Stand: Juli 2026
Zusammenfassung: All-Inkl legt standardmäßig einen
p=none-DMARC-Record an. Nach dieser Anleitung passt du ihn im KAS an — sicher gestaffelt bisp=reject, inklusive korrekt autorisierter Report-Adressen.
Voraussetzungen
- Ein All-Inkl-Paket mit Zugang zum KAS
- SPF und DKIM müssen stehen — DMARC wertet nur deren Ergebnisse aus
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) gibt empfangenden Servern eine Empfehlung, „wie ein Empfänger-Server bei Verstößen gegen SPF und DKIM mit einer E-Mail verfahren soll” — und lässt dich per Report informieren. Es ist ein TXT-Record mit dem Namen _dmarc.
Die Ausgangslage bei All-Inkl
Praktisch: All-Inkl legt standardmäßig bereits einen DMARC-Eintrag an — nämlich v=DMARC1; p=none;. Der beobachtet nur und blockiert nichts. Deine Aufgabe ist, ihn schrittweise anzuziehen und eine Report-Adresse zu ergänzen.
Schritt-für-Schritt-Anleitung
1. DNS-Einstellungen im KAS öffnen
Logge dich ins KAS ein, klicke auf Tools → DNS-Einstellungen und bearbeite die gewünschte Domain. Klicke beim vorhandenen DMARC-Eintrag auf Bearbeiten (oder auf neuen DNS-Eintrag erstellen, falls keiner existiert). Der Name ist immer _dmarc, der Typ TXT.
2. Mit Beobachtung starten
Ergänze den vorhandenen p=none-Eintrag um eine Report-Adresse:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
Die rua-Adresse empfängt die täglichen aggregierten Berichte. Zur Auswertung eignet sich ein DMARC-Monitoring wie MARCo, das die XML-Reports lesbar aufbereitet.
3. Staffeln bis reject
Nach der Beobachtungsphase gestaffelt anziehen — pct steuert den Anteil:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
Und schließlich, mit strenger Ausrichtung, die Durchsetzung. All-Inkls eigener ausführlicher Beispielrecord zeigt die Form:
v=DMARC1; p=reject; rua=mailto:mail@ihre-domain.de; ruf=mailto:mail@ihre-domain.de; adkim=s; aspf=r
Zur Syntax: Parameter und Wert ohne Leerzeichen ums =, mit ; getrennt.
4. Wichtig bei externen Report-Adressen
Zeigt deine rua- oder ruf-Adresse auf eine andere Domain als die, für die der DMARC-Record gilt (z. B. ein Monitoring-Dienst), braucht diese andere Domain einen Autorisierungs-Record — sonst ignoriert der Report-Versender die Adresse. All-Inkls Beispiel: Gilt DMARC für example.com und die Report-Adresse liegt auf ihre-domain.de, dann muss bei ihre-domain.de dieser Record stehen:
example.com._report._dmarc.ihre-domain.de TXT "v=DMARC1"
Diesen Schritt vergisst fast jeder — er ist der Grund, warum Reports manchmal nie ankommen.
Die wichtigsten Tags
| Tag | Bedeutung |
|---|---|
p= | Policy: none / quarantine / reject |
sp= | Policy für Subdomains |
pct= | Anteil der Mails in Prozent (Standard 100) |
rua= | Adressen für aggregierte Berichte |
ruf= | Adressen für forensische Berichte |
adkim= / aspf= | Abgleichmodus (r relaxed, s strict) |
fo= | wann ein forensischer Bericht erzeugt wird |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.
Häufige Fehler
Externe Report-Adresse ohne Autorisierung. Reports an eine Fremddomain kommen nur an, wenn diese den _report._dmarc-Autorisierungs-Record veröffentlicht.
Beim p=none belassen. Der Standardeintrag beobachtet nur — er schützt nicht. Nach der Testphase auf quarantine/reject anziehen.
Sofort auf reject. Ohne none-Phase blockierst du legitime Quellen.
Leerzeichen um das =. Parameter und Wert direkt aneinander, mit ; trennen.
Weiterführende Links
- All-Inkl Anleitung: DNS-Werkzeuge — DMARC (abgerufen: 10. Juli 2026)
- RFC 7489 — DMARC
