Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain bei one.com einen DMARC-Record. Damit steuerst du, wie empfangende Server mit unauthentifizierten E-Mails umgehen sollen, und sammelst wertvolle RUA-Berichte über deinen weltweiten Versandverkehr.

Voraussetzungen

  • Ein one.com Control Panel mit Zugang zu deiner Domain
  • SPF und DKIM müssen vorab konfiguriert sein — DMARC wertet deren Prüfergebnisse aus und funktioniert nicht ohne dieses Fundament

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet deine SPF- und DKIM-Konfiguration zu einer verbindlichen Richtlinie. Über den DMARC-Eintrag im DNS teilst du empfangenden Mailservern (wie Gmail, Microsoft 365 oder GMX) mit, was mit E-Mails passieren soll, die weder die SPF- noch die DKIM-Ausrichtung bestehen.

Gleichzeitig ermöglicht DMARC ein automatisiertes Reporting: Du erhältst regelmässig Berichte darüber, welche Server E-Mails im Namen deiner Domain versenden — sowohl legitime Absender als auch mögliche Angreifer oder Spammer.

Der empfohlene Weg: none → quarantine → reject

Wie one.com in der Dokumentation hervorhebt, sollte die Richtlinie niemals sofort scharf geschaltet werden: Start with p=none, then switch to p=quarantine, and finally to p=reject.

Die drei Policy-Stufen bilden eine schrittweise Sicherheitsrampe:

  1. p=none (Beobachtungsmodus): Es werden keine E-Mails abgewiesen oder in den Spam verschoben. Du nutzt diese Phase ausschliesslich, um RUA-Berichte zu sammeln und sicherzustellen, dass alle deine legitimen Versandwege sauber authentifiziert sind.
  2. p=quarantine (Quarantäne): Nachrichten, die die DMARC-Prüfung verfehlen, werden von empfangenden Servern als verdächtig eingestuft und in den Spam- oder Quarantäne-Ordner sortiert.
  3. p=reject (Abweisung): Die strengste Stufe. Unauthentifizierte E-Mails werden schon bei der Einlieferung am Server abgewiesen.

Schritt-für-Schritt-Anleitung

1. Mit dem Beobachtungs-Record (p=none) starten

Beginne deine DMARC-Einführung mit dem initialen Beobachtungs-Record:

v=DMARC1; p=none; rua=mailto:dmarc@example.com

Ersetze dmarc@example.com durch deine gewünschte E-Mail-Adresse für den Empfang der Auswertungen. Wie one.com bezüglich der Berichtsart empfiehlt: Most users benefit from receiving only RUA reports, as they contain all the information needed for monitoring. Zudem empfiehlt one.com ein separates Postfach für diesen Zweck: creating an email account on your domain dedicated to receiving these reports.

2. DNS-Einstellungen im Control Panel öffnen

Navigiere zu den DNS-Einstellungen deiner Domain bei one.com: Go to the Advanced settings tile and click DNS settings.

3. TXT-Record für _dmarc erstellen

Wähle in der DNS-Verwaltung den Record-Typ TXT aus und trage folgende Werte ein:

  • Hostname: _dmarc (one.com verlangt hier laut Doku explizit Hostname: _dmarc)
  • Wert / Text: Die Richtlinie ablegen, beispielsweise die Vorlage von one.com:
    v=DMARC1; p=policy name; rua=mailto:an-email-address
    (Ersetze policy name für den Start durch none und an-email-address durch dein Report-Postfach, sodass der finale String z. B. der Struktur von v=DMARC1; p=none; rua=mailto:dmarc@example.com entspricht).
  • TTL: Das Feld leer lassen, um den Standard zu nutzen (Leave this field empty to use the default value of 3600 seconds).

Klicke anschliessend auf Speichern.

4. RUA-Reports auswerten und Stufe erhöhen

Die eintreffenden RUA-Berichte sind tägliche Zusammenfassungen: RUA reports - Sent daily and contain a summary of all email activity for your domain, including IP addresses and authentication results.

Sobald du durch die RUA-Berichte bestätigt hast, dass alle legitimen Tools (CRM, Shop, Newsletter) die SPF- und DKIM-Prüfung bestehen, änderst du deinen TXT-Record in den DNS-Einstellungen und setzt die Policy im Parameter p= schrittweise erst auf quarantine und schliesslich auf reject.

Die wichtigsten Tags im DMARC-Record

TagBedeutung
v=DMARC1Versionskennung des Standards, muss zwingend am Anfang des Strings stehen
p=Die Hauptrichtlinie für deine Domain (none, quarantine oder reject)
rua=mailto:...E-Mail-Zieladresse für die täglichen aggregierten XML-Berichte
ruf=mailto:...Optional: Zieladresse für forensische Einzelberichte (laut one.com-Vorlage v=DMARC1; p=policy name; rua=mailto:an-email-address; ruf=mailto:an-email-address möglich, wird aber selten benötigt)

Ergebnis prüfen

Auditierte unmittelbar nach dem Speichern mit dem kostenlosen MXAudit-Scanner, ob dein neuer DMARC-Record fehlerfrei auflöst und wie die Richtlinie mit deinen SPF- und DKIM-Einträgen zusammenarbeitet.

Oder direkt über das Terminal:

dig TXT _dmarc.beispiel.de +short

Die Antwort muss mit v=DMARC1; beginnen.

Häufige Fehler

Soziales Engineering / Sofort auf p=reject schalten. Wer die Empfehlung von one.com ignoriert und direkt mit Abweisung startet, blockiert fast garantiert legitime Drittsysteme. Halte dich strikt an die Rampe nonequarantinereject.

Keine Report-Adresse (rua) konfiguriert. Ohne RUA-Berichte erkennst du weder Zustellungsprobleme bei legitimen Mails noch Angriffe auf deine Domain.

Auf der Hauptdomain statt unter _dmarc angelegt. Ein DMARC-Record muss zwingend auf dem Hostnamen _dmarc platziert werden. Liegt der TXT-Record auf der nackten Domain (@), schlägt jede DMARC-Abfrage ins Leere.

DMARC aktiviert vor SPF und DKIM. DMARC setzt die Authentifizierung über SPF oder DKIM voraus. Konfiguriere immer zuerst deine grundlegenden Signatur- und Versandwege.