Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-TXT-Record in Gandis LiveDNS — sicher gestaffelt von Beobachtung bis Durchsetzung.

Voraussetzungen

  • Eine Domain bei Gandi mit Gandi LiveDNS
  • SPF und DKIM müssen stehen — DMARC baut darauf auf

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) baut auf SPF und DKIM auf und gibt, wie Gandis Doku es formuliert, eine Empfehlung, was mit Mails geschehen soll, die diese Prüfungen nicht bestehen. Zusätzlich erhältst du Berichte über fehlgeschlagene Prüfungen. Konfiguriert wird DMARC über einen TXT-Record unter der Subdomain _dmarc.

Die Richtlinien (Policies)

Gandi benennt die drei Stufen knapp und korrekt:

  • none — keine Aktion, aber du erhältst weiterhin Berichte (beobachten)
  • quarantine — die Mail wird als verdächtig behandelt und landet ggf. im Spam-Ordner
  • reject — die Mail wird abgelehnt und nicht zugestellt

Das ist auch die Reihenfolge, in der du DMARC scharf schaltest. Gandis eigenes Beispiel springt direkt auf p=reject — sicherer ist der Start bei none.

Schritt-für-Schritt-Anleitung

1. Mit Beobachtung starten

Öffne in LiveDNS den Reiter DNS Records deiner Domain und klicke auf den grünen Add-Button über der Tabelle, um einen neuen Record anzulegen. Lege einen _dmarc-TXT-Record mit einer Berichtsadresse an:

FeldWert
TypTXT
Name_dmarc
Wertv=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

Ersetze die Adresse durch die, an die du Berichte von empfangenden Mailservern erhalten möchtest. Die rua-Berichte wertest du am besten mit einem DMARC-Monitor aus.

2. Berichte lesen, Quellen aufräumen

Nach ein bis zwei Wochen zeigen die Berichte, welche Quellen SPF/DKIM noch nicht bestehen. Erst wenn alle legitimen Versender sauber sind, ziehst du an.

3. Bis reject hochstaffeln

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

Vorsicht bei reject: Gandi warnt, dass du damit riskierst, dass weitergeleitete Mails nicht ankommen — eine Mailingliste oder eine Weiterleitungsregel kann über eine strenge Policy stolpern. Wechsle erst auf reject, wenn deine Berichte sauber sind.

4. Warten, bis die Änderung aktiv ist

In LiveDNS wird ein neuer Record in Echtzeit übernommen, die Verbreitung kann aber bis zu 72 Stunden dauern.

Die wichtigsten Tags

TagBedeutung
v=DMARC1Version, muss am Anfang stehen
p=Policy: none / quarantine / reject
rua=Adresse für aggregierte Berichte
pct=Anteil der Mails, für den die Policy gilt
sp=Policy für Subdomains
adkim= / aspf=Alignment (r relaxed, s strict)

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.

Häufige Fehler

Direkt auf reject. Gandis Beispiel nutzt p=reject, doch ohne none-Phase blockierst du legitime Quellen. Staffle.

Kein rua. Ohne Berichtsadresse fliegst du blind.

DMARC ohne SPF/DKIM. Erst SPF und DKIM, dann DMARC.

Falscher Name. Der Record heißt _dmarc, nicht die nackte Domain — ein DMARC-Record auf @ bewirkt nichts.