Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-Record, der empfangenden Servern sagt, was mit nicht authentifizierten Mails geschehen soll — und dir per Report zeigt, wer in deinem Namen sendet.

Voraussetzungen

  • Ein IONOS-Konto mit Zugang zur DNS-Verwaltung
  • SPF und DKIM müssen zuerst eingerichtet sein — DMARC baut darauf auf und wirkt ohne dieses Fundament nicht

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie. Es ist ein TXT-Record, den IONOS unter der Subdomain _dmarc anlegt (z. B. _dmarc.beispiel.de). Darin legst du zwei Dinge fest: was ein Empfänger mit Mails tun soll, die die Prüfung nicht bestehen (die p-Policy), und wohin er dir Berichte schickt (die rua-Adresse).

Der Clou sind die Reports: Über rua bekommst du täglich aggregierte Berichte darüber, welche Server in deinem Namen senden — legitime wie gefälschte. Genau daraus wird der Weg zur sicheren Durchsetzung.

Der sichere Weg: none → quarantine → reject

DMARC schaltet man nicht sofort scharf. Die drei Policy-Stufen sind eine Rampe:

  1. p=none — beobachten, nichts blockieren. Laut IONOS „hat keinen Einfluss auf die E-Mail-Zustellung und eignet sich besonders für Tests”. Hier startest du und sammelst Reports.
  2. p=quarantine — verdächtige Mails landen im Spam. Optional mit pct= nur ein Teil, um vorsichtig zu testen.
  3. p=reject — nicht authentifizierte Mails werden abgewiesen. Das Ziel.

Wechsle erst weiter, wenn die Reports zeigen, dass alle deine legitimen Sendequellen SPF/DKIM bestehen. Sonst blockierst du eigene Mails.

Schritt-für-Schritt-Anleitung

1. Mit p=none starten

Beginne mit dem Beobachtungs-Record:

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

Die rua-Adresse ist das Postfach (oder der Dienst), das die aggregierten Reports empfängt. Für die Auswertung lohnt sich ein DMARC-Monitoring wie MARCo, das die täglichen XML-Reports lesbar macht und dir zeigt, welche Quellen noch nicht sauber authentifiziert sind.

2. DNS-Eintrag im IONOS Konto anlegen

Klicke bei deiner Domain unter Aktionen auf das Symbol mit den drei Punkten, dann auf DNS. Wähle Record hinzufügen → Typ TXT. Gib im Feld Hostname _dmarc ein — die Subdomain _dmarc.beispiel.de wird automatisch angelegt. In Wert trägst du den Record ein (Tags mit Semikolon getrennt).

3. Reports auswerten, dann anziehen

Nach ein bis zwei Wochen p=none zeigen die Reports, ob alle Quellen sauber sind. Dann auf quarantine wechseln — gern gestaffelt mit pct:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de

pct=25 wendet die Policy auf 25 % der Mails an — erhöhe schrittweise auf 100.

4. Auf reject schalten

Wenn quarantine sauber läuft, kommt die Durchsetzung — optional mit strenger Ausrichtung und Subdomain-Policy:

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; sp=reject; adkim=s; aspf=s

5. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit — je nach Caching einige Stunden.

Die wichtigsten Tags

TagBedeutung
v=DMARC1Version, muss am Anfang stehen
p=Policy: none (beobachten), quarantine (Spam), reject (ablehnen)
rua=Adresse für aggregierte Statusberichte
ruf=Adresse für forensische Fehlerberichte
sp=eigene Policy für Subdomains
adkim= / aspf=Ausrichtung (r relaxed, s strict) für DKIM bzw. SPF

Zu adkim=s: „Der Header der E-Mails muss genau mit dem Wert d=name in den DKIM-E-Mail-Headern übereinstimmen” — streng, aber am sichersten, wenn deine Setups sauber sind.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC-Policy, SPF und DKIM auf einen Blick.

Häufige Fehler

Sofort auf p=reject. Ohne vorherige none-Phase blockierst du fast garantiert legitime Quellen (Newsletter, CRM, Rechnungstool), die noch nicht sauber authentifiziert sind. Immer mit p=none starten und Reports lesen.

Kein rua gesetzt. Ohne Report-Adresse fliegst du blind — du siehst nie, welche Quellen scheitern. rua gehört von Anfang an rein.

DMARC ohne SPF/DKIM. DMARC prüft die Ergebnisse von SPF und DKIM. Fehlt beides, besteht keine Mail die Prüfung. Erst SPF und DKIM, dann DMARC.

Falscher Hostname. Der Record gehört an _dmarc — nicht an @ oder die nackte Domain.