DMARC einrichten

Gmail-Nutzer: Wenn Sie in Gmail Spam- oder Phishing-E-Mails erhalten, rufen Sie stattdessen diesen Hilfeartikel auf. Wenn Sie Probleme beim Senden oder Empfangen von E-Mails in Gmail haben, finden Sie hier weitere Informationen.

Als Administrator können Sie nach der Einrichtung von SPF und DKIM auch DMARC (Domain-based Message Authentication, Reporting and Conformance) einrichten. Mit DMARC können Sie empfangenden E-Mail-Servern mitteilen, was sie tun sollen, wenn sie eine Nachricht erhalten, die die SPF- oder DKIM-Authentifizierungsprüfung nicht besteht. Sie können auch Berichte abrufen, mit denen Sie mögliche Authentifizierungsprobleme und schädliche Aktivitäten in Bezug auf Nachrichten ermitteln können, die von Ihrer Domain gesendet werden.

What is DMARC?

Mit DMARC können Sie Nutzer vor gefälschten E-Mail-Nachrichten schützen
sowie Nachrichten verwalten, die die SPF- oder DKIM-Prüfung nicht bestehen.

Auf dieser Seite

Schritt 1: SPF und DKIM aktivieren

Bevor Sie DMARC verwenden können, müssen Sie SPF und DKIM für Ihre Domain aktivieren. Wenn Sie SPF und DKIM noch nicht eingerichtet haben, lesen Sie den Hilfeartikel Spoofing, Phishing und Spam verhindern.

SPF, DKIM und DMARC werden pro Domain angewendet. Wenn Sie mehrere Domains verwalten, müssen Sie die drei Authentifizierungsmethoden für jede Domain separat aktivieren.

Wichtig:

  • Wenn Sie SPF und DKIM vor der Aktivierung von DMARC nicht einrichten, gibt es möglicherweise Probleme bei der Zustellung von Nachrichten aus Ihrer Domain.
  • Nach der Einrichtung von SPF und DKIM dauert es 48 Stunden, bis auch DMARC eingerichtet werden kann.

Schritt 2: Prüfen, ob DMARC bereits eingerichtet ist

Wenn Sie Google Workspace verwenden, können Sie mit der Google Admin Toolbox prüfen, ob DMARC eingerichtet ist. Andernfalls folgen Sie der Anleitung Ihres Domainanbieters.

So prüfen Sie das mit der Google Admin Toolbox:

  1. Rufen Sie die Google Admin Toolbox auf.
  2. Gehen Sie zu DNS-Probleme beheben und dann MX-Check.
  3. Füllen Sie das Feld Domainname aus und klicken Sie auf Prüfung ausführen.
  4. In den Ergebnissen sehen Sie dann, ob Ihre Domain einen DMARC-Eintrag hat:
    • DMARC wurde nicht eingerichtet: In Ihrer Domain gibt es noch keinen DMARC-Eintrag.
    • Formatierung der DMARC-Richtlinien: Ihre Domain hat bereits einen DMARC-Eintrag.

Prüfen Sie bei Ihrem Domainanbieter:

  1. Melden Sie sich in der Verwaltungskonsole Ihres Domainanbieters an.
  2. Rufen Sie die Seite auf, auf der Sie die DNS-TXT-Einträge Ihrer Domain aktualisieren.
  3. Wenn Sie einen DMARC-Eintrag haben, sehen Sie unter der Subdomain _dmarc.beispiel.de (beispiel.de ist Ihr Domainname) einen TXT-Eintrag, der mit v=DMARC beginnt.

Gehen Sie je nach Ergebnis so vor:

  • Wenn DMARC bereits eingerichtet ist, sollten Sie Ihre DMARC-Berichte prüfen, um sicherzustellen, dass DMARC Nachrichten effektiv authentifiziert und sie wie erwartet zugestellt werden.
  • Wenn DMARC nicht eingerichtet ist, fahren Sie mit Gruppe oder Postfach für Berichte einrichten (auf dieser Seite) fort.

