Stand: Juli 2026

Zusammenfassung: domainfactory hat für DMARC keinen Assistenten. Nach dieser Anleitung legst du den _dmarc-TXT-Record selbst in den Nameserver-Einstellungen an — sicher gestaffelt bis p=reject.

Voraussetzungen

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie und liefert dir Reports. Technisch ist es ein TXT-Record unter _dmarc — und TXT-Einträge sind bei domainfactory ausdrücklich für Dienste gedacht, „für die kein eigener Eintragstyp zur Verfügung steht”.

Die Ausgangslage bei domainfactory

Wie schon bei DKIM gibt es für DMARC keinen Assistenten — anders als beim SPF-Assistenten. Das ist kein Hindernis: Den _dmarc-TXT-Record legst du selbst über die Nameserver-Einstellungen an.

Schritt-für-Schritt-Anleitung

1. Nameserver-Einstellungen öffnen

Im Kundenmenü in der linken Spalte auf Nameserver-Einstellungen, dann bei deiner Domain auf Editieren.

2. Mit p=none starten

Lege einen neuen Eintrag an:

  • Hostname: _dmarc
  • Typ: TXT
  • Wert:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

p=none beobachtet nur. Die rua-Reports wertest du am besten mit einem DMARC-Monitoring wie MARCo aus.

3. Staffeln bis reject

Wenn die Reports zeigen, dass alle Quellen sauber sind:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit. Vertippt? Über „Nameserver-Einträge zurücksetzen” kommst du auf den Originalzustand zurück (entfernt auch andere Änderungen).

Die wichtigsten Tags

TagBedeutung
p=Policy: none / quarantine / reject
rua=Adresse für aggregierte Reports
pct=Anteil der Mails, auf die die Policy wirkt
sp=Policy für Subdomains
adkim= / aspf=Ausrichtung (r relaxed, s strict)

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.

Häufige Fehler

Assistent erwartet. Für DMARC gibt es bei domainfactory keinen — den Record selbst anlegen.

Sofort auf reject. Ohne none-Phase blockierst du legitime Quellen.

Hostname falsch. Der Record gehört an _dmarc.

DMARC ohne SPF/DKIM. Erst SPF und DKIM, dann DMARC.