand der Anleitung auf dieser Seite. Melden Sie sich dann bei Ihrem Domainhost an und fügen Sie den DMARC-Eintrag gemäß der DMARC-Anleitung des Domainhosts hinzu.

Schritt 1: Gruppe oder Postfach für Berichte einrichten

Wie viele DMARC-Berichte Sie erhalten, hängt davon ab, wie viele E-Mails in Ihrer Domain gesendet werden und an wie viele Domains Sie E-Mails senden. Es kann also sein, dass Sie jeden Tag mehrere erhalten. Bei großen Unternehmen können täglich hunderte oder sogar tausende von Berichten eingehen. Wir empfehlen, eine Gruppe oder ein eigenes Postfach zu erstellen, um DMARC-Berichte zu empfangen und zu verwalten.

Wichtig: Die E-Mail-Adresse für Berichte befindet sich normalerweise in derselben Domain wie die Domain, auf der Ihr DMARC-Eintrag gehostet wird. Wenn die E-Mail-Adresse eine andere Domain hat, müssen Sie einen DNS-Eintrag für die andere Domain hinzufügen. Weitere Informationen finden Sie auf der Seite „DMARC-Berichte“ unter Berichte an eine E-Mail-Adresse in einer anderen Domain senden.

Schritt 2: Prüfen, ob Drittanbieter-E-Mails authentifiziert werden

Wenn Sie einen Drittanbieterdienst zum Senden von E-Mails für Ihre Organisation verwenden, müssen Sie dafür sorgen, dass die von Drittanbieterdiensten gesendeten E-Mails authentifiziert werden und die SPF- und DKIM-Prüfungen bestehen:

  • Wenden Sie sich an den Drittanbieter, um sicherzustellen, dass SPF und DKIM korrekt eingerichtet worden sind.
  • Achten Sie darauf, dass die Envelope-Absenderdomain des Anbieters mit Ihrer Domain übereinstimmt. Fügen Sie dem SPF-Eintrag für Ihre Domain die IP-Adresse des sendenden E-Mail-Servers des Anbieters hinzu.
  • Ausgehende E-Mails vom Anbieter müssen mit dem SMTP-Relay-Dienst über Google weitergeleitet werden.

Schritt 3: DMARC-Eintrag ermitteln

Ihre DMARC-Richtlinien werden in einer Zeile mit Textwerten definiert, einem sogenannten DMARC-Eintrag. Mit diesem Eintrag wird Folgendes festgelegt:

  • Wie streng Nachrichten per DMARC geprüft werden sollen
  • Empfohlene Aktionen für den empfangenden Server, wenn dort Nachrichten eingehen, die die Authentifizierungsprüfungen nicht bestanden haben

Beispiel für einen DMARC-Eintrag (ersetzen Sie example.com durch Ihre Domain):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

Die Tags v und p müssen zuerst aufgeführt werden, alle anderen Tags können in beliebiger Reihenfolge aufgelistet werden.

Wir empfehlen, die Richtlinienoption (p) bei der ersten Anwendung von DMARC auf none festzulegen. Wenn Sie wissen, wie Nachrichten aus Ihrer Domain von empfangenden Servern authentifiziert werden, können Sie Ihre Richtlinie aktualisieren. Legen Sie dann im Lauf der Zeit für die Empfängerrichtlinie die Einstellung quarantine (or reject) fest.Weitere Informationen finden Sie unter Empfohlene DMARC-Einführung

Definitionen und Werte von Tags in DMARC-Einträgen

Tag Beschreibung und Werte
v

(Erforderlich) DMARC-Version. Muss DMARC1 lauten.

p Erforderlich: Weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten.
  • none Die Nachricht wird ohne weitere Maßnahmen an den vorgesehenen Empfänger zugestellt. Nachrichten in einem täglichen Bericht protokollieren. Der Bericht wird an die E-Mail-Adresse gesendet, die mit der Option rua im Eintrag angegeben wurde.
  • quarantine— Die Nachrichten werden als Spam markiert und an den Spamordner des Empfängers gesendet. Empfänger können überprüfen, ob der Spamordner auch zulässige Nachrichten enthält.
  • reject—Die Nachricht wird abgelehnt. Bei dieser Option sendet der Empfängerserver in der Regel eine Unzustellbarkeitsnachricht an den sendenden Server.

Hinweis zu BIMI: Wenn Ihre Domain BIMI verwendet, muss die p-Option von DMARC auf quarantine (Quarantäne) oder reject (ablehnen) gesetzt sein. BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none (keine) festgelegt wurde.

pct

Das Tag pct ist optional. Google empfiehlt jedoch, es beim Einrichten von DMARC in Ihren DMARC-Eintrag aufzunehmen, damit Sie den Prozentsatz der E-Mails verwalten können, auf die Ihre DMARC-Richtlinie angewendet wird.

