Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain im CCP einen DMARC-Record. Da Netcup keinen DMARC-Assistenten hat, legst du den _dmarc-TXT-Record selbst an — diese Anleitung führt dich sicher von der Beobachtung bis zur Durchsetzung.

Diese Anleitung gilt für Netcup Webhosting (CCP). Auf vServern mit eigenem Mailserver (z. B. Mailcow) gilt dasselbe DMARC-Prinzip, nur trägst du den Record in deiner jeweiligen DNS-Zone ein.

Voraussetzungen

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie: Der _dmarc-TXT-Record legt fest, was ein Empfänger mit nicht authentifizierten Mails tun soll, und wohin er Reports schickt.

Die Ausgangslage bei Netcup

Anders als für SPF und DKIM (dort gibt es fertige Vorgaben) dokumentiert Netcup DMARC nicht eigens — es gibt keinen DMARC-Assistenten. Das ist kein Problem: Über die CCP-DNS-Verwaltung legst du den _dmarc-TXT-Record selbst an. TXT-Records sind laut Netcup genau für solche „textual information (often for verification or security purposes)” gedacht.

Schritt-für-Schritt-Anleitung

1. DNS-Verwaltung im CCP öffnen

Melde dich im CCP an, öffne Domains, klicke auf das Lupen-Symbol neben deiner Domain und wechsle zum Reiter DNS.

2. Mit Beobachtung starten (p=none)

Lege einen TXT-Record an:

  • Host: _dmarc
  • Type: TXT
  • Destination:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

p=none blockiert nichts, sammelt aber Reports. Die rua-Adresse empfängt die täglichen aggregierten Berichte — zur Auswertung eignet sich ein DMARC-Monitoring wie MARCo.

3. Staffeln bis reject

Wenn die Reports zeigen, dass alle legitimen Quellen SPF/DKIM bestehen, gestaffelt anziehen:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de

Dann die Durchsetzung:

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit — je nach Caching einige Stunden.

Die wichtigsten Tags

TagBedeutung
v=DMARC1Version, muss am Anfang stehen
p=Policy: none / quarantine / reject
rua=Adresse für aggregierte Reports
pct=Anteil der Mails, auf die die Policy wirkt
sp=Policy für Subdomains
adkim= / aspf=Ausrichtung (r relaxed, s strict)

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.

Häufige Fehler

Sofort auf p=reject. Ohne none-Phase blockierst du legitime Quellen. Immer beobachten, dann anziehen.

Host falsch gesetzt. Der Record gehört an _dmarc, nicht an @.

Kein rua. Ohne Report-Adresse siehst du nie, welche Quellen scheitern.

DMARC ohne SPF/DKIM. Erst SPF und DKIM, dann DMARC.