Schritt 3: Gruppe oder Postfach für Berichte einrichten

Wie viele DMARC-Berichte Sie erhalten, hängt davon ab, wie viele E-Mails in Ihrer Domain gesendet werden und an wie viele Domains Sie E-Mails senden. Es kann also sein, dass Sie jeden Tag mehrere erhalten. Bei großen Unternehmen können täglich hunderte oder sogar tausende von Berichten eingehen.

In DMARC-Berichten sehen Sie, welche Nachrichten aus Ihrer Domain mithilfe von SPF und DKIM authentifiziert werden und ob Nachrichten regelmäßig die Authentifizierung nicht bestehen. Mithilfe der Berichte können Sie auch überprüfen, wer E-Mails an Ihre Domain sendet. So erhalten Sie Hinweise auf mögliche Spammer. Das Überwachen von DMARC-Berichten ist besonders hilfreich während der Einführungsphase. Weitere Informationen finden Sie unter Empfohlene DMARC-Einführung

Wir empfehlen, eine Gruppe oder ein eigenes Postfach zu erstellen, in dem Sie DMARC-Berichte empfangen und verwalten können.

Wichtig: Die E-Mail-Adresse für Berichte befindet sich normalerweise in derselben Domain wie die Domain, auf der Ihr DMARC-Eintrag gehostet wird. Wenn die E-Mail-Adresse eine andere Domain hat, müssen Sie einen DNS-Eintrag für die andere Domain hinzufügen. Weitere Informationen finden Sie auf der Seite DMARC-Berichte unter Berichte an eine E-Mail-Adresse in einer anderen Domain senden.

Schritt 4: Authentifizierung von Drittanbieterdiensten prüfen

Wenn Sie einen Drittanbieterdienst zum Senden von E-Mails für Ihre Organisation verwenden, müssen Sie dafür sorgen, dass die von Drittanbieterdiensten gesendeten E-Mails authentifiziert werden und die SPF- und DKIM-Prüfungen bestehen:

  • Wenden Sie sich an den Drittanbieter, um sicherzustellen, dass DKIM korrekt eingerichtet worden ist.
  • Achten Sie darauf, dass die Envelope-Absenderdomain des Anbieters mit Ihrer Domain übereinstimmt. Fügen Sie dem SPF-Eintrag für Ihre Domain die IP-Adresse des sendenden E-Mail-Servers des Anbieters hinzu.
  • Ausgehende E-Mails vom Anbieter müssen mit dem SMTP-Relay-Dienst über Google weitergeleitet werden.

Schritt 5: DMARC-Eintrag vorbereiten

Ihre DMARC-Richtlinien werden in einer Zeile mit Textwerten definiert, einem sogenannten DMARC-Eintrag. Mit dem Eintrag wird Folgendes festgelegt:

  • Wie streng Nachrichten per DMARC geprüft werden sollen
  • Empfohlene Aktionen für den empfangenden Server, wenn dort Nachrichten eingehen, die die Authentifizierungsprüfungen nicht bestanden haben

Beispiel für einen DMARC-Richtlinieneintrag (ersetzen Sie example.com durch Ihre Domain):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

Die Tags v und p müssen zuerst aufgeführt werden, alle anderen Tags können in beliebiger Reihenfolge aufgelistet werden.

Wir empfehlen, die Richtlinienoption (p) bei der ersten Anwendung von DMARC auf none festzulegen. Wenn Sie wissen, wie Nachrichten aus Ihrer Domain von empfangenden Servern authentifiziert werden, können Sie Ihre Richtlinie aktualisieren. Legen Sie dann im Lauf der Zeit für die Empfängerrichtlinie die Einstellung quarantine (or reject) fest.Weitere Informationen finden Sie unter Empfohlene DMARC-Einführung

Definitionen und Werte von Tags in DMARC-Einträgen

Tag Beschreibung und Werte
v

(Erforderlich) DMARC-Version. Muss DMARC1 lauten.

p Erforderlich: Weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten.
  • none Die Nachricht wird ohne weitere Maßnahmen an den vorgesehenen Empfänger zugestellt. Nachrichten in einem täglichen Bericht protokollieren. Der Bericht wird an die E-Mail-Adresse gesendet, die mit der Option rua im Eintrag angegeben wurde.
  • quarantine— Die Nachrichten werden als Spam markiert und an den Spamordner des Empfängers gesendet. Empfänger können überprüfen, ob der Spamordner auch zulässige Nachrichten enthält.
  • reject—Die Nachricht wird abgelehnt. Bei dieser Option sendet der Empfängerserver in der Regel eine Unzustellbarkeitsnachricht an den sendenden Server.

