Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-TXT-Record in der Hetzner-DNS-Zone — sicher gestaffelt von der Beobachtung bis zur Durchsetzung.

Voraussetzungen

  • Eine DNS-Zone bei Hetzner (Hetzner Console) oder konsoleH-Webhosting
  • SPF und DKIM müssen stehen — DMARC baut darauf auf

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) baut, wie Hetzners Doku es sauber formuliert, auf SPF und DKIM auf „and specifies how receiving mail servers should handle emails that fail these checks”. Zusätzlich lässt es dir Reports über fehlgeschlagene Prüfungen schicken. Du konfigurierst es über einen TXT-Record in deiner DNS-Zone.

Die Policies

Hetzner benennt die drei Stufen knapp und richtig:

  • none — „delivers the email and only performs an evaluation” (beobachten)
  • quarantine — „may treat the email as spam”
  • reject — „rejects the email”

Das ist zugleich die Reihenfolge, in der man DMARC scharf schaltet.

Schritt-für-Schritt-Anleitung

1. Mit Beobachtung starten

Hetzners typischer Beispiel-Record lautet _dmarc.example.com IN TXT "v=DMARC1; p=none". Für den Einstieg ergänzt du eine Report-Adresse. Lege in deiner DNS-Zone an:

FeldWert
TypeTXT
Name_dmarc
Value"v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de"

Wie beim SPF-Record gilt die Hetzner-Eigenheit: der TXT-Wert muss in Anführungszeichen stehen. Die rua-Reports wertest du am besten mit einem DMARC-Monitoring wie MARCo aus.

2. Reports lesen, Quellen sauber machen

Nach ein bis zwei Wochen zeigen die Reports, welche Quellen SPF/DKIM noch nicht bestehen. Erst wenn alle legitimen Absender sauber sind, ziehst du an.

3. Staffeln bis reject

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

(In der Hetzner Console wieder in Anführungszeichen eintragen.)

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit — je nach Caching einige Stunden.

Die wichtigsten Tags

TagBedeutung
v=DMARC1Version, muss am Anfang stehen
p=Policy: none / quarantine / reject
rua=Adresse für aggregierte Reports
pct=Anteil der Mails, auf die die Policy wirkt
sp=Policy für Subdomains
adkim= / aspf=Ausrichtung (r relaxed, s strict)

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.

Häufige Fehler

Anführungszeichen vergessen. In der Hetzner Console gehört der TXT-Wert in Anführungszeichen.

Sofort auf reject. Ohne none-Phase blockierst du legitime Quellen.

Kein rua. Ohne Report-Adresse fliegst du blind.

DMARC ohne SPF/DKIM. Erst SPF und DKIM, dann DMARC.