Stand: Juli 2026

Zusammenfassung: All-Inkl legt standardmäßig einen p=none-DMARC-Record an. Nach dieser Anleitung passt du ihn im KAS an — sicher gestaffelt bis p=reject, inklusive korrekt autorisierter Report-Adressen.

Voraussetzungen

  • Ein All-Inkl-Paket mit Zugang zum KAS
  • SPF und DKIM müssen stehen — DMARC wertet nur deren Ergebnisse aus

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) gibt empfangenden Servern eine Empfehlung, „wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll” — und lässt dich per Report informieren. Es ist ein TXT-Record mit dem Namen _dmarc.

Die Ausgangslage bei All-Inkl

Praktisch: All-Inkl legt standardmäßig bereits einen DMARC-Eintrag an — nämlich v=DMARC1; p=none;. Der beobachtet nur und blockiert nichts. Deine Aufgabe ist, ihn schrittweise anzuziehen und eine Report-Adresse zu ergänzen.

Schritt-für-Schritt-Anleitung

1. DNS-Einstellungen im KAS öffnen

Logge dich ins KAS ein, klicke auf ToolsDNS-Einstellungen und bearbeite die gewünschte Domain. Klicke beim vorhandenen DMARC-Eintrag auf Bearbeiten (oder auf neuen DNS-Eintrag erstellen, falls keiner existiert). Der Name ist immer _dmarc, der Typ TXT.

2. Mit Beobachtung starten

Ergänze den vorhandenen p=none-Eintrag um eine Report-Adresse:

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

Die rua-Adresse empfängt die täglichen aggregierten Berichte. Zur Auswertung eignet sich ein DMARC-Monitoring wie MARCo, das die XML-Reports lesbar aufbereitet.

3. Staffeln bis reject

Nach der Beobachtungsphase gestaffelt anziehen — pct steuert den Anteil:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de

Und schließlich, mit strenger Ausrichtung, die Durchsetzung. All-Inkls eigener ausführlicher Beispielrecord zeigt die Form:

v=DMARC1; p=reject; rua=mailto:mail@ihre-domain.de; ruf=mailto:mail@ihre-domain.de; adkim=s; aspf=r

Zur Syntax: Parameter und Wert ohne Leerzeichen ums =, mit ; getrennt.

4. Wichtig bei externen Report-Adressen

Zeigt deine rua- oder ruf-Adresse auf eine andere Domain als die, für die der DMARC-Record gilt (z. B. ein Monitoring-Dienst), braucht diese andere Domain einen Autorisierungs-Record — sonst ignoriert der Report-Versender die Adresse. All-Inkls Beispiel: Gilt DMARC für example.com und die Report-Adresse liegt auf ihre-domain.de, dann muss bei ihre-domain.de dieser Record stehen:

example.com._report._dmarc.ihre-domain.de TXT "v=DMARC1"

Diesen Schritt vergisst fast jeder — er ist der Grund, warum Reports manchmal nie ankommen.

Die wichtigsten Tags

TagBedeutung
p=Policy: none / quarantine / reject
sp=Policy für Subdomains
pct=Anteil der Mails in Prozent (Standard 100)
rua=Adressen für aggregierte Berichte
ruf=Adressen für forensische Berichte
adkim= / aspf=Abgleichmodus (r relaxed, s strict)
fo=wann ein forensischer Bericht erzeugt wird

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.

Häufige Fehler

Externe Report-Adresse ohne Autorisierung. Reports an eine Fremddomain kommen nur an, wenn diese den _report._dmarc-Autorisierungs-Record veröffentlicht.

Beim p=none belassen. Der Standardeintrag beobachtet nur — er schützt nicht. Nach der Testphase auf quarantine/reject anziehen.

Sofort auf reject. Ohne none-Phase blockierst du legitime Quellen.

Leerzeichen um das =. Parameter und Wert direkt aneinander, mit ; trennen.