DMARC teilt E-Mail-Empfängerservern mit, wie vorzugehen ist, wenn sie eine Nachricht von Ihnen erhalten, die die SPF- oder DKIM-Authentifizierung nicht bestanden hat. Sie können die Nachricht ablehnen, unter Quarantäne stellen oder zustellen. Sie können auch Berichte abrufen, mit denen Sie mögliche Authentifizierungsprobleme und schädliche Aktivitäten in Bezug auf Nachrichten ermitteln können, die von Ihrer Domain gesendet werden. Richten Sie DMARC ein, indem Sie Ihrer Domain einen DMARC-DNS-TXT-Eintrag (DMARC-Eintrag) hinzufügen.
Ein DMARC-Eintrag ist eine Textzeile, die Sie Ihrer Domain gemäß der Anleitung Ihres Domainanbieters hinzufügen. Hier ein Beispiel für einen DMARC-Eintrag:
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s
Wenn Empfängerserver E-Mails von Ihrer Domain erhalten, die SPF oder DKIM nicht bestehen, wird anhand Ihres DMARC-Eintrags ermittelt, welche Aktion für die Nachrichten ausgeführt werden soll: Ablehnen, unter Quarantäne stellen oder normal zustellen.
Mit DMARC können Sie Nutzer vor gefälschten E-Mail-Nachrichten schützen
sowie Nachrichten verwalten, die die SPF- oder DKIM-Prüfung nicht bestehen.
Themen in diesem Hilfeartikel
- Hinweis
- Schritt 1: Gruppe oder Postfach für Berichte einrichten
- Schritt 2: Prüfen, ob Drittanbieter-E-Mails authentifiziert werden
- Schritt 3: DMARC-Eintrag ermitteln
- Schritt 4: DMARC-Eintrag Ihrer Domain hinzufügen
- Weitere Informationen
Hinweis
- Sie müssen SPF und/oder DKIM für Ihre Domain aktivieren, bevor Sie DMARC verwenden können. Wenn Sie SPF und/oder DKIM noch nicht eingerichtet haben, lesen Sie den Hilfeartikel Spoofing, Phishing und Spam verhindern.
- Wenn Sie SPF und/oder DKIM vor der Aktivierung von DMARC nicht einrichten, gibt es möglicherweise Probleme bei der Zustellung von Nachrichten aus Ihrer Domain.
- Nach der Einrichtung von SPF und/oder DKIM dauert es 48 Stunden, bis auch DMARC eingerichtet werden kann.
- Mit einem der vielen kostenlosen Tools im Internet können Sie prüfen, ob DMARC bereits für Ihre Domain eingerichtet ist. Wenn DMARC bereits eingerichtet ist, sollten Sie Ihre DMARC-Berichte prüfen, um sicherzustellen, dass Nachrichten effektiv per DMARC authentifiziert und wie erwartet zugestellt werden.
- Sie müssen in der Admin-Konsole nichts weiter tun, um DMARC einzurichten. Bestimmen Sie stattdessen Ihren DMARC-Eintrag anhand der Anleitung auf dieser Seite. Melden Sie sich dann bei Ihrem Domainhost an und fügen Sie den DMARC-Eintrag gemäß der DMARC-Anleitung des Domainhosts hinzu.
Schritt 1: Gruppe oder Postfach für Berichte einrichten
Wie viele DMARC-Berichte Sie erhalten, hängt davon ab, wie viele E-Mails in Ihrer Domain gesendet werden und an wie viele Domains Sie E-Mails senden. Es kann also sein, dass Sie jeden Tag mehrere erhalten. Bei großen Unternehmen können täglich hunderte oder sogar tausende von Berichten eingehen. Wir empfehlen, eine Gruppe oder ein eigenes Postfach zu erstellen, um DMARC-Berichte zu empfangen und zu verwalten.
Wichtig: Die E-Mail-Adresse für Berichte befindet sich normalerweise in derselben Domain wie die Domain, auf der Ihr DMARC-Eintrag gehostet wird. Wenn die E-Mail-Adresse eine andere Domain hat, müssen Sie einen DNS-Eintrag für die andere Domain hinzufügen. Weitere Informationen finden Sie auf der Seite „DMARC-Berichte“ unter Berichte an eine E-Mail-Adresse in einer anderen Domain senden.