Hinweis zu BIMI: Wenn Ihre Domain BIMI verwendet, muss die p-Option von DMARC auf quarantine (Quarantäne) oder reject (ablehnen) gesetzt sein. BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none (keine) festgelegt wurde.

pct

Das Tag pct ist optional. Google empfiehlt jedoch, es beim Einrichten von DMARC in Ihren DMARC-Eintrag aufzunehmen, damit Sie den Prozentsatz der E-Mails verwalten können, auf die Ihre DMARC-Richtlinie angewendet wird.

Gibt den Prozentsatz der nicht authentifizierten Nachrichten an, die der DMARC-Richtlinie unterliegen. Wenn Sie DMARC nach und nach bereitstellen, können Sie mit einem kleinen Prozentsatz Ihrer Nachrichten beginnen. Wenn mehr Nachrichten von Ihrer Domain die Authentifizierung auf den Empfängerservern bestehen, erhöhen Sie den Prozentsatz, bis 100 % erreicht sind.

Muss eine ganze Zahl zwischen 1 und 100 sein. Wenn Sie diese Option nicht im Eintrag verwenden, gilt die DMARC-Richtlinie für alle Nachrichten, die von Ihrer Domain gesendet werden.

Hinweis zu BIMI Wenn Ihre Domain BIMI verwendet, muss der pct-Wert Ihrer DMARC-Richtlinien 100 betragen. BIMI unterstützt keine DMARC-Richtlinien, bei denen für pct ein Wert unter 100 festgelegt wurde.

rua

Das rua-Tag ist optional, wird aber von Google empfohlen.

DMARC-Berichte an eine E-Mail-Adresse senden Die E-Mail-Adresse muss mailto: enthalten.
Beispiel: mailto:dmarc-reports@beispiel.de (ersetzen Sie beispiel.de durch Ihre Domain).

  • Wenn Sie DMARC-Berichte an mehrere E-Mail-Adressen senden möchten, trennen Sie die einzelnen E-Mail-Adressen durch Kommas und fügen Sie vor jeder E-Mail-Adresse das Präfix mailto: hinzu. Beispiel: mailto:dmarc-reports@beispiel.de, mailto:dmarc-admin@beispiel.de (ersetzen Sie beispiel.de durch Ihre Domain).
  • Diese Option kann zu sehr vielen Bericht-E-Mails führen. Wir raten davon ab, Ihre eigene E-Mail-Adresse zu verwenden. Nutzen Sie stattdessen möglichst ein separates Postfach, eine Gruppe oder einen Drittanbieterdienst speziell für DMARC-Berichte.
  • Wenn Sie DMARC-Berichte an eine E-Mail-Adresse in einer anderen Domain als der Domain senden möchten, in der Ihr DMARC-Eintrag gehostet wird, fügen Sie dem DNS der E-Mail-Domain einen TXT-Eintrag hinzu. Weitere Informationen finden Sie auf der Seite DMARC-Berichte unter Berichte an eine E-Mail-Adresse in einer anderen Domain senden.
ruf

(Nicht unterstützt) Das Tag ruf, mit dem Fehlerberichte gesendet werden, wird in Gmail nicht unterstützt. Fehlerberichte werden auch als forensische Berichte bezeichnet.

sp Optional: Legt die Richtlinie für Nachrichten fest, die über Subdomains Ihrer primären Domain gesendet werden. Diese Option können Sie nutzen, wenn Sie eine andere DMARC-Richtlinie für Ihre Subdomains verwenden möchten.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine Die Nachrichten werden als Spam markiert und an den Spamordner des Empfängers gesendet. Empfänger können überprüfen, ob der Spamordner auch zulässige Nachrichten enthält.
  • reject Die Nachricht wird abgelehnt. Bei dieser Option sendet der Empfängerserver eine Unzustellbarkeitsnachricht an den sendenden Server.