Gibt den Prozentsatz der nicht authentifizierten Nachrichten an, die der DMARC-Richtlinie unterliegen. Wenn Sie DMARC nach und nach bereitstellen, können Sie mit einem kleinen Prozentsatz Ihrer Nachrichten beginnen. Wenn mehr Nachrichten von Ihrer Domain die Authentifizierung auf den Empfängerservern bestehen, erhöhen Sie den Prozentsatz, bis 100 % erreicht sind.

Muss eine ganze Zahl zwischen 1 und 100 sein. Wenn Sie diese Option nicht im Eintrag verwenden, gilt die DMARC-Richtlinie für alle Nachrichten, die von Ihrer Domain gesendet werden.

Hinweis zu BIMI Wenn Ihre Domain BIMI verwendet, muss der pct-Wert Ihrer DMARC-Richtlinien 100 betragen. BIMI unterstützt keine DMARC-Richtlinien, bei denen für pct ein Wert unter 100 festgelegt wurde.

rua

Das rua-Tag ist optional, wird aber von Google empfohlen.

DMARC-Berichte an eine E-Mail-Adresse senden Die E-Mail-Adresse muss mailto: enthalten.
Beispiel: mailto:dmarc-reports@beispiel.de (ersetzen Sie beispiel.de durch Ihre Domain).

  • Wenn Sie DMARC-Berichte an mehrere E-Mail-Adressen senden möchten, trennen Sie die einzelnen E-Mail-Adressen durch Kommas und fügen Sie vor jeder E-Mail-Adresse das Präfix mailto: hinzu. Beispiel: mailto:dmarc-reports@beispiel.de, mailto:dmarc-admin@beispiel.de (ersetzen Sie beispiel.de durch Ihre Domain).
  • Diese Option kann zu sehr vielen Bericht-E-Mails führen. Wir raten davon ab, Ihre eigene E-Mail-Adresse zu verwenden. Nutzen Sie stattdessen möglichst ein separates Postfach, eine Gruppe oder einen Drittanbieterdienst speziell für DMARC-Berichte.
  • Wenn Sie DMARC-Berichte an eine E-Mail-Adresse in einer anderen Domain als der Domain senden möchten, in der Ihr DMARC-Eintrag gehostet wird, fügen Sie dem DNS der E-Mail-Domain einen TXT-Eintrag hinzu. Weitere Informationen finden Sie auf der Seite DMARC-Berichte unter Berichte an eine E-Mail-Adresse in einer anderen Domain senden.
ruf

(Nicht unterstützt) Das Tag ruf, mit dem Fehlerberichte gesendet werden, wird in Gmail nicht unterstützt. Fehlerberichte werden auch als forensische Berichte bezeichnet.

sp Optional: Legt die Richtlinie für Nachrichten fest, die über Subdomains Ihrer primären Domain gesendet werden. Diese Option können Sie nutzen, wenn Sie eine andere DMARC-Richtlinie für Ihre Subdomains verwenden möchten.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine Die Nachrichten werden als Spam markiert und an den Spamordner des Empfängers gesendet. Empfänger können überprüfen, ob der Spamordner auch zulässige Nachrichten enthält.
  • reject Die Nachricht wird abgelehnt. Bei dieser Option sendet der Empfängerserver eine Unzustellbarkeitsnachricht an den sendenden Server.

Wenn Sie diese Option nicht im Eintrag verwenden, wird für die Subdomains die für die übergeordnete Domain festgelegte DMARC-Richtlinie übernommen.

adkim Optional: Legt die Abgleichrichtlinie für DKIM fest. Darin ist definiert, wie genau Nachrichteninformationen mit DKIM-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich (weiter unten auf dieser Seite).
  • s Strenger Abgleich. Der Name der Absenderdomain muss genau mit dem entsprechenden Wert d = domainname in den DKIM-E-Mail-Headern übereinstimmen.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf Optional: Legt die Abgleichrichtlinie für SPF fest. Darin ist definiert, wie genau Nachrichteninformationen mit SPF-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich (weiter unten auf dieser Seite).
  • s Strenger Abgleich (strict). Der Nachrichtenheader „Von“ muss genau mit dem Domainnamen im Befehl „SMTP MAIL FROM“ übereinstimmen.
  • rLockerer Abgleich (relaxed), die Standardeinstellung. Es sind auch teilweise Übereinstimmungen zulässig. Jede gültige Subdomain des Domainnamens wird akzeptiert.

DMARC-Abgleich

Nachrichten können die DMARC-Prüfung bestehen oder nicht, je nachdem, wie weit die Domain im Von:-Header mit der von SPF oder DKIM angegebenen Absenderdomain übereinstimmt. Das wird als Abgleich bezeichnet.