Schritt 2: Prüfen, ob Drittanbieter-E-Mails authentifiziert werden
Wenn Sie einen Drittanbieterdienst zum Senden von E-Mails für Ihre Organisation verwenden, müssen Sie dafür sorgen, dass die von Drittanbieterdiensten gesendeten E-Mails authentifiziert werden und die SPF- und DKIM-Prüfungen bestehen:
- Wenden Sie sich an den Drittanbieter, um sicherzustellen, dass SPF und DKIM korrekt eingerichtet worden sind.
- Achten Sie darauf, dass die Envelope-Absenderdomain des Anbieters mit Ihrer Domain übereinstimmt. Fügen Sie dem SPF-Eintrag für Ihre Domain die IP-Adresse des sendenden E-Mail-Servers des Anbieters hinzu.
- Ausgehende E-Mails vom Anbieter müssen mit dem SMTP-Relay-Dienst über Google weitergeleitet werden.
Schritt 3: DMARC-Eintrag ermitteln
Ihre DMARC-Richtlinien werden in einer Zeile mit Textwerten definiert, einem sogenannten DMARC-Eintrag. Mit diesem Eintrag wird Folgendes festgelegt:
- Wie streng Nachrichten per DMARC geprüft werden sollen
- Empfohlene Aktionen für den empfangenden Server, wenn dort Nachrichten eingehen, die die Authentifizierungsprüfungen nicht bestanden haben
Beispiel für einen DMARC-Eintrag (ersetzen Sie example.com durch Ihre Domain):
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.
Die Tags v und p müssen zuerst aufgeführt werden, alle anderen Tags können in beliebiger Reihenfolge aufgelistet werden.
Wir empfehlen, die Richtlinienoption (p) bei der ersten Anwendung von DMARC auf none festzulegen. Wenn Sie wissen, wie Nachrichten aus Ihrer Domain von empfangenden Servern authentifiziert werden, können Sie Ihre Richtlinie aktualisieren. Legen Sie dann im Lauf der Zeit für die Empfängerrichtlinie die Einstellung quarantine (or reject) fest.Weitere Informationen finden Sie unter Empfohlene DMARC-Einführung
Definitionen und Werte von Tags in DMARC-Einträgen
Tag | Beschreibung und Werte |
v |
(Erforderlich) DMARC-Version. Muss DMARC1 lauten. |
p | Erforderlich: Weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten.
Hinweis zu BIMI: Wenn Ihre Domain BIMI verwendet, muss die p-Option von DMARC auf quarantine (Quarantäne) oder reject (ablehnen) gesetzt sein. BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none (keine) festgelegt wurde. |
pct |
Das Tag pct ist optional. Google empfiehlt jedoch, es beim Einrichten von DMARC in Ihren DMARC-Eintrag aufzunehmen, damit Sie den Prozentsatz der E-Mails verwalten können, auf die Ihre DMARC-Richtlinie angewendet wird. Gibt den Prozentsatz der nicht authentifizierten Nachrichten an, die der DMARC-Richtlinie unterliegen. Wenn Sie DMARC nach und nach bereitstellen, können Sie mit einem kleinen Prozentsatz Ihrer Nachrichten beginnen. Wenn mehr Nachrichten von Ihrer Domain die Authentifizierung auf den Empfängerservern bestehen, erhöhen Sie den Prozentsatz, bis 100 % erreicht sind. Muss eine ganze Zahl zwischen 1 und 100 sein. Wenn Sie diese Option nicht im Eintrag verwenden, gilt die DMARC-Richtlinie für alle Nachrichten, die von Ihrer Domain gesendet werden. Hinweis zu BIMI Wenn Ihre Domain BIMI verwendet, muss der pct-Wert Ihrer DMARC-Richtlinien 100 betragen. BIMI unterstützt keine DMARC-Richtlinien, bei denen für pct ein Wert unter 100 festgelegt wurde. |
rua |
Das rua-Tag ist optional, wird aber von Google empfohlen. DMARC-Berichte an eine E-Mail-Adresse senden Die E-Mail-Adresse muss mailto: enthalten.
|
ruf |
(Nicht unterstützt) Das Tag ruf, mit dem Fehlerberichte gesendet werden, wird in Gmail nicht unterstützt. Fehlerberichte werden auch als forensische Berichte bezeichnet. |
sp | Optional: Legt die Richtlinie für Nachrichten fest, die über Subdomains Ihrer primären Domain gesendet werden. Diese Option können Sie nutzen, wenn Sie eine andere DMARC-Richtlinie für Ihre Subdomains verwenden möchten.