Wenn Sie diese Option nicht im Eintrag verwenden, wird für die Subdomains die für die übergeordnete Domain festgelegte DMARC-Richtlinie übernommen.

adkim Optional: Legt die Abgleichrichtlinie für DKIM fest. Darin ist definiert, wie genau Nachrichteninformationen mit DKIM-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich (weiter unten auf dieser Seite).
  • s Strenger Abgleich. Der Name der Absenderdomain muss genau mit dem entsprechenden Wert d = domainname in den DKIM-E-Mail-Headern übereinstimmen.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf Optional: Legt die Abgleichrichtlinie für SPF fest. Darin ist definiert, wie genau Nachrichteninformationen mit SPF-Signaturen übereinstimmen müssen. Weitere Informationen zum Abgleich (weiter unten auf dieser Seite).
  • s Strenger Abgleich (strict). Der Nachrichtenheader „Von“ muss genau mit dem Domainnamen im Befehl „SMTP MAIL FROM“ übereinstimmen.
  • rLockerer Abgleich (relaxed), die Standardeinstellung. Es sind auch teilweise Übereinstimmungen zulässig. Jede gültige Subdomain des Domainnamens wird akzeptiert.

DMARC-Abgleich

Nachrichten können die DMARC-Prüfung bestehen oder nicht, je nachdem, wie weit die Domain im Von:-Header mit der von SPF oder DKIM angegebenen Absenderdomain übereinstimmt. Das wird als Abgleich bezeichnet.

Sie haben die Wahl zwischen zwei Abgleichsmodi: „strict“ (streng) oder „relaxed“ (locker). Sie können den Abgleichsmodus für SPF und DKIM im DMARC-Eintrag mit den DMARC-Eintrags-Tags aspf und adkim festlegen.

Authentifizierungsmethode Strenger Abgleich Lockerer Abgleich
SPF Eine genaue Übereinstimmung zwischen der Domain in der Adresse des Envelope-Absenders (auch als Rücksendepfadadresse bezeichnet) und der Domain in der Adresse im Von:-Header. Die Domain der Adresse im Von-Header muss mit der Domain in der Adresse des Envelope-Absenders (auch als Rücksendepfadadresse bezeichnet) übereinstimmen oder eine Subdomain davon sein.
DKIM Eine genaue Übereinstimmung zwischen der relevanten DKIM-Domain und der Domain der Adresse im Von:-Header. Die Domain der Adresse im Von:-Header muss mit der Domain übereinstimmen, die im DKIM-Signatur-Tag d= angegeben ist, oder eine Subdomain davon sein.

In bestimmten Fällen kann der strenge Abgleich sinnvoll sein, um den Schutz vor Spoofing zu erhöhen:

  • E-Mails werden von einer Subdomain außerhalb Ihrer Kontrolle gesendet.
  • Sie haben Subdomains, die von einer anderen Entität verwaltet werden.
Wichtig: Ein lockerer Abgleich bietet in der Regel einen ausreichenden Schutz vor Spoofing. Ein strenger Abgleich kann dazu führen, dass Nachrichten von zugehörigen Subdomains abgelehnt oder an den Spamordner gesendet werden.

Für eine erfolgreiche DMARC-Authentifizierung müssen Nachrichten mindestens eine der folgenden Prüfungen bestehen:

  • SPF-Authentifizierung und SPF-Abgleich 
  • DKIM-Authentifizierung und DKIM-Abgleich

Eine DMARC-Authentifizierung schlägt fehl, wenn Nachrichten die folgenden beiden Prüfungen nicht bestehen:

  • SPF oder SPF-Abgleich
  • DKIM oder DKIM-Abgleich

Schritt 6: DMARC-Eintrag hinzufügen

Nachdem Sie den Text des DMARC-Eintrags vorbereitet haben, fügen Sie den DMARC-DNS-TXT-Eintrag bei Ihrem Domainanbieter hinzu oder aktualisieren Sie ihn dort. Wenn Sie Ihre DMARC-Richtlinie ändern und Ihren Eintrag aktualisieren, müssen Sie immer auch den DMARC-TXT-Eintrag bei Ihrem Domainanbieter aktualisieren.

