Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain bei checkdomain einen DMARC-Record, der empfangenden Servern sagt, was mit nicht authentifizierten Mails geschehen soll — und dir per Report zeigt, wer in deinem Namen sendet.
Voraussetzungen
- Eine Domain bei checkdomain mit aktiven checkdomain-Nameservern
- SPF und DKIM müssen zuerst eingerichtet sein — checkdomain weist selbst darauf hin, dass „neben DMARC häufig auch ein gültiger SPF-Eintrag und ein DKIM-Eintrag benötigt” werden
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie. Es ist ein TXT-Record unter der Subdomain _dmarc (z. B. _dmarc.beispiel.de). Darin legst du zwei Dinge fest: was ein Empfänger mit Mails tun soll, die die Prüfung nicht bestehen (die p-Policy), und wohin er dir Berichte schickt (die rua-Adresse).
Der Clou sind die Reports: Über rua bekommst du täglich aggregierte Berichte darüber, welche Server in deinem Namen senden — legitime wie gefälschte. Genau daraus wird der Weg zur sicheren Durchsetzung.
Die Ausgangslage bei checkdomain
checkdomain legt DMARC nicht automatisch an — DMARC-Einträge werden nicht standardmäßig erstellt. Du trägst den Record selbst als TXT-Eintrag in den Profi-Einstellungen der Nameserver-Verwaltung ein (dieselbe Stelle wie beim SPF-Record).
Der sichere Weg: none → quarantine → reject
DMARC schaltet man nicht sofort scharf. Die drei Policy-Stufen sind eine Rampe:
p=none— beobachten, nichts blockieren. Hier startest du und sammelst Reports.p=quarantine— verdächtige Mails landen im Spam. Optional mitpct=nur ein Teil, um vorsichtig zu testen.p=reject— nicht authentifizierte Mails werden abgewiesen. Das Ziel.
Wechsle erst weiter, wenn die Reports zeigen, dass alle deine legitimen Sendequellen SPF/DKIM bestehen. Sonst blockierst du eigene Mails.
Schritt-für-Schritt-Anleitung
1. Mit p=none starten
Beginne mit dem Beobachtungs-Record:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
Die rua-Adresse ist das Postfach (oder der Dienst), das die aggregierten Reports empfängt. Für die Auswertung lohnt sich ein DMARC-Monitoring wie MARCo, das die täglichen XML-Reports lesbar macht und dir zeigt, welche Quellen noch nicht sauber authentifiziert sind.
2. TXT-Eintrag in den Profi-Einstellungen anlegen
Öffne den Kundenbereich, klicke auf Domains, öffne bei deiner Domain die Konfiguration und dann den Bereich checkdomain Nameserver. Lege in den Profi-Einstellungen einen TXT-Eintrag an:
- Name:
_dmarc - Typ:
TXT - Wert: deinen DMARC-Record (ohne Anführungszeichen, wie bei checkdomain üblich)
checkdomain warnt ausdrücklich: „Verwenden Sie nicht ungeprüft den Beispielwert.” Nutze den Wert, der zu deiner Domain und deinen Versandquellen passt.
3. Reports auswerten, dann anziehen
Nach ein bis zwei Wochen p=none zeigen die Reports, ob alle Quellen sauber sind. Dann auf quarantine wechseln — gern gestaffelt mit pct:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
pct=25 wendet die Policy auf 25 % der Mails an — erhöhe schrittweise auf 100.
4. Auf reject schalten
Wenn quarantine sauber läuft, kommt die Durchsetzung — optional mit strenger Ausrichtung und Subdomain-Policy:
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; sp=reject; adkim=s; aspf=s
5. Warten, bis die Änderung aktiv ist
Laut checkdomain wird die Änderung in Sekunden gespeichert; bis sie weltweit sichtbar ist, kann es bis zu 48 Stunden dauern.
Die wichtigsten Tags
| Tag | Bedeutung |
|---|---|
v=DMARC1 | Version, muss am Anfang stehen |
p= | Policy: none (beobachten), quarantine (Spam), reject (ablehnen) |
rua= | Adresse für aggregierte Statusberichte |
ruf= | Adresse für forensische Fehlerberichte |
sp= | eigene Policy für Subdomains |
adkim= / aspf= | Ausrichtung (r relaxed, s strict) für DKIM bzw. SPF |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC-Policy, SPF und DKIM auf einen Blick.
Häufige Fehler
Sofort auf p=reject. Ohne vorherige none-Phase blockierst du fast garantiert legitime Quellen (Newsletter, CRM, Rechnungstool), die noch nicht sauber authentifiziert sind. Immer mit p=none starten und Reports lesen.
Kein rua gesetzt. Ohne Report-Adresse fliegst du blind — du siehst nie, welche Quellen scheitern. rua gehört von Anfang an rein.
DMARC ohne SPF/DKIM. DMARC prüft die Ergebnisse von SPF und DKIM. Fehlt beides, besteht keine Mail die Prüfung. Erst SPF und DKIM, dann DMARC.
Falscher Hostname. Der Record gehört an _dmarc — nicht an @ oder die nackte Domain.
Weiterführende Links
- checkdomain Support: Wie hinterlege ich einen DMARC-Eintrag? (abgerufen: 10. Juli 2026)
- RFC 7489 — DMARC
