Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-Record, der empfangenden Servern sagt, was mit nicht authentifizierten Mails geschehen soll — und dir per Report zeigt, wer in deinem Namen sendet.
Voraussetzungen
- Ein Google-Workspace-Konto mit eigener Domain
- SPF und DKIM müssen zuerst eingerichtet sein — DMARC baut auf beiden auf
- Zugriff auf die DNS-Verwaltung deiner Domain (beim Domainhost)
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie. Es ist ein TXT-Record unter der Subdomain _dmarc. Darin legst du fest, was ein Empfänger mit Mails tun soll, die die Prüfung nicht bestehen (die p-Policy), und wohin er dir Berichte schickt (die rua-Adresse).
Für Massenversender ist DMARC bei Google inzwischen Pflicht — zusammen mit SPF und DKIM. Der Clou sind die Reports: Über rua bekommst du täglich aggregierte Berichte darüber, welche Server in deinem Namen senden.
Die Ausgangslage bei Google Workspace
Wie bei SPF und DKIM gilt: In der Google Admin-Konsole ist für DMARC nichts zu tun. Der Record wird beim Domainhost angelegt — Google sagt es selbst: „Melden Sie sich dann bei Ihrem Domainhost an und fügen Sie den DMARC-Eintrag … hinzu.” Wo genau, zeigen unsere Hoster-Anleitungen, z. B. IONOS, Strato oder Netcup.
Der sichere Weg: none → quarantine → reject
DMARC schaltet man nicht sofort scharf — auch Google empfiehlt, mit p=none zu beginnen und die Policy „im Lauf der Zeit” auf quarantine oder reject anzuheben:
p=none— beobachten, nichts blockieren. Mails werden im täglichen Report protokolliert.p=quarantine— verdächtige Mails landen im Spam.p=reject— nicht authentifizierte Mails werden abgewiesen: „Die Nachricht wird abgelehnt.”
Schritt-für-Schritt-Anleitung
1. Postfach für Reports einrichten
Lege ein Postfach oder eine Gruppe an, die die aggregierten rua-Reports empfängt (z. B. dmarc@beispiel.de). Für die Auswertung lohnt sich ein DMARC-Monitoring wie MARCo, das die täglichen XML-Reports lesbar macht und dir zeigt, welche Quellen noch nicht sauber authentifiziert sind.
2. Mit p=none starten
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
v und p müssen zuerst stehen — die übrigen Tags in beliebiger Reihenfolge. rua ist laut Google zwar optional, „Google empfiehlt jedoch, es immer in Ihren DMARC-Eintrag aufzunehmen”.
3. DMARC-Eintrag beim Domainhost anlegen
Lege beim DNS-Anbieter deiner Domain einen TXT-Record auf dem Host _dmarc an, mit deinem DMARC-Wert.
4. Reports auswerten, dann anziehen — mit pct
Nach ein bis zwei Wochen zeigen die Reports, ob alle Quellen sauber sind. Zieh dann gestaffelt an. Google empfiehlt, während der Einführung das pct-Tag zu nutzen (ganze Zahl zwischen 1 und 100). Googles empfohlener Ziel-Record mit strenger Ausrichtung:
v=DMARC1; p=reject; rua=mailto:postmaster@beispiel.de, mailto:dmarc@beispiel.de; pct=100; adkim=s; aspf=s
5. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen Zeit — je nach Caching einige Stunden.
Die wichtigsten Tags
| Tag | Bedeutung |
|---|---|
v=DMARC1 | Version, muss am Anfang stehen |
p= | Policy: none (beobachten), quarantine (Spam), reject (ablehnen) |
pct= | Prozentsatz der Mails, auf die die Policy angewendet wird (1–100) |
rua= | Adresse für aggregierte Statusberichte |
sp= | eigene Policy für Subdomains |
adkim= / aspf= | Ausrichtung (r relaxed, s strict) für DKIM bzw. SPF |
BIMI im Blick behalten
Willst du später BIMI (dein Logo in Gmail) nutzen, hat das Folgen für DMARC: „BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none festgelegt wurde” — und pct muss dann 100 sein. BIMI setzt also DMARC-Enforcement voraus.
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC-Policy, SPF und DKIM auf einen Blick.
Häufige Fehler
Sofort auf p=reject. Ohne vorherige none-Phase blockierst du fast garantiert legitime Quellen. Immer mit p=none starten und Reports lesen — auch Google empfiehlt das.
Record in der Admin-Konsole gesucht. DMARC ist reines DNS — der Record gehört zum Domainhost, nicht in die Google Admin-Konsole.
Kein rua gesetzt. Ohne Report-Adresse fliegst du blind. rua gehört von Anfang an rein.
DMARC ohne SPF/DKIM. DMARC prüft die Ergebnisse von SPF und DKIM. Erst SPF und DKIM, dann DMARC.
Weiterführende Links
- Google Workspace-Admin-Hilfe: DMARC-Eintrag hinzufügen (abgerufen: 10. Juli 2026)
- RFC 7489 — DMARC
