Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain im CCP einen DMARC-Record. Da Netcup keinen DMARC-Assistenten hat, legst du den
_dmarc-TXT-Record selbst an — diese Anleitung führt dich sicher von der Beobachtung bis zur Durchsetzung.
Diese Anleitung gilt für Netcup Webhosting (CCP). Auf vServern mit eigenem Mailserver (z. B. Mailcow) gilt dasselbe DMARC-Prinzip, nur trägst du den Record in deiner jeweiligen DNS-Zone ein.
Voraussetzungen
- Ein Netcup-Webhosting-Paket
- Zugang zum Customer Control Panel (CCP)
- SPF und DKIM müssen stehen — DMARC wertet nur deren Ergebnisse aus
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie: Der _dmarc-TXT-Record legt fest, was ein Empfänger mit nicht authentifizierten Mails tun soll, und wohin er Reports schickt.
Die Ausgangslage bei Netcup
Anders als für SPF und DKIM (dort gibt es fertige Vorgaben) dokumentiert Netcup DMARC nicht eigens — es gibt keinen DMARC-Assistenten. Das ist kein Problem: Über die CCP-DNS-Verwaltung legst du den _dmarc-TXT-Record selbst an. TXT-Records sind laut Netcup genau für solche „textual information (often for verification or security purposes)” gedacht.
Schritt-für-Schritt-Anleitung
1. DNS-Verwaltung im CCP öffnen
Melde dich im CCP an, öffne Domains, klicke auf das Lupen-Symbol neben deiner Domain und wechsle zum Reiter DNS.
2. Mit Beobachtung starten (p=none)
Lege einen TXT-Record an:
- Host:
_dmarc - Type:
TXT - Destination:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
p=none blockiert nichts, sammelt aber Reports. Die rua-Adresse empfängt die täglichen aggregierten Berichte — zur Auswertung eignet sich ein DMARC-Monitoring wie MARCo.
3. Staffeln bis reject
Wenn die Reports zeigen, dass alle legitimen Quellen SPF/DKIM bestehen, gestaffelt anziehen:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
Dann die Durchsetzung:
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
4. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen Zeit — je nach Caching einige Stunden.
Die wichtigsten Tags
| Tag | Bedeutung |
|---|---|
v=DMARC1 | Version, muss am Anfang stehen |
p= | Policy: none / quarantine / reject |
rua= | Adresse für aggregierte Reports |
pct= | Anteil der Mails, auf die die Policy wirkt |
sp= | Policy für Subdomains |
adkim= / aspf= | Ausrichtung (r relaxed, s strict) |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.
Häufige Fehler
Sofort auf p=reject. Ohne none-Phase blockierst du legitime Quellen. Immer beobachten, dann anziehen.
Host falsch gesetzt. Der Record gehört an _dmarc, nicht an @.
Kein rua. Ohne Report-Adresse siehst du nie, welche Quellen scheitern.
DMARC ohne SPF/DKIM. Erst SPF und DKIM, dann DMARC.
Weiterführende Links
- Netcup Helpcenter: DNS Records (Webhosting) (englisch; abgerufen: 10. Juli 2026)
- RFC 7489 — DMARC
