Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-Record, der empfangenden Servern sagt, was mit nicht authentifizierten Mails geschehen soll — und dir per Report zeigt, wer in deinem Namen sendet.

Voraussetzungen

  • Ein Google-Workspace-Konto mit eigener Domain
  • SPF und DKIM müssen zuerst eingerichtet sein — DMARC baut auf beiden auf
  • Zugriff auf die DNS-Verwaltung deiner Domain (beim Domainhost)

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie. Es ist ein TXT-Record unter der Subdomain _dmarc. Darin legst du fest, was ein Empfänger mit Mails tun soll, die die Prüfung nicht bestehen (die p-Policy), und wohin er dir Berichte schickt (die rua-Adresse).

Für Massenversender ist DMARC bei Google inzwischen Pflicht — zusammen mit SPF und DKIM. Der Clou sind die Reports: Über rua bekommst du täglich aggregierte Berichte darüber, welche Server in deinem Namen senden.

Die Ausgangslage bei Google Workspace

Wie bei SPF und DKIM gilt: In der Google Admin-Konsole ist für DMARC nichts zu tun. Der Record wird beim Domainhost angelegt — Google sagt es selbst: „Melden Sie sich dann bei Ihrem Domainhost an und fügen Sie den DMARC-Eintrag … hinzu.” Wo genau, zeigen unsere Hoster-Anleitungen, z. B. IONOS, Strato oder Netcup.

Der sichere Weg: none → quarantine → reject

DMARC schaltet man nicht sofort scharf — auch Google empfiehlt, mit p=none zu beginnen und die Policy „im Lauf der Zeit” auf quarantine oder reject anzuheben:

  1. p=none — beobachten, nichts blockieren. Mails werden im täglichen Report protokolliert.
  2. p=quarantine — verdächtige Mails landen im Spam.
  3. p=reject — nicht authentifizierte Mails werden abgewiesen: „Die Nachricht wird abgelehnt.”

Schritt-für-Schritt-Anleitung

1. Postfach für Reports einrichten

Lege ein Postfach oder eine Gruppe an, die die aggregierten rua-Reports empfängt (z. B. dmarc@beispiel.de). Für die Auswertung lohnt sich ein DMARC-Monitoring wie MARCo, das die täglichen XML-Reports lesbar macht und dir zeigt, welche Quellen noch nicht sauber authentifiziert sind.

2. Mit p=none starten

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

v und p müssen zuerst stehen — die übrigen Tags in beliebiger Reihenfolge. rua ist laut Google zwar optional, „Google empfiehlt jedoch, es immer in Ihren DMARC-Eintrag aufzunehmen”.

3. DMARC-Eintrag beim Domainhost anlegen

Lege beim DNS-Anbieter deiner Domain einen TXT-Record auf dem Host _dmarc an, mit deinem DMARC-Wert.

4. Reports auswerten, dann anziehen — mit pct

Nach ein bis zwei Wochen zeigen die Reports, ob alle Quellen sauber sind. Zieh dann gestaffelt an. Google empfiehlt, während der Einführung das pct-Tag zu nutzen (ganze Zahl zwischen 1 und 100). Googles empfohlener Ziel-Record mit strenger Ausrichtung:

v=DMARC1; p=reject; rua=mailto:postmaster@beispiel.de, mailto:dmarc@beispiel.de; pct=100; adkim=s; aspf=s

5. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit — je nach Caching einige Stunden.

Die wichtigsten Tags

TagBedeutung
v=DMARC1Version, muss am Anfang stehen
p=Policy: none (beobachten), quarantine (Spam), reject (ablehnen)
pct=Prozentsatz der Mails, auf die die Policy angewendet wird (1–100)
rua=Adresse für aggregierte Statusberichte
sp=eigene Policy für Subdomains
adkim= / aspf=Ausrichtung (r relaxed, s strict) für DKIM bzw. SPF

BIMI im Blick behalten

Willst du später BIMI (dein Logo in Gmail) nutzen, hat das Folgen für DMARC: „BIMI unterstützt keine DMARC-Richtlinien, bei denen für die Option p die Einstellung none festgelegt wurde” — und pct muss dann 100 sein. BIMI setzt also DMARC-Enforcement voraus.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC-Policy, SPF und DKIM auf einen Blick.

Häufige Fehler

Sofort auf p=reject. Ohne vorherige none-Phase blockierst du fast garantiert legitime Quellen. Immer mit p=none starten und Reports lesen — auch Google empfiehlt das.

Record in der Admin-Konsole gesucht. DMARC ist reines DNS — der Record gehört zum Domainhost, nicht in die Google Admin-Konsole.

Kein rua gesetzt. Ohne Report-Adresse fliegst du blind. rua gehört von Anfang an rein.

DMARC ohne SPF/DKIM. DMARC prüft die Ergebnisse von SPF und DKIM. Erst SPF und DKIM, dann DMARC.