Stand: Juli 2026
Zusammenfassung: Die optionalen Tags
adkim=undaspf=steuern in DMARC das sogenannte Identifier Alignment. Sie festlegen, ob die in SPF und DKIM genutzten Domains exakt (strict) mit der sichtbaren Absenderdomain übereinstimmen müssen oder ob Subdomains erlaubt sind (relaxed).
Damit eine E-Mail die DMARC-Prüfung (Domain-based Message Authentication, Reporting, and Conformance) erfolgreich besteht, reicht es nicht aus, dass SPF und DKIM technisch fehlerfrei validieren. DMARC fordert zusätzlich einen Bezug zur sichtbaren Absenderadresse (Header-From). Dieser Abgleich wird als Identifier Alignment bezeichnet.
Über die Tags adkim= (Alignment DKIM) und aspf= (Alignment SPF) legst du fest, wie streng dieser Abgleich erfolgen soll.
Die Vorgaben laut RFC 7489
Beide Tags akzeptieren zwei Werte: r für relaxed (gelockert) und s für strict (streng). Wenn du die Tags in deinem TXT-Record weglässt, wendet DMARC automatisch den gelockerten Modus (r) an.
Laut RFC 7489 gilt für DKIM:
adkim: (plain-text; OPTIONAL; default is "r".) Indicates whether strict or relaxed DKIM Identifier Alignment mode is required by the Domain Owner.
Und analog für SPF:
aspf: (plain-text; OPTIONAL; default is "r".) Indicates whether strict or relaxed SPF Identifier Alignment mode is required by the Domain Owner.
Ein DMARC-Record mit maximaler Strenge sieht wie folgt aus:
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc-reports@example.com
Relaxed Alignment (r): Der flexible Standard
Im Standardmodus (r) erlaubt DMARC eine Subdomain-Beziehung. Das bedeutet:
- Wenn im sichtbaren E-Mail-Kopf (
From:) die Domainexample.comsteht, darf die durch DKIM signierte Domain (d=) oder der für SPF genutzteReturn-Patheine Subdomain wiemail.example.comoderbounce.example.comsein. - Obwohl die Strings nicht exakt identisch sind, gilt das Alignment im gelockerten Modus als erfolgreich.
Dieser Modus ist für fast alle Unternehmen die richtige Wahl, da externe Dienstleister wie CRM-Systeme, Newsletter-Plattformen oder Helpdesks den E-Mail-Versand aus technischen Gründen fast immer über spezialisierte Subdomains abwickeln.
Strict Alignment (s): Die exakte Übereinstimmung
Im strikten Modus (s) fordert DMARC eine Zeichen-für-Zeichen-Übereinstimmung. Das bedeutet:
- Wenn die E-Mail von
info@example.comgesendet wird, muss der DKIM-Signaturschlüssel zwingend den Tagd=example.comtragen und der SPF-Envelope-Sender (Return-Path) muss exakt auf@example.comenden. - Ein Signatur-Versuch über
mail.example.comführt im strikten Modus zu einem sofortigen Alignment-Fehler und damit zum Scheitern der DMARC-Prüfung – selbst wenn der Schlüssel kryptografisch gültig ist.
Der strikte Modus wird vor allem in hochsensiblen Branchen (wie dem Bankenwesen oder bei Regierungsstellen) eingesetzt, um zu verhindern, dass kompromittierte Subdomains E-Mails im Namen der Hauptdomain signieren können.
Konfiguration prüfen
Um zu testen, ob dein aktuelles Alignment auf relaxed oder strict eingestellt ist und ob deine externen E-Mail-Dienstanbieter die Anforderungen erfüllen, kannst du deine Konfiguration mit dem kostenlosen MXAudit-Scanner prüfen.
Weitere Hintergrundinformationen zu den Authentifizierungsmechanismen und praktische Schritt-für-Schritt-Anleitungen findest du in der DMARC-Übersicht und in Guides wie DMARC bei IONOS einrichten.
Weiterführende Links
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC) (abgerufen: 16. Juli 2026)