Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung publiziert deine Domain bei OVHcloud einen DMARC-Record. Er sagt empfangenden Servern, was mit Mails passieren soll, die SPF und DKIM nicht bestehen — und schickt dir Reports darüber, wer in deinem Namen sendet.
Voraussetzungen
- Eine Domain, deren DNS-Zone bei OVHcloud liegt
- SPF und/oder DKIM bereits konfiguriert
- Zugang zum OVHcloud Control Panel
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting and Compliance) bündelt SPF und DKIM zu einer Richtlinie. OVHcloud stellt klar, dass DMARC „is based on the results of the“ SPF- und DKIM-Prüfung: Scheitern beide, sagt DMARC dem Empfänger, was zu tun ist — zustellen, in Quarantäne stellen oder ablehnen — und kann dir aggregierte Reports darüber schicken, wer Mails als deine Domain versendet.
Deshalb ist die Voraussetzung wichtig. OVHcloud schreibt, mindestens eines von SPF oder DKIM „must be configured in the DNS zone of the email solution domain name“, bevor DMARC etwas Sinnvolles tut. Richte also zuerst SPF und DKIM ein.
Die Ausgangslage bei OVHcloud
OVHcloud bietet im DNS-Zonen-Assistenten zwei Wege: „There are two ways to configure the DMARC in your OVHcloud DNS zone“ — einen vereinfachten DMARC-Record, bei dem du Felder ausfüllst, oder einen reinen TXT-Record, bei dem du die vollständige Zeichenkette selbst schreibst. Beides landet als TXT-Record unter _dmarc.
Schritt-für-Schritt-Anleitung
1. DNS-Zone öffnen und Eintrag hinzufügen
Melde dich im OVHcloud Control Panel an, klicke auf den Reiter Web Cloud, wähle im Bereich Domain names die Domain und öffne den Reiter DNS zone. Klicke auf Add an entry und wähle den DMARC-Assistenten („Mail records“).
2. Felder ausfüllen
- Sub-domain: Dieser Eintrag muss mit
_dmarcbeginnen. Für die gesamte Domain trägst du nichts außer_dmarcein. - Version (
v=): OVHcloud nennt es ein „Mandatory field determining the version of the DMARC protocol.“ — immerDMARC1. - Policy (
p=): was Empfänger bei einem Fehlschlag tun sollen.nonebedeutet „The domain holder does not request any specific action regarding message delivery.“quarantinebehandelt scheiternde Mails als verdächtig;reject„Rejects emails that fail the DMARC verification.“ rua=: „Addresses to which reports should be sent“ — dasmailto:-Präfix ist Pflicht.
Daraus entsteht ein Record wie:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
3. Mit p=none starten
Widersteh dem Drang, direkt auf reject zu springen. OVHcloud empfiehlt dasselbe: „It is recommended that you configure“ p=none „and perform a failure report analysis for several weeks“, um Auffälligkeiten zuerst zu klären. Für eine schrittweise Einführung kannst du auch das pct=-Tag nutzen — sein Zweck „is to enable domain name holders to adopt a slow implementation of the DMARC mechanism.“
4. Auf quarantine, dann reject verschärfen
Zeigen die Reports, dass alle legitimen Quellen SPF oder DKIM bestehen, hebst du die Policy an:
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@beispiel.de
und schließlich, wenn du sicher bist:
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
5. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen je nach TTL und Caching einige Stunden.
Die Tags im Detail
| Tag | Bedeutung |
|---|---|
v=DMARC1 | Versionskennung, Pflicht |
p= | Policy: none, quarantine oder reject |
pct= | Anteil der Mails, für den die Policy gilt (0–100, Default 100) — für schrittweise Einführung |
rua= | Adresse für aggregierte Reports (mailto: Pflicht) |
sp= | eigene Policy für Subdomains |
aspf= / adkim= | SPF-/DKIM-Alignment-Modus (r relaxed, s strict) |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er liest deine Policy aus und meldet ein inkonsistentes Setup. Oder im Terminal:
dig TXT _dmarc.beispiel.de +short
Häufige Fehler
DMARC ohne SPF oder DKIM. DMARC wertet die Ergebnisse beider aus — ist keines konfiguriert, hat es keine Grundlage. Richte zuerst SPF und DKIM ein.
Direkt auf p=reject springen. Ohne Report-Phase siehst du nicht, welche legitimen Quellen noch scheitern — und lehnst still deine eigenen Mails ab. Starte mit none und beobachte die Reports.
Record am falschen Namen. Der DMARC-Record liegt unter _dmarc.deine-domain, nicht auf der nackten Domain. Im OVHcloud-Assistenten muss das Sub-domain-Feld mit _dmarc beginnen.
Keine rua-Adresse. Ohne Report-Adresse fliegst du blind — du erfährst nie, wer als deine Domain sendet oder ob legitime Versender scheitern.
Weiterführende Links
- OVHcloud: How to improve email security with a DMARC record (englisch; abgerufen: 10. Juli 2026)
- OVHcloud: Editing an OVHcloud DNS zone (englisch; abgerufen: 10. Juli 2026)
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC)
