Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-TXT-Record in Gandis LiveDNS — sicher gestaffelt von Beobachtung bis Durchsetzung.
Voraussetzungen
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) baut auf SPF und DKIM auf und gibt, wie Gandis Doku es formuliert, eine Empfehlung, was mit Mails geschehen soll, die diese Prüfungen nicht bestehen. Zusätzlich erhältst du Berichte über fehlgeschlagene Prüfungen. Konfiguriert wird DMARC über einen TXT-Record unter der Subdomain _dmarc.
Die Richtlinien (Policies)
Gandi benennt die drei Stufen knapp und korrekt:
none— keine Aktion, aber du erhältst weiterhin Berichte (beobachten)quarantine— die Mail wird als verdächtig behandelt und landet ggf. im Spam-Ordnerreject— die Mail wird abgelehnt und nicht zugestellt
Das ist auch die Reihenfolge, in der du DMARC scharf schaltest. Gandis eigenes Beispiel springt direkt auf p=reject — sicherer ist der Start bei none.
Schritt-für-Schritt-Anleitung
1. Mit Beobachtung starten
Öffne in LiveDNS den Reiter DNS Records deiner Domain und klicke auf den grünen Add-Button über der Tabelle, um einen neuen Record anzulegen. Lege einen _dmarc-TXT-Record mit einer Berichtsadresse an:
| Feld | Wert |
|---|---|
| Typ | TXT |
| Name | _dmarc |
| Wert | v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de |
Ersetze die Adresse durch die, an die du Berichte von empfangenden Mailservern erhalten möchtest. Die rua-Berichte wertest du am besten mit einem DMARC-Monitor aus.
2. Berichte lesen, Quellen aufräumen
Nach ein bis zwei Wochen zeigen die Berichte, welche Quellen SPF/DKIM noch nicht bestehen. Erst wenn alle legitimen Versender sauber sind, ziehst du an.
3. Bis reject hochstaffeln
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
Vorsicht bei reject: Gandi warnt, dass du damit riskierst, dass weitergeleitete Mails nicht ankommen — eine Mailingliste oder eine Weiterleitungsregel kann über eine strenge Policy stolpern. Wechsle erst auf reject, wenn deine Berichte sauber sind.
4. Warten, bis die Änderung aktiv ist
In LiveDNS wird ein neuer Record in Echtzeit übernommen, die Verbreitung kann aber bis zu 72 Stunden dauern.
Die wichtigsten Tags
| Tag | Bedeutung |
|---|---|
v=DMARC1 | Version, muss am Anfang stehen |
p= | Policy: none / quarantine / reject |
rua= | Adresse für aggregierte Berichte |
pct= | Anteil der Mails, für den die Policy gilt |
sp= | Policy für Subdomains |
adkim= / aspf= | Alignment (r relaxed, s strict) |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.
Häufige Fehler
Direkt auf reject. Gandis Beispiel nutzt p=reject, doch ohne none-Phase blockierst du legitime Quellen. Staffle.
Kein rua. Ohne Berichtsadresse fliegst du blind.
DMARC ohne SPF/DKIM. Erst SPF und DKIM, dann DMARC.
Falscher Name. Der Record heißt _dmarc, nicht die nackte Domain — ein DMARC-Record auf @ bewirkt nichts.
Weiterführende Links
- Gandi Docs: How To Protect Your Email Against Being Spoofed (abgerufen: 10. Juli 2026)
- RFC 7489 — DMARC
