Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen DMARC-TXT-Record in der Route-53-Hosted-Zone — sicher gestaffelt von der Beobachtung bis zur Durchsetzung.
Voraussetzungen
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) baut auf SPF und DKIM auf und legt fest, wie empfangende Mailserver mit Mails umgehen, die diese Prüfungen nicht bestehen. Zusätzlich lässt es dir Reports über fehlgeschlagene Prüfungen schicken. Du konfigurierst es über einen einzigen TXT-Record unter der _dmarc-Subdomain deiner Zone.
Die Policies
Es gibt drei Durchsetzungsstufen — und das ist zugleich die Reihenfolge, in der man DMARC scharf schaltet:
none— normal zustellen und nur Reports sammeln (beobachten)quarantine— fehlschlagende Mail darf als Spam behandelt werdenreject— fehlschlagende Mail wird abgewiesen
Schritt-für-Schritt-Anleitung
1. Mit Beobachtung starten
Öffne deine Hosted Zone in der Route-53-Konsole und klicke auf Create record:
| Feld | Wert |
|---|---|
| Record name | _dmarc |
| Record type | TXT |
| Value | "v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de" |
Wie beim SPF-Record gilt die Route-53-Regel: Der Wert gehört in doppelte Anführungszeichen („A TXT record contains one or more strings that are enclosed in double quotation marks”). Der Record selbst lautet in DNS-Schreibweise:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
Die rua-Reports wertest du am besten mit einem DMARC-Monitoring-Dienst aus.
2. Reports lesen, Quellen sauber machen
Nach ein bis zwei Wochen zeigen die Reports, welche Quellen SPF/DKIM noch nicht bestehen. Erst wenn alle legitimen Absender sauber sind, ziehst du an.
3. Staffeln bis reject
Bearbeite denselben _dmarc-Record — zuerst auf eine teilweise Quarantäne:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
dann, wenn die Reports sauber bleiben, auf vollständige Ablehnung:
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
(Im Value-Feld von Route 53 den Wert wieder in doppelte Anführungszeichen setzen.)
4. Warten, bis die Änderung aktiv ist
Laut AWS-Doku gilt „Changes generally propagate to all Route 53 name servers within 60 seconds” — Resolver-Caches ziehen nach, sobald die TTL abläuft.
Die wichtigsten Tags
| Tag | Bedeutung |
|---|---|
v=DMARC1 | Version, muss am Anfang stehen |
p= | Policy: none / quarantine / reject |
rua= | Adresse für aggregierte Reports |
pct= | Anteil der Mails, auf die die Policy wirkt |
sp= | Policy für Subdomains |
adkim= / aspf= | Ausrichtung (r relaxed, s strict) |
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC, SPF und DKIM auf einen Blick.
Häufige Fehler
Anführungszeichen vergessen. Im Value-Feld von Route 53 gehört der TXT-Wert in doppelte Anführungszeichen.
Sofort auf reject. Ohne none-Phase blockierst du legitime Quellen.
Kein rua. Ohne Report-Adresse fliegst du blind.
DMARC ohne SPF/DKIM. Erst SPF und DKIM, dann DMARC.
Weiterführende Links
- Amazon Route 53 Developer Guide: Supported DNS record types (abgerufen: 10. Juli 2026)
- Amazon Route 53 Developer Guide: Records über die Konsole anlegen (abgerufen: 10. Juli 2026)
- RFC 7489 — DMARC
