Stand: Juli 2026
Zusammenfassung: Über einen DMARC-Record im DNS legst du fest, wie empfangende Server mit E-Mails verfahren sollen, die im Namen deiner Domain gesendet werden, aber die Signaturprüfung verfehlen. Wir zeigen dir, wie du den Record in CloudPit oder oneHome anlegst und die Sicherheitsrampe sicher aufbaust.
Voraussetzungen
- Ein aktives dogado-Webhosting mit Zugriff auf das Kundenportal (CloudPit oder oneHome)
- SPF und DKIM müssen bereits eingerichtet sein — DMARC baut technisch auf beiden Verfahren auf:
DMARC ist ein Validierungssystem, das in Verbindung mit SPF und DKIM dazu beiträgt, Betrug durch E-Mail-Imitationen oder Spoofing zu verhindern.
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) verknüpft deine SPF- und DKIM-Prüfergebnisse zu einer verbindlichen Vorgabe für empfangende Mailserver. Wenn jemand versucht, E-Mails mit deiner Domain als Absender zu fälschen, bestimmt DMARC, ob diese E-Mails zugestellt, im Spam aussortiert oder sofort abgelehnt werden.
Gleichzeitig bietet DMARC ein wertvolles Reporting-System: Über Statusberichte siehst du exakt, welche Server und IP-Adressen weltweit E-Mails im Namen deiner Domain einliefern.
Der empfohlene Weg: none → quarantine → reject
Wie dogado in den offiziellen Richtlinien rät, sollte der Aufbau stufenweise erfolgen: Normalerweise beginnt man bei der Auswahl der Richtlinien mit none, dann quarantine und schließlich reject.
Die drei Policy-Stufen im Überblick:
none(Beobachtungsmodus):none: dient der Überwachung und dem Sammeln von Ergebnissen, ohne dass Maßnahmen ergriffen werden; E-Mails werden wie gewohnt zugestellt.Starte immer hier, um anhand der Berichte zu prüfen, ob alle legitimen Systeme korrekt signieren.quarantine(Quarantäne):quarantine: Nachrichten, die die DMARC Prüfung nicht bestehen, werden in einen Spam-Ordner, oder Ähnliches, verschoben.Falls du sofort mit einer aktiven Filterung einsteigen möchtest, gibt dogado eine klare Empfehlung:Wenn Sie DMARC nur aktivieren möchten, empfehlen wir die Option quarantine.reject(Abweisung): Die strengste Stufe:reject: E-Mails, die die DMARC Prüfung nicht bestehen, werden gar nicht erst zugestellt.
Schritt-für-Schritt-Anleitung
1. Mit dem Beobachtungs-Record (p=none) starten
Erstelle für den Einstieg einen TXT-Record für den Beobachtungsmodus:
v=DMARC1; p=none; rua=mailto:dmarc@example.com
Ersetze dmarc@example.com durch deine gewünschte E-Mail-Adresse für den Empfang der täglichen Zusammenfassungen.
2. DNS-Verwaltung in CloudPit oder oneHome aufrufen
Öffne im dogado-Kundenbereich die DNS-Verwaltung deiner Domain: Anschließend können Sie den Eintrag gemäß unserer DNS-Anleitung setzen. Navigiere hierzu in CloudPit über Webhosting → Aktionen → DNS-Verwaltung oder in oneHome zu den DNS-Einstellungen der Domain.
3. TXT-Record für _dmarc erstellen
Füge in der DNS-Tabelle einen neuen Eintrag hinzu:
- Name / Hostname:
_dmarc(die Subdomain_dmarc.beispiel.dewird dadurch angesprochen) - Typ: TXT
- Wert / Text:
v=DMARC1; p=none; rua=mailto:dmarc@example.com - TTL: Standardwert (z. B. 600 Sekunden) belassen
Speichere den neuen DNS-Eintrag.
4. RUA- und RUF-Berichte auswerten und auf quarantine/reject erhöhen
Nach der Aktivierung senden große Provider tägliche RUA-Auswertungen: RUA-Berichte werden täglich versandt und enthalten eine Übersicht aller von Ihrer Domain versendeten E-Mails, einschließlich der IP-Adressen.
Zusätzlich unterstützt DMARC forensische Berichte in Echtzeit über den Tag ruf=: RUF-Berichte werden nur gesendet, wenn eine E-Mail die DMARC Prüfung nicht besteht.
Sobald die Berichte bestätigen, dass alle legitimen Absender bestehen, erhöhst du die Policy erst auf Quarantäne:
v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com
Und schlussendlich auf die vollständige Abweisung:
v=DMARC1; p=reject; rua=mailto:dmarc@example.com
Die wichtigsten Tags im DMARC-Record
| Tag | Bedeutung |
|---|---|
v=DMARC1 | Versionskennung des DMARC-Standards (muss zwingend am Anfang stehen) |
p= | Hauptrichtlinie (none, quarantine oder reject) |
rua=mailto:... | Zieladresse für tägliche aggregierte XML-Berichte |
ruf=mailto:... | Zieladresse für sofortige forensische Fehlerberichte bei fehlgeschlagener Prüfung |
Ergebnis prüfen
Prüfe nach dem Speichern mit dem kostenlosen MXAudit-Scanner, ob dein neuer DMARC-Record fehlerfrei auflöst und wie er mit deinen SPF- und DKIM-Records zusammenarbeitet.
Alternativ kannst du über das Terminal abfragen, ob die DNS-Server den Eintrag bereitstellen:
dig TXT _dmarc.beispiel.de +short
Die Antwort muss mit v=DMARC1; beginnen.
Häufige Fehler
Sofort auf p=reject schalten. Wer ohne Testphase auf Abweisung geht, blockiert häufig legitime Drittanbieter (Newsletter-Tools, CRM, Rechnungssoftware). Nutze immer zuerst none oder zumindest quarantine.
Auf der Hauptdomain (@) statt unter _dmarc angelegt. Ein DMARC-Record gehört ausschließlich auf den Hostnamen _dmarc. Wird er auf der nackten Domain angelegt, greift die Prüfung ins Leere.
Keine Report-Adresse (rua) konfiguriert. Ohne RUA-Berichte bleibst du blind gegenüber Zustellfehlern oder aktiven Missbrauchsversuchen im Namen deiner Domain.