Wenn Sie diese Option nicht im Eintrag verwenden, wird für die Subdomains die für die übergeordnete Domain festgelegte DMARC-Richtlinie übernommen. |
adkim | Optional: Legt die Abgleichrichtlinie für DKIM fest. Darin ist definiert, wie genau Nachrichteninformationen mit DKIM-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich (weiter unten auf dieser Seite).
|
aspf | Optional: Legt die Abgleichrichtlinie für SPF fest. Darin ist definiert, wie genau Nachrichteninformationen mit SPF-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich (weiter unten auf dieser Seite).
|
DMARC-Abgleich
Nachrichten können die DMARC-Prüfung bestehen oder nicht, je nachdem, wie weit die Domain im Von:-Header mit der von SPF oder DKIM angegebenen Absenderdomain übereinstimmt. Das wird als Abgleich bezeichnet.
Sie haben die Wahl zwischen zwei Abgleichsmodi: „strict“ (streng) oder „relaxed“ (locker). Sie können den Abgleichsmodus für SPF und DKIM im DMARC-Eintrag mit den DMARC-Eintrags-Tags aspf und adkim festlegen.
In bestimmten Fällen kann der strenge Abgleich sinnvoll sein, um den Schutz vor Spoofing zu erhöhen:
- E-Mails werden von einer Subdomain außerhalb Ihrer Kontrolle gesendet.
- Sie haben Subdomains, die von einer anderen Entität verwaltet werden.
Für eine erfolgreiche DMARC-Authentifizierung müssen Nachrichten mindestens eine der folgenden Prüfungen bestehen:
- SPF-Authentifizierung und SPF-Abgleich
- DKIM-Authentifizierung und DKIM-Abgleich
Eine DMARC-Authentifizierung schlägt fehl, wenn Nachrichten die folgenden beiden Prüfungen nicht bestehen:
- SPF oder SPF-Abgleich
- DKIM oder DKIM-Abgleich
Schritt 4: DMARC-Eintrag Ihrer Domain hinzufügen
Wichtig: Lesen Sie für diesen Schritt die DMARC-Hilfe Ihres Domainhosts. Die Schritte zum Hinzufügen eines DMARC-Eintrags variieren je nach Domainhost.
Eintrag hinzufügen oder aktualisieren
Wichtig: Richten Sie DKIM und SPF ein, bevor Sie DMARC einrichten. Nachrichten sollten mindestens 48 Stunden mit DKIM und SPF authentifiziert werden, bevor Sie DMARC aktivieren.
- Bereiten Sie die Textdatei oder Zeile für Ihren DMARC-Eintrag vor.
- Melden Sie sich bei Ihrem Domainhost an. Das ist normalerweise der Anbieter, bei dem Sie Ihre Domain erworben haben. Wenn Sie nicht sicher sind, wer Ihr Domainhost ist, lesen Sie den Hilfeartikel Domain-Registrar identifizieren.
- Rufen Sie die Seite auf, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren. Weitere Informationen erhalten Sie in der Dokumentation Ihrer Domain.
-
Fügen Sie den TXT-Eintrag mit den folgenden Informationen hinzu oder aktualisieren Sie ihn (siehe Dokumentation für Ihre Domain):
Feldname Einzugebender Wert Typ Der Eintragstyp ist TXT. Host (Name, Hostname, Alias) Dieser Wert sollte _dmarc.beispiel.de sein (ersetzen Sie beispiel.de durch Ihren Domainnamen). Wert Der String, aus dem der TXT-Eintrag besteht. Beispiel: v=DMARC1; p=none; rua=mailto:postmaster@beispiel.de, mailto:dmarc@beispiel.de; pct=100; adkim=s; aspf=s. Weitere Informationen finden Sie oben auf dieser Seite unter DMARC-Eintrag ermitteln. Hinweis: Bei einigen Domainhosts wird der Domainname automatisch hinzugefügt. Prüfen Sie daher, nachdem Sie den TXT-Eintrag hinzugefügt oder aktualisiert haben, ob der Domainname im DMARC-Eintrag stimmt. - Speichern Sie die Änderungen.
- Wenn Sie DMARC für mehrere Domains einrichten, führen Sie diese Schritte für jede Domain aus. Jede Domain kann eine andere Richtlinie sowie unterschiedliche Berichtsoptionen haben (im Eintrag definiert).
- Sie können eines der vielen kostenlosen Tools im Internet verwenden, um zu prüfen, ob DMARC für Ihre Domain eingerichtet ist.
Weitere Informationen
- DMARC-Probleme beheben
- Empfohlene DMARC-Einführung
- DMARC deaktivieren
- DMARC-Berichte
- TXT-Einträge
- DMARC RFC 7489
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.