Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-TXT-Record in der Cloudflare-DNS-Zone — sicher gestaffelt von der Beobachtung bis zur Durchsetzung.
Voraussetzungen
- Eine Domain, deren DNS bei Cloudflare verwaltet wird (DNS > Records)
- SPF und DKIM müssen stehen — DMARC baut darauf auf
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM. Wie Cloudflares Doku es formuliert: „DMARC ensures that emails claiming to be from your domain actually pass SPF and DKIM checks, telling recipients what to do with emails that fail authentication.” Zusätzlich lässt es dir aggregierte Reports schicken. Du konfigurierst es über einen TXT-Record in deiner DNS-Zone. Es ist zwar keine Pflicht, aber Cloudflare hält fest: „DMARC significantly improves email deliverability”.
Die Policies
Cloudflare benennt die drei Stufen knapp:
none— „Monitor only (recommended to start)”quarantine— „Quarantine suspicious emails”reject— „Reject unauthenticated emails”
Das ist zugleich die Reihenfolge beim Ausrollen: bei none starten und „Finally implement p=reject after confirming legitimate mail authenticates”.
Schritt-für-Schritt-Anleitung
1. Mit Beobachtung starten
Gehe zu DNS > Records, wähle Add record und lege an:
| Feld | Wert |
|---|---|
| Type | TXT |
| Name | _dmarc |
| Content | v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de |
| TTL | Auto |
Cloudflares eigener Beispiel-Record lautet v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com — für den ersten Rollout startest du bei p=none, damit nichts blockiert wird, während du die Reports beobachtest. Die rua-Reports wertest du mit einem DMARC-Monitoring aus.
Reports auf einer anderen Domain? Liegt deine
rua-Adresse auf einer anderen Domain (üblich bei einem DMARC-Aggregator), hält Cloudflare fest: „the receiving domain must publish a_report._dmarc.yourdomain.comTXT record to authorize reports”.
2. Reports lesen, Quellen sauber machen
„Monitor DMARC reports for several weeks.” Die Reports zeigen, welche Quellen SPF/DKIM noch nicht bestehen. Erst wenn alle legitimen Absender sauber sind, ziehst du an.
3. Staffeln bis reject
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
4. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen Zeit — je nach Caching eine Weile.
Die wichtigsten Tags
| Tag | Bedeutung |
|---|---|
v=DMARC1 | Version, muss am Anfang stehen |
p= | Policy: none / quarantine / reject |
rua= | Adresse für aggregierte Reports |
pct= | Anteil der Mails, auf die die Policy wirkt |
sp= | Policy für Subdomains |
adkim= / aspf= | Ausrichtung (r relaxed, s strict) |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.
Oder direkt:
dig TXT _dmarc.beispiel.de +short
Häufige Fehler
Sofort auf reject. Ohne none-Phase blockierst du legitime Quellen — Cloudflare empfiehlt den Start mit p=none.
Kein rua. Ohne Report-Adresse fliegst du blind.
DMARC ohne SPF/DKIM. Erst SPF und DKIM, dann DMARC.
Zwei _dmarc-Records. Pro Domain nur ein DMARC-Record — ein zweiter macht die Policy ungültig.
Weiterführende Links
- Cloudflare Docs: Email authentication (SPF, DKIM, DMARC) (abgerufen: 10. Juli 2026)
- Cloudflare Docs: Email Service troubleshooting (abgerufen: 10. Juli 2026)
- RFC 7489 — DMARC
