Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung publiziert deine Domain bei OVHcloud einen DMARC-Record. Er sagt empfangenden Servern, was mit Mails passieren soll, die SPF und DKIM nicht bestehen — und schickt dir Reports darüber, wer in deinem Namen sendet.

Voraussetzungen

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting and Compliance) bündelt SPF und DKIM zu einer Richtlinie. OVHcloud stellt klar, dass DMARC „is based on the results of the“ SPF- und DKIM-Prüfung: Scheitern beide, sagt DMARC dem Empfänger, was zu tun ist — zustellen, in Quarantäne stellen oder ablehnen — und kann dir aggregierte Reports darüber schicken, wer Mails als deine Domain versendet.

Deshalb ist die Voraussetzung wichtig. OVHcloud schreibt, mindestens eines von SPF oder DKIM „must be configured in the DNS zone of the email solution domain name“, bevor DMARC etwas Sinnvolles tut. Richte also zuerst SPF und DKIM ein.

Die Ausgangslage bei OVHcloud

OVHcloud bietet im DNS-Zonen-Assistenten zwei Wege: „There are two ways to configure the DMARC in your OVHcloud DNS zone“ — einen vereinfachten DMARC-Record, bei dem du Felder ausfüllst, oder einen reinen TXT-Record, bei dem du die vollständige Zeichenkette selbst schreibst. Beides landet als TXT-Record unter _dmarc.

Schritt-für-Schritt-Anleitung

1. DNS-Zone öffnen und Eintrag hinzufügen

Melde dich im OVHcloud Control Panel an, klicke auf den Reiter Web Cloud, wähle im Bereich Domain names die Domain und öffne den Reiter DNS zone. Klicke auf Add an entry und wähle den DMARC-Assistenten („Mail records“).

2. Felder ausfüllen

  • Sub-domain: Dieser Eintrag muss mit _dmarc beginnen. Für die gesamte Domain trägst du nichts außer _dmarc ein.
  • Version (v=): OVHcloud nennt es ein „Mandatory field determining the version of the DMARC protocol.“ — immer DMARC1.
  • Policy (p=): was Empfänger bei einem Fehlschlag tun sollen. none bedeutet „The domain holder does not request any specific action regarding message delivery.“ quarantine behandelt scheiternde Mails als verdächtig; reject „Rejects emails that fail the DMARC verification.“
  • rua=: „Addresses to which reports should be sent“ — das mailto:-Präfix ist Pflicht.

Daraus entsteht ein Record wie:

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

3. Mit p=none starten

Widersteh dem Drang, direkt auf reject zu springen. OVHcloud empfiehlt dasselbe: „It is recommended that you configure“ p=none „and perform a failure report analysis for several weeks“, um Auffälligkeiten zuerst zu klären. Für eine schrittweise Einführung kannst du auch das pct=-Tag nutzen — sein Zweck „is to enable domain name holders to adopt a slow implementation of the DMARC mechanism.“

4. Auf quarantine, dann reject verschärfen

Zeigen die Reports, dass alle legitimen Quellen SPF oder DKIM bestehen, hebst du die Policy an:

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@beispiel.de

und schließlich, wenn du sicher bist:

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

5. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen je nach TTL und Caching einige Stunden.

Die Tags im Detail

TagBedeutung
v=DMARC1Versionskennung, Pflicht
p=Policy: none, quarantine oder reject
pct=Anteil der Mails, für den die Policy gilt (0–100, Default 100) — für schrittweise Einführung
rua=Adresse für aggregierte Reports (mailto: Pflicht)
sp=eigene Policy für Subdomains
aspf= / adkim=SPF-/DKIM-Alignment-Modus (r relaxed, s strict)

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er liest deine Policy aus und meldet ein inkonsistentes Setup. Oder im Terminal:

dig TXT _dmarc.beispiel.de +short

Häufige Fehler

DMARC ohne SPF oder DKIM. DMARC wertet die Ergebnisse beider aus — ist keines konfiguriert, hat es keine Grundlage. Richte zuerst SPF und DKIM ein.

Direkt auf p=reject springen. Ohne Report-Phase siehst du nicht, welche legitimen Quellen noch scheitern — und lehnst still deine eigenen Mails ab. Starte mit none und beobachte die Reports.

Record am falschen Namen. Der DMARC-Record liegt unter _dmarc.deine-domain, nicht auf der nackten Domain. Im OVHcloud-Assistenten muss das Sub-domain-Feld mit _dmarc beginnen.

Keine rua-Adresse. Ohne Report-Adresse fliegst du blind — du erfährst nie, wer als deine Domain sendet oder ob legitime Versender scheitern.