Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-Record für Microsoft 365 — sicher gestaffelt von der Beobachtung bis zur Durchsetzung, inklusive der Microsoft-spezifischen Konsequenzen.
Voraussetzungen
- Ein Microsoft-365-Tenant mit benutzerdefinierter Domain
- Zugriff auf die DNS-Verwaltung deiner Domain (beim Domainhost)
- SPF und DKIM müssen stehen
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie. Der _dmarc-TXT-Record legt fest, was ein Empfänger mit nicht authentifizierten Mails tun soll — und wohin er Reports schickt.
Die Ausgangslage bei Microsoft 365
Zwei Microsoft-Eigenheiten sind wichtig:
Der Record wird beim Domainhost angelegt, nicht in Microsoft 365 — für deine benutzerdefinierte Domain. Die Ausnahme: Für die *.onmicrosoft.com-Domäne erstellst du den DMARC-TXT im Microsoft 365 Admin Center.
Der High-Risk-Ausgangspool. Setzt du p=quarantine oder p=reject, leitet Microsoft ausgehende Mails, die DMARC beim Ziel nicht bestehen, über einen „Übermittlungspool mit hohem Risiko” — und zwar ohne Ausnahme: „Es gibt keine Außerkraftsetzung für dieses Verhalten.” Praktisch heißt das: Sauber authentifizierte Absender musst du wirklich alle erfasst haben, bevor du anziehst, sonst leidet deine Ausgangsreputation.
Schritt-für-Schritt-Anleitung
1. Mit p=none starten
Lege beim Domainhost einen TXT-Record an — Host _dmarc, Wert:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
p=none dient laut Microsoft ausdrücklich „zum Testen und Optimieren der DMARC-Richtlinie”. Die rua-Reports (täglich, XML) wertest du am besten mit einem DMARC-Monitoring wie MARCo aus.
2. Reports lesen und Quellen sauber machen
Der Aggregatbericht zeigt dir alle IP-Adressen, die über deine Domäne senden, und ob sie DMARC bestehen. Bring alle legitimen Quellen dazu, SPF/DKIM zu bestehen. Tipp von Microsoft: Externe Massenversender auf eine Subdomain (marketing.beispiel.de) legen, damit ihre Probleme nicht die Reputation deiner Hauptdomain treffen.
3. Staffeln bis reject
Erst pct nutzen, dann voll durchsetzen:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@beispiel.de
Microsofts eigener vollständiger Beispielrecord mit forensischen Reports lautet v=DMARC1; p=reject; pct=100; rua=mailto:rua@contoso.com; ruf=mailto:ruf@contoso.com.
4. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen Zeit — je nach Anbieter und TTL einige Stunden bis zu einem Tag.
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.
Häufige Fehler
Zu früh auf reject — und dann der High-Risk-Pool. Bei Microsoft 365 hat verfrühtes reject eine zusätzliche Kehrseite: nicht bestandene Ausgangsmails laufen über den High-Risk-Pool. Erst alle Quellen sauber machen.
.onmicrosoft.com vergessen. Deren DMARC-Record wird im Admin Center gesetzt, nicht beim Domainhost.
Massenversand über die Hauptdomain. Newsletter-Dienste auf eine Subdomain auslagern.
DMARC ohne SPF/DKIM. Erst SPF und DKIM, dann DMARC.
Weiterführende Links
- Microsoft Learn: DMARC zum Überprüfen einrichten (abgerufen: 10. Juli 2026)
- RFC 7489 — DMARC