Sie haben die Wahl zwischen zwei Abgleichsmodi: „strict“ (streng) oder „relaxed“ (locker). Sie können den Abgleichsmodus für SPF und DKIM im DMARC-Eintrag mit den DMARC-Eintrags-Tags aspf und adkim festlegen.

Authentifizierungsmethode Strenger Abgleich Lockerer Abgleich
SPF Eine genaue Übereinstimmung zwischen der Domain in der Adresse des Envelope-Absenders (auch als Rücksendepfadadresse bezeichnet) und der Domain in der Adresse im Von:-Header. Die Domain der Adresse im Von-Header muss mit der Domain in der Adresse des Envelope-Absenders (auch als Rücksendepfadadresse bezeichnet) übereinstimmen oder eine Subdomain davon sein.
DKIM Eine genaue Übereinstimmung zwischen der relevanten DKIM-Domain und der Domain der Adresse im Von:-Header. Die Domain der Adresse im Von:-Header muss mit der Domain übereinstimmen, die im DKIM-Signatur-Tag d= angegeben ist, oder eine Subdomain davon sein.

In bestimmten Fällen kann der strenge Abgleich sinnvoll sein, um den Schutz vor Spoofing zu erhöhen:

  • E-Mails werden von einer Subdomain außerhalb Ihrer Kontrolle gesendet.
  • Sie haben Subdomains, die von einer anderen Entität verwaltet werden.
Wichtig: Ein lockerer Abgleich bietet in der Regel einen ausreichenden Schutz vor Spoofing. Ein strenger Abgleich kann dazu führen, dass Nachrichten von zugehörigen Subdomains abgelehnt oder an den Spamordner gesendet werden.

Für eine erfolgreiche DMARC-Authentifizierung müssen Nachrichten mindestens eine der folgenden Prüfungen bestehen:

  • SPF-Authentifizierung und SPF-Abgleich 
  • DKIM-Authentifizierung und DKIM-Abgleich

Eine DMARC-Authentifizierung schlägt fehl, wenn Nachrichten die folgenden beiden Prüfungen nicht bestehen:

  • SPF oder SPF-Abgleich
  • DKIM oder DKIM-Abgleich

Schritt 4: DMARC-Eintrag Ihrer Domain hinzufügen

Wichtig: Lesen Sie für diesen Schritt die DMARC-Hilfe Ihres Domainhosts. Die Schritte zum Hinzufügen eines DMARC-Eintrags variieren je nach Domainhost.

Eintrag hinzufügen oder aktualisieren

Wichtig: Richten Sie DKIM und SPF ein, bevor Sie DMARC einrichten. Nachrichten sollten mindestens 48 Stunden mit DKIM und SPF authentifiziert werden, bevor Sie DMARC aktivieren.

  1. Bereiten Sie die Textdatei oder Zeile für Ihren DMARC-Eintrag vor.
  2. Melden Sie sich bei Ihrem Domainhost an. Das ist normalerweise der Anbieter, bei dem Sie Ihre Domain erworben haben. Wenn Sie nicht sicher sind, wer Ihr Domainhost ist, lesen Sie den Hilfeartikel Domain-Registrar identifizieren.
  3. Rufen Sie die Seite auf, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren. Weitere Informationen erhalten Sie in der Dokumentation Ihrer Domain.
  4. Fügen Sie den TXT-Eintrag mit den folgenden Informationen hinzu oder aktualisieren Sie ihn (siehe Dokumentation für Ihre Domain): 

    Feldname Einzugebender Wert
    Typ Der Eintragstyp ist TXT.
    Host (Name, Hostname, Alias) Dieser Wert sollte _dmarc.beispiel.de sein (ersetzen Sie beispiel.de durch Ihren Domainnamen).
    Wert Der String, aus dem der TXT-Eintrag besteht. Beispiel: v=DMARC1; p=none; rua=mailto:postmaster@beispiel.de, mailto:dmarc@beispiel.de; pct=100; adkim=s; aspf=s. Weitere Informationen finden Sie oben auf dieser Seite unter  DMARC-Eintrag ermitteln.
    Hinweis: Bei einigen Domainhosts wird der Domainname automatisch hinzugefügt. Prüfen Sie daher, nachdem Sie den TXT-Eintrag hinzugefügt oder aktualisiert haben, ob der Domainname im DMARC-Eintrag stimmt.
  5. Speichern Sie die Änderungen.
  6. Wenn Sie DMARC für mehrere Domains einrichten, führen Sie diese Schritte für jede Domain aus. Jede Domain kann eine andere Richtlinie sowie unterschiedliche Berichtsoptionen haben (im Eintrag definiert).
  7. Sie können eines der vielen kostenlosen Tools im Internet verwenden, um zu prüfen, ob DMARC für Ihre Domain eingerichtet ist.

Weitere Informationen


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.

War das hilfreich?

Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü
9754868205590769225
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false
false
false