Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung publiziert deine Domain einen DMARC-TXT-Record in der GoDaddy-DNS-Zone — entweder GoDaddys fertigen Wert oder deinen eigenen, sicher gestaffelt von der Beobachtung bis zur Durchsetzung.

Voraussetzungen

  • Eine Domain, deren DNS bei GoDaddy liegt
  • SPF und DKIM müssen zuerst stehen — GoDaddy sagt klar: Bevor du DMARC ergänzt, musst du SPF und DKIM einrichten

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) baut, wie GoDaddys Doku es formuliert, auf SPF und DKIM auf und lässt dich Regeln für den Umgang mit unauthentifizierten Mails setzen und Reports über die Ergebnisse empfangen. Große Provider wie Google, Yahoo, AOL und Verizon verlangen diese Protokolle inzwischen — ohne sie können deine Mails abgewiesen werden.

Gute Nachricht: Seit April 2025 richtet GoDaddy DMARC bei allen neu gekauften Domains automatisch ein. Ist deine Domain älter, ergänzt du es selbst.

Die Policies

GoDaddy benennt die drei Policies knapp:

  • p=none — der Empfänger ergreift keine Maßnahme gegen unauthentifizierte Mail, schickt aber einen Report (beobachten)
  • p=quarantine — der Empfänger stellt unauthentifizierte Mail in Quarantäne (Spam/Junk); diese Policy empfiehlt GoDaddy
  • p=reject — der Empfänger weist unauthentifizierte Mail ab und blockt sie

Das ist auch die Reihenfolge, in der du DMARC scharf schaltest.

Schritt-für-Schritt-Anleitung

1. (Optional) Mit Beobachtung starten

Willst du erst beobachten, beginne bei p=none mit einer Report-Adresse, die du kontrollierst:

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

Öffne im GoDaddy Domain Portfolio DNS → Add New Record:

FeldWert
TypeTXT
Name_dmarc
Value(dein DMARC-String)
TTLDefault

2. GoDaddys dokumentierten Wert nutzen

GoDaddy dokumentiert einen fertigen Record mit p=quarantine. Sein Wert lautet:

v=DMARC1; p=quarantine; adkim=r; aspf=r; rua=mailto:dmarc_rua@onsecureserver.net;

Die Adresse hinter rua= erhält die täglichen Reports — standardmäßig GoDaddy, mit ausschließlich technischen Authentifizierungsdaten (keine personenbezogenen Informationen). Du kannst diese Adresse auf deinen eigenen DMARC-Monitor ändern.

3. Reports lesen, Quellen aufräumen

Nach ein bis zwei Wochen zeigen die Reports, welche Quellen SPF/DKIM noch nicht bestehen. Erst wenn alle legitimen Absender sauber sind, ziehst du an.

4. Bis reject hochstaffeln

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

Trage den aktualisierten String als Value desselben _dmarc-Records ein und speichere.

5. Warten, bis die Änderung aktiv ist

Die meisten DNS-Änderungen greifen binnen einer Stunde, können weltweit aber bis zu 48 Stunden brauchen.

Die wichtigsten Tags

TagBedeutung
v=DMARC1Version, muss am Anfang stehen
p=Policy: none / quarantine / reject
rua=Adresse für aggregierte Reports
adkim= / aspf=Alignment (r relaxed, s strict)
sp=Policy für Subdomains

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.

Häufige Fehler

DMARC ohne SPF/DKIM. GoDaddy verlangt zuerst SPF und DKIM — DMARC baut darauf auf.

Reports für immer bei GoDaddy lassen. Der Standard-rua geht an GoDaddy; um mit den Daten wirklich zu arbeiten, richte ihn auf einen DMARC-Monitor, den du liest.

Direkt auf reject. Ohne eine none/quarantine-Phase riskierst du, legitime Quellen zu blockieren.

Ein zweiter _dmarc-Record. Auf _dmarc gehört nur ein DMARC-Record — bearbeite den bestehenden, statt einen weiteren anzulegen.