Stand: Juli 2026

Zusammenfassung: DMARC verknüpft SPF und DKIM zu einem einheitlichen E-Mail-Schutz. Du richtest den Eintrag im hPanel von Hostinger unter Domains im Bereich der DNS Zone ein, indem du einen TXT-Record auf der Subdomain _dmarc veröffentlichst.

Voraussetzungen

  • Eine bei Hostinger verwaltete Domain mit aktivem E-Mail-Dienst
  • Zugriff auf das Hostinger-Konto und das hPanel (https://hpanel.hostinger.com)
  • Bereits funktionierendes SPF und DKIM für deine Domain

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) regelt, wie empfangende Mailserver (wie Gmail, Outlook oder Yahoo) mit Nachrichten umgehen sollen, bei denen die SPF- oder DKIM-Prüfung fehlschlägt.

Wie Hostinger in der Dokumentation beschreibt: It’s a DNS record (of TXT type) that helps protect email domains from phishing and spoofing attacks. Ferner fasst der Support die Funktion prägnant zusammen: DMARC Informs recipients what to do if SPF or DKIM checks fail when receiving your emails

Über die Policy-Anweisung (p=) im DMARC-Record steuerst du das genaue Verhalten:

  • p=none: Beobachtungsmodus. E-Mails werden normal zugestellt, und du erhältst tägliche XML-Berichte zur Analyse.
  • p=quarantine: Nicht authentifizierte Nachrichten landen im Spam- oder Quarantäneordner des Empfängers.
  • p=reject: Strikte Abweisung aller gefälschten E-Mails direkt während des SMTP-Verbindungsaufbaus.

Die Ausgangslage bei Hostinger

Die Einrichtung erfolgt bequem in der DNS Zone des hPanels (It’s only two steps to create a DMARC record :).

Der Eintrag wird als TXT-Record unter der reservierten technischen Subdomain _dmarc angelegt. Für den sicheren Start empfiehlt sich ein Eintrag im reinen Überwachungsmodus:

v=DMARC1; p=none; rua=mailto:dmarc@example.com

Schritt-für-Schritt-Anleitung

1. Prüfen, ob bereits ein DMARC-Record vorhanden ist

Frage im Terminal ab, ob deine Domain bereits eine DMARC-Policy veröffentlicht hat:

dig TXT _dmarc.beispiel.de +short

Beginnt die Antwort mit v=DMARC1, ist DMARC bereits aktiv. Ist die Ausgabe leer, erstelle den Eintrag neu.

2. DNS Zone im hPanel öffnen

Logge dich ins hPanel ein, navigiere zum Bereich Domains, wähle deine Domain aus und öffne den Menüpunkt DNS Zone.

3. TXT-Record für _dmarc erstellen

Füge in der DNS-Tabelle (It’s only two steps to create a DMARC record :) einen neuen Eintrag hinzu:

  • Typ: TXT
  • Name / Host: _dmarc
  • Wert / Inhalt:
    v=DMARC1; p=none; rua=mailto:dmarc@example.com

(Ersetze dmarc@beispiel.de durch die E-Mail-Adresse, an die du die täglichen XML-Berichte empfangen möchtest).

Speichere den neuen Record.

4. Policy schrittweise verschärfen

Sobald du die XML-Berichte über einige Wochen ausgewertet und sichergestellt hast, dass alle legitimen Absender korrekt per SPF und DKIM authentifiziert sind, kannst du die Policy von p=none auf p=quarantine und schließlich auf p=reject anheben (It’s a DNS record (of TXT type) that helps protect email domains from phishing and spoofing attacks.).

Die Bestandteile des DMARC-Records

BestandteilBedeutung
_dmarcReservierte Subdomain, unter der Mailserver nach der DMARC-Policy deiner Domain suchen
v=DMARC1Protokollversion (muss zwingend als erstes Element im Record stehen)
p=noneDie eigentliche Richtlinie (none für Analyse, quarantine für Spam, reject für Abweisung)
rua=mailto:...Zieladresse für die täglichen aggregierten XML-Diagnoseberichte

Verifikation

Prüfe nach dem Speichern im hPanel sofort mit dem kostenlosen MXAudit-Scanner, ob dein DMARC-Record korrekt auflöst und syntaktisch einwandfrei ist.

Alternativ kannst du über das Terminal abfragen, ob die DNS-Server die neue Policy ausliefern:

dig TXT _dmarc.beispiel.de +short

Die Rückgabe muss exakt "v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de" entsprechen.

Häufige Fehler

  • DMARC-Record auf der Hauptdomain (@) anlegen: Wenn du den TXT-Record nicht unter der Subdomain _dmarc ablegst, können externe Mailserver deine Policy nicht finden und ignorieren sie.
  • Fehlendes mailto: bei der Report-Adresse: Im Parameter rua= muss zwingend das Protokollpräfix mailto: vor der E-Mail-Adresse stehen. Ohne dieses Präfix schlägt der Versand der XML-Berichte fehl (Informs recipients what to do if SPF or DKIM checks fail when receiving your emails).
  • Sofort mit p=reject starten: Wenn du direkt ohne Testphase auf Abweisung stellst, riskierst du den Verlust wichtiger geschäftlicher E-Mails von Systemen, die noch nicht sauber per SPF oder DKIM eingerichtet sind.