Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain bei one.com einen DMARC-Record. Damit steuerst du, wie empfangende Server mit unauthentifizierten E-Mails umgehen sollen, und sammelst wertvolle RUA-Berichte über deinen weltweiten Versandverkehr.
Voraussetzungen
- Ein one.com Control Panel mit Zugang zu deiner Domain
- SPF und DKIM müssen vorab konfiguriert sein — DMARC wertet deren Prüfergebnisse aus und funktioniert nicht ohne dieses Fundament
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet deine SPF- und DKIM-Konfiguration zu einer verbindlichen Richtlinie. Über den DMARC-Eintrag im DNS teilst du empfangenden Mailservern (wie Gmail, Microsoft 365 oder GMX) mit, was mit E-Mails passieren soll, die weder die SPF- noch die DKIM-Ausrichtung bestehen.
Gleichzeitig ermöglicht DMARC ein automatisiertes Reporting: Du erhältst regelmässig Berichte darüber, welche Server E-Mails im Namen deiner Domain versenden — sowohl legitime Absender als auch mögliche Angreifer oder Spammer.
Der empfohlene Weg: none → quarantine → reject
Wie one.com in der Dokumentation hervorhebt, sollte die Richtlinie niemals sofort scharf geschaltet werden: Start with p=none, then switch to p=quarantine, and finally to p=reject.
Die drei Policy-Stufen bilden eine schrittweise Sicherheitsrampe:
p=none(Beobachtungsmodus): Es werden keine E-Mails abgewiesen oder in den Spam verschoben. Du nutzt diese Phase ausschliesslich, um RUA-Berichte zu sammeln und sicherzustellen, dass alle deine legitimen Versandwege sauber authentifiziert sind.p=quarantine(Quarantäne): Nachrichten, die die DMARC-Prüfung verfehlen, werden von empfangenden Servern als verdächtig eingestuft und in den Spam- oder Quarantäne-Ordner sortiert.p=reject(Abweisung): Die strengste Stufe. Unauthentifizierte E-Mails werden schon bei der Einlieferung am Server abgewiesen.
Schritt-für-Schritt-Anleitung
1. Mit dem Beobachtungs-Record (p=none) starten
Beginne deine DMARC-Einführung mit dem initialen Beobachtungs-Record:
v=DMARC1; p=none; rua=mailto:dmarc@example.com
Ersetze dmarc@example.com durch deine gewünschte E-Mail-Adresse für den Empfang der Auswertungen. Wie one.com bezüglich der Berichtsart empfiehlt: Most users benefit from receiving only RUA reports, as they contain all the information needed for monitoring. Zudem empfiehlt one.com ein separates Postfach für diesen Zweck: creating an email account on your domain dedicated to receiving these reports.
2. DNS-Einstellungen im Control Panel öffnen
Navigiere zu den DNS-Einstellungen deiner Domain bei one.com: Go to the Advanced settings tile and click DNS settings.
3. TXT-Record für _dmarc erstellen
Wähle in der DNS-Verwaltung den Record-Typ TXT aus und trage folgende Werte ein:
- Hostname:
_dmarc(one.com verlangt hier laut Doku explizitHostname: _dmarc) - Wert / Text: Die Richtlinie ablegen, beispielsweise die Vorlage von one.com:
(Ersetzev=DMARC1; p=policy name; rua=mailto:an-email-addresspolicy namefür den Start durchnoneundan-email-addressdurch dein Report-Postfach, sodass der finale String z. B. der Struktur vonv=DMARC1; p=none; rua=mailto:dmarc@example.comentspricht). - TTL: Das Feld leer lassen, um den Standard zu nutzen (
Leave this field empty to use the default value of 3600 seconds).
Klicke anschliessend auf Speichern.
4. RUA-Reports auswerten und Stufe erhöhen
Die eintreffenden RUA-Berichte sind tägliche Zusammenfassungen: RUA reports - Sent daily and contain a summary of all email activity for your domain, including IP addresses and authentication results.
Sobald du durch die RUA-Berichte bestätigt hast, dass alle legitimen Tools (CRM, Shop, Newsletter) die SPF- und DKIM-Prüfung bestehen, änderst du deinen TXT-Record in den DNS-Einstellungen und setzt die Policy im Parameter p= schrittweise erst auf quarantine und schliesslich auf reject.
Die wichtigsten Tags im DMARC-Record
| Tag | Bedeutung |
|---|---|
v=DMARC1 | Versionskennung des Standards, muss zwingend am Anfang des Strings stehen |
p= | Die Hauptrichtlinie für deine Domain (none, quarantine oder reject) |
rua=mailto:... | E-Mail-Zieladresse für die täglichen aggregierten XML-Berichte |
ruf=mailto:... | Optional: Zieladresse für forensische Einzelberichte (laut one.com-Vorlage v=DMARC1; p=policy name; rua=mailto:an-email-address; ruf=mailto:an-email-address möglich, wird aber selten benötigt) |
Ergebnis prüfen
Auditierte unmittelbar nach dem Speichern mit dem kostenlosen MXAudit-Scanner, ob dein neuer DMARC-Record fehlerfrei auflöst und wie die Richtlinie mit deinen SPF- und DKIM-Einträgen zusammenarbeitet.
Oder direkt über das Terminal:
dig TXT _dmarc.beispiel.de +short
Die Antwort muss mit v=DMARC1; beginnen.
Häufige Fehler
Soziales Engineering / Sofort auf p=reject schalten. Wer die Empfehlung von one.com ignoriert und direkt mit Abweisung startet, blockiert fast garantiert legitime Drittsysteme. Halte dich strikt an die Rampe none → quarantine → reject.
Keine Report-Adresse (rua) konfiguriert. Ohne RUA-Berichte erkennst du weder Zustellungsprobleme bei legitimen Mails noch Angriffe auf deine Domain.
Auf der Hauptdomain statt unter _dmarc angelegt. Ein DMARC-Record muss zwingend auf dem Hostnamen _dmarc platziert werden. Liegt der TXT-Record auf der nackten Domain (@), schlägt jede DMARC-Abfrage ins Leere.
DMARC aktiviert vor SPF und DKIM. DMARC setzt die Authentifizierung über SPF oder DKIM voraus. Konfiguriere immer zuerst deine grundlegenden Signatur- und Versandwege.
