Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-TXT-Record in der Hetzner-DNS-Zone — sicher gestaffelt von der Beobachtung bis zur Durchsetzung.
Voraussetzungen
- Eine DNS-Zone bei Hetzner (Hetzner Console) oder konsoleH-Webhosting
- SPF und DKIM müssen stehen — DMARC baut darauf auf
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) baut, wie Hetzners Doku es sauber formuliert, auf SPF und DKIM auf „and specifies how receiving mail servers should handle emails that fail these checks”. Zusätzlich lässt es dir Reports über fehlgeschlagene Prüfungen schicken. Du konfigurierst es über einen TXT-Record in deiner DNS-Zone.
Die Policies
Hetzner benennt die drei Stufen knapp und richtig:
none— „delivers the email and only performs an evaluation” (beobachten)quarantine— „may treat the email as spam”reject— „rejects the email”
Das ist zugleich die Reihenfolge, in der man DMARC scharf schaltet.
Schritt-für-Schritt-Anleitung
1. Mit Beobachtung starten
Hetzners typischer Beispiel-Record lautet _dmarc.example.com IN TXT "v=DMARC1; p=none". Für den Einstieg ergänzt du eine Report-Adresse. Lege in deiner DNS-Zone an:
| Feld | Wert |
|---|---|
| Type | TXT |
| Name | _dmarc |
| Value | "v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de" |
Wie beim SPF-Record gilt die Hetzner-Eigenheit: der TXT-Wert muss in Anführungszeichen stehen. Die rua-Reports wertest du am besten mit einem DMARC-Monitoring wie MARCo aus.
2. Reports lesen, Quellen sauber machen
Nach ein bis zwei Wochen zeigen die Reports, welche Quellen SPF/DKIM noch nicht bestehen. Erst wenn alle legitimen Absender sauber sind, ziehst du an.
3. Staffeln bis reject
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
(In der Hetzner Console wieder in Anführungszeichen eintragen.)
4. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen Zeit — je nach Caching einige Stunden.
Die wichtigsten Tags
| Tag | Bedeutung |
|---|---|
v=DMARC1 | Version, muss am Anfang stehen |
p= | Policy: none / quarantine / reject |
rua= | Adresse für aggregierte Reports |
pct= | Anteil der Mails, auf die die Policy wirkt |
sp= | Policy für Subdomains |
adkim= / aspf= | Ausrichtung (r relaxed, s strict) |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.
Häufige Fehler
Anführungszeichen vergessen. In der Hetzner Console gehört der TXT-Wert in Anführungszeichen.
Sofort auf reject. Ohne none-Phase blockierst du legitime Quellen.
Kein rua. Ohne Report-Adresse fliegst du blind.
DMARC ohne SPF/DKIM. Erst SPF und DKIM, dann DMARC.
Weiterführende Links
- Hetzner Docs: Email security with DKIM, SPF, and DMARC (abgerufen: 10. Juli 2026)
- RFC 7489 — DMARC
