Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-Record, der empfangenden Servern sagt, was mit nicht authentifizierten Mails geschehen soll — und dir per Report zeigt, wer in deinem Namen sendet.
Voraussetzungen
- Ein IONOS-Konto mit Zugang zur DNS-Verwaltung
- SPF und DKIM müssen zuerst eingerichtet sein — DMARC baut darauf auf und wirkt ohne dieses Fundament nicht
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie. Es ist ein TXT-Record, den IONOS unter der Subdomain _dmarc anlegt (z. B. _dmarc.beispiel.de). Darin legst du zwei Dinge fest: was ein Empfänger mit Mails tun soll, die die Prüfung nicht bestehen (die p-Policy), und wohin er dir Berichte schickt (die rua-Adresse).
Der Clou sind die Reports: Über rua bekommst du täglich aggregierte Berichte darüber, welche Server in deinem Namen senden — legitime wie gefälschte. Genau daraus wird der Weg zur sicheren Durchsetzung.
Der sichere Weg: none → quarantine → reject
DMARC schaltet man nicht sofort scharf. Die drei Policy-Stufen sind eine Rampe:
p=none— beobachten, nichts blockieren. Laut IONOS „hat keinen Einfluss auf die E-Mail-Zustellung und eignet sich besonders für Tests”. Hier startest du und sammelst Reports.p=quarantine— verdächtige Mails landen im Spam. Optional mitpct=nur ein Teil, um vorsichtig zu testen.p=reject— nicht authentifizierte Mails werden abgewiesen. Das Ziel.
Wechsle erst weiter, wenn die Reports zeigen, dass alle deine legitimen Sendequellen SPF/DKIM bestehen. Sonst blockierst du eigene Mails.
Schritt-für-Schritt-Anleitung
1. Mit p=none starten
Beginne mit dem Beobachtungs-Record:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
Die rua-Adresse ist das Postfach (oder der Dienst), das die aggregierten Reports empfängt. Für die Auswertung lohnt sich ein DMARC-Monitoring wie MARCo, das die täglichen XML-Reports lesbar macht und dir zeigt, welche Quellen noch nicht sauber authentifiziert sind.
2. DNS-Eintrag im IONOS Konto anlegen
Klicke bei deiner Domain unter Aktionen auf das Symbol mit den drei Punkten, dann auf DNS. Wähle Record hinzufügen → Typ TXT. Gib im Feld Hostname _dmarc ein — die Subdomain _dmarc.beispiel.de wird automatisch angelegt. In Wert trägst du den Record ein (Tags mit Semikolon getrennt).
3. Reports auswerten, dann anziehen
Nach ein bis zwei Wochen p=none zeigen die Reports, ob alle Quellen sauber sind. Dann auf quarantine wechseln — gern gestaffelt mit pct:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
pct=25 wendet die Policy auf 25 % der Mails an — erhöhe schrittweise auf 100.
4. Auf reject schalten
Wenn quarantine sauber läuft, kommt die Durchsetzung — optional mit strenger Ausrichtung und Subdomain-Policy:
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; sp=reject; adkim=s; aspf=s
5. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen Zeit — je nach Caching einige Stunden.
Die wichtigsten Tags
| Tag | Bedeutung |
|---|---|
v=DMARC1 | Version, muss am Anfang stehen |
p= | Policy: none (beobachten), quarantine (Spam), reject (ablehnen) |
rua= | Adresse für aggregierte Statusberichte |
ruf= | Adresse für forensische Fehlerberichte |
sp= | eigene Policy für Subdomains |
adkim= / aspf= | Ausrichtung (r relaxed, s strict) für DKIM bzw. SPF |
Zu adkim=s: „Der Header der E-Mails muss genau mit dem Wert d=name in den DKIM-E-Mail-Headern übereinstimmen” — streng, aber am sichersten, wenn deine Setups sauber sind.
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC-Policy, SPF und DKIM auf einen Blick.
Häufige Fehler
Sofort auf p=reject. Ohne vorherige none-Phase blockierst du fast garantiert legitime Quellen (Newsletter, CRM, Rechnungstool), die noch nicht sauber authentifiziert sind. Immer mit p=none starten und Reports lesen.
Kein rua gesetzt. Ohne Report-Adresse fliegst du blind — du siehst nie, welche Quellen scheitern. rua gehört von Anfang an rein.
DMARC ohne SPF/DKIM. DMARC prüft die Ergebnisse von SPF und DKIM. Fehlt beides, besteht keine Mail die Prüfung. Erst SPF und DKIM, dann DMARC.
Falscher Hostname. Der Record gehört an _dmarc — nicht an @ oder die nackte Domain.
Weiterführende Links
- IONOS Hilfe: DMARC-Record für eine Domain konfigurieren (abgerufen: 10. Juli 2026)
- RFC 7489 — DMARC
