Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-Record für Microsoft 365 — sicher gestaffelt von der Beobachtung bis zur Durchsetzung, inklusive der Microsoft-spezifischen Konsequenzen.

Voraussetzungen

  • Ein Microsoft-365-Tenant mit benutzerdefinierter Domain
  • Zugriff auf die DNS-Verwaltung deiner Domain (beim Domainhost)
  • SPF und DKIM müssen stehen

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie. Der _dmarc-TXT-Record legt fest, was ein Empfänger mit nicht authentifizierten Mails tun soll — und wohin er Reports schickt.

Die Ausgangslage bei Microsoft 365

Zwei Microsoft-Eigenheiten sind wichtig:

Der Record wird beim Domainhost angelegt, nicht in Microsoft 365 — für deine benutzerdefinierte Domain. Die Ausnahme: Für die *.onmicrosoft.com-Domäne erstellst du den DMARC-TXT im Microsoft 365 Admin Center.

Der High-Risk-Ausgangspool. Setzt du p=quarantine oder p=reject, leitet Microsoft ausgehende Mails, die DMARC beim Ziel nicht bestehen, über einen „Übermittlungspool mit hohem Risiko” — und zwar ohne Ausnahme: „Es gibt keine Außerkraftsetzung für dieses Verhalten.” Praktisch heißt das: Sauber authentifizierte Absender musst du wirklich alle erfasst haben, bevor du anziehst, sonst leidet deine Ausgangsreputation.

Schritt-für-Schritt-Anleitung

1. Mit p=none starten

Lege beim Domainhost einen TXT-Record an — Host _dmarc, Wert:

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

p=none dient laut Microsoft ausdrücklich „zum Testen und Optimieren der DMARC-Richtlinie”. Die rua-Reports (täglich, XML) wertest du am besten mit einem DMARC-Monitoring wie MARCo aus.

2. Reports lesen und Quellen sauber machen

Der Aggregatbericht zeigt dir alle IP-Adressen, die über deine Domäne senden, und ob sie DMARC bestehen. Bring alle legitimen Quellen dazu, SPF/DKIM zu bestehen. Tipp von Microsoft: Externe Massenversender auf eine Subdomain (marketing.beispiel.de) legen, damit ihre Probleme nicht die Reputation deiner Hauptdomain treffen.

3. Staffeln bis reject

Erst pct nutzen, dann voll durchsetzen:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@beispiel.de

Microsofts eigener vollständiger Beispielrecord mit forensischen Reports lautet v=DMARC1; p=reject; pct=100; rua=mailto:rua@contoso.com; ruf=mailto:ruf@contoso.com.

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit — je nach Anbieter und TTL einige Stunden bis zu einem Tag.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.

Häufige Fehler

Zu früh auf reject — und dann der High-Risk-Pool. Bei Microsoft 365 hat verfrühtes reject eine zusätzliche Kehrseite: nicht bestandene Ausgangsmails laufen über den High-Risk-Pool. Erst alle Quellen sauber machen.

.onmicrosoft.com vergessen. Deren DMARC-Record wird im Admin Center gesetzt, nicht beim Domainhost.

Massenversand über die Hauptdomain. Newsletter-Dienste auf eine Subdomain auslagern.

DMARC ohne SPF/DKIM. Erst SPF und DKIM, dann DMARC.