Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain bei checkdomain einen DMARC-Record, der empfangenden Servern sagt, was mit nicht authentifizierten Mails geschehen soll — und dir per Report zeigt, wer in deinem Namen sendet.

Voraussetzungen

  • Eine Domain bei checkdomain mit aktiven checkdomain-Nameservern
  • SPF und DKIM müssen zuerst eingerichtet sein — checkdomain weist selbst darauf hin, dass „neben DMARC häufig auch ein gültiger SPF-Eintrag und ein DKIM-Eintrag benötigt” werden

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie. Es ist ein TXT-Record unter der Subdomain _dmarc (z. B. _dmarc.beispiel.de). Darin legst du zwei Dinge fest: was ein Empfänger mit Mails tun soll, die die Prüfung nicht bestehen (die p-Policy), und wohin er dir Berichte schickt (die rua-Adresse).

Der Clou sind die Reports: Über rua bekommst du täglich aggregierte Berichte darüber, welche Server in deinem Namen senden — legitime wie gefälschte. Genau daraus wird der Weg zur sicheren Durchsetzung.

Die Ausgangslage bei checkdomain

checkdomain legt DMARC nicht automatisch an — DMARC-Einträge werden nicht standardmäßig erstellt. Du trägst den Record selbst als TXT-Eintrag in den Profi-Einstellungen der Nameserver-Verwaltung ein (dieselbe Stelle wie beim SPF-Record).

Der sichere Weg: none → quarantine → reject

DMARC schaltet man nicht sofort scharf. Die drei Policy-Stufen sind eine Rampe:

  1. p=none — beobachten, nichts blockieren. Hier startest du und sammelst Reports.
  2. p=quarantine — verdächtige Mails landen im Spam. Optional mit pct= nur ein Teil, um vorsichtig zu testen.
  3. p=reject — nicht authentifizierte Mails werden abgewiesen. Das Ziel.

Wechsle erst weiter, wenn die Reports zeigen, dass alle deine legitimen Sendequellen SPF/DKIM bestehen. Sonst blockierst du eigene Mails.

Schritt-für-Schritt-Anleitung

1. Mit p=none starten

Beginne mit dem Beobachtungs-Record:

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

Die rua-Adresse ist das Postfach (oder der Dienst), das die aggregierten Reports empfängt. Für die Auswertung lohnt sich ein DMARC-Monitoring wie MARCo, das die täglichen XML-Reports lesbar macht und dir zeigt, welche Quellen noch nicht sauber authentifiziert sind.

2. TXT-Eintrag in den Profi-Einstellungen anlegen

Öffne den Kundenbereich, klicke auf Domains, öffne bei deiner Domain die Konfiguration und dann den Bereich checkdomain Nameserver. Lege in den Profi-Einstellungen einen TXT-Eintrag an:

  • Name: _dmarc
  • Typ: TXT
  • Wert: deinen DMARC-Record (ohne Anführungszeichen, wie bei checkdomain üblich)

checkdomain warnt ausdrücklich: „Verwenden Sie nicht ungeprüft den Beispielwert.” Nutze den Wert, der zu deiner Domain und deinen Versandquellen passt.

3. Reports auswerten, dann anziehen

Nach ein bis zwei Wochen p=none zeigen die Reports, ob alle Quellen sauber sind. Dann auf quarantine wechseln — gern gestaffelt mit pct:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de

pct=25 wendet die Policy auf 25 % der Mails an — erhöhe schrittweise auf 100.

4. Auf reject schalten

Wenn quarantine sauber läuft, kommt die Durchsetzung — optional mit strenger Ausrichtung und Subdomain-Policy:

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; sp=reject; adkim=s; aspf=s

5. Warten, bis die Änderung aktiv ist

Laut checkdomain wird die Änderung in Sekunden gespeichert; bis sie weltweit sichtbar ist, kann es bis zu 48 Stunden dauern.

Die wichtigsten Tags

TagBedeutung
v=DMARC1Version, muss am Anfang stehen
p=Policy: none (beobachten), quarantine (Spam), reject (ablehnen)
rua=Adresse für aggregierte Statusberichte
ruf=Adresse für forensische Fehlerberichte
sp=eigene Policy für Subdomains
adkim= / aspf=Ausrichtung (r relaxed, s strict) für DKIM bzw. SPF

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC-Policy, SPF und DKIM auf einen Blick.

Häufige Fehler

Sofort auf p=reject. Ohne vorherige none-Phase blockierst du fast garantiert legitime Quellen (Newsletter, CRM, Rechnungstool), die noch nicht sauber authentifiziert sind. Immer mit p=none starten und Reports lesen.

Kein rua gesetzt. Ohne Report-Adresse fliegst du blind — du siehst nie, welche Quellen scheitern. rua gehört von Anfang an rein.

DMARC ohne SPF/DKIM. DMARC prüft die Ergebnisse von SPF und DKIM. Fehlt beides, besteht keine Mail die Prüfung. Erst SPF und DKIM, dann DMARC.

Falscher Hostname. Der Record gehört an _dmarc — nicht an @ oder die nackte Domain.