Eintrag hinzufügen oder aktualisieren

Wichtig: Richten Sie DKIM und SPF ein, bevor Sie DMARC einrichten. Nachrichten sollten mindestens 48 Stunden mit DKIM und SPF authentifiziert werden, bevor Sie DMARC aktivieren.

  1. Bereiten Sie die Textdatei oder Zeile für Ihren DMARC-Eintrag vor.
  2. Melden Sie sich bei Ihrem Domainhost an. Das ist normalerweise der Anbieter, bei dem Sie Ihre Domain erworben haben. Wenn Sie nicht sicher sind, wer Ihr Domainhost ist, lesen Sie den Hilfeartikel Domain-Registrar identifizieren.
  3. Rufen Sie die Seite auf, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren. Weitere Informationen erhalten Sie in der Dokumentation Ihrer Domain.
  4. Fügen Sie den TXT-Eintrag mit den folgenden Informationen hinzu oder aktualisieren Sie ihn (siehe Dokumentation für Ihre Domain): 

    Feldname Einzugebender Wert
    Typ Der Eintragstyp ist TXT.
    Host (Name, Hostname, Alias) Dieser Wert sollte _dmarc.beispiel.de sein (ersetzen Sie beispiel.de durch Ihren Domainnamen).
    Wert Der String, aus dem der TXT-Eintrag besteht. Beispiel: v=DMARC1; p=none; rua=mailto:postmaster@beispiel.de, mailto:dmarc@beispiel.de; pct=100; adkim=s; aspf=s. Weitere Informationen finden Sie oben auf dieser Seite unter DMARC-Eintrag vorbereiten.
    Hinweis: Bei einigen Domainhosts wird der Domainname automatisch hinzugefügt. Prüfen Sie daher, nachdem Sie den TXT-Eintrag hinzugefügt oder aktualisiert haben, ob der Domainname im DMARC-Eintrag stimmt.
  5. Speichern Sie die Änderungen.
  6. Wenn Sie DMARC für mehrere Domains einrichten, führen Sie diese Schritte für jede Domain aus. Jede Domain kann eine andere Richtlinie sowie unterschiedliche Berichtsoptionen haben (im Eintrag definiert).

Schritt 7: DMARC-Eintrag prüfen

Wichtig: Die in den folgenden Schritten verwendeten Domains sind nur Beispiele. Ersetzen Sie diese Beispieldomains durch Ihre eigenen Domains.

Einige Domainhosts fügen Ihren Domainnamen automatisch am Ende des Namens des TXT-Eintrags ein. Das kann dazu führen, dass der Name des DMARC-TXT-Eintrags falsch formatiert ist. Wenn Sie beispielsweise _dmarc.beispiel.de eingeben und der Domainhost Ihren Domainnamen automatisch hinzufügt, wird der Name des TXT-Eintrags als _dmarc.beispiel.debeispiel.de falsch formatiert.

Nachdem Sie den DMARC-TXT-Eintrag wie unter Eintrag hinzufügen oder aktualisieren beschrieben hinzugefügt haben, prüfen Sie, ob der Name des TXT-Eintrags richtig formatiert ist.

In der Google Admin Toolbox können Sie mit der Dig-Funktion Ihren DMARC-TXT-Eintrag aufrufen und prüfen:

  1. Rufen Sie die Google Admin Toolbox auf und wählen Sie die Funktion Dig aus.
  2. Geben Sie in das Feld Name _dmarc. gefolgt von Ihrem vollständigen Domainnamen ein. Wenn Ihr Domainname beispielsweise beispiel.de lautet, geben Sie _dmarc.beispiel.de ein.
  3. Klicken Sie unter dem Feld Name auf TXT.
  4. Prüfen Sie den Namen des DMARC-TXT-Eintrags in den Ergebnissen. Suchen Sie nach der Textzeile, die mit _dmarc beginnt.

Weitere Informationen


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.

War das hilfreich?

Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü