Stand: Juli 2026

Zusammenfassung: united-domains steuert DMARC komfortabel über Radiobuttons in der E-Mail-Sicherheit. Nach dieser Anleitung schaltest du DMARC sicher scharf — und sicherst ungenutzte Domains sofort ab.

Voraussetzungen

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) legt fest, wie Mailserver mit Mails umgehen, die deine Sicherheitsrichtlinien nicht erfüllen: Sie können „weiterhin zugestellt werden (p=none), in einen Spam-Ordner geschoben (p=quarantine) oder gar nicht mehr zugestellt werden (p=reject)”. Technisch ist es ein TXT-Record unter _dmarc.

Zwei Wege — je nachdem, ob die Domain sendet

united-domains trennt sauber zwei Fälle:

Domains, über die du KEINE Mails versendest (auch reine Markenschutz-Domains): Hier kannst du „direkt und ohne weitere Prüfung einen DMARC-Eintrag mit dem Parameter p=reject anlegen”. Das ist der beste Schutz gegen Missbrauch — und ausdrücklich auch für Domains gedacht, „die sie gar nicht aktiv nutzen und nur aus Markenschutzgründen reserviert haben”. Mach das für jede geparkte Domain.

Domains, über die du sendest: Hier darfst du „den DMARC-Eintrag nicht direkt auf p=reject stellen” — erst müssen alle sendenden Systeme sauber authentifiziert sein. Dafür der gestaffelte Weg unten.

Schritt-für-Schritt-Anleitung (Sende-Domains)

1. Mit p=none starten

Öffne die E-Mail-Sicherheits-Seite (auf der E-Mail-Übersichtsseite über den Button Sicherheit). Stelle im Block DMARC Management den Radiobutton auf DMARC aktiv (p=none) und speichere. p=none sammelt nur Berichte („Empfehlung für den Start”), blockiert nichts.

2. rua-Adresse hinterlegen und Reports auswerten

Trage unter den Radiobuttons eine oder mehrere rua-Adressen ein und speichere. An diese Adresse gehen die aggregierten Reports. united-domains bietet dafür ein integriertes DMARC-Management (Partner-Tool) — grundsätzlich funktioniert aber jede DMARC-Monitoring-Lösung, die rua-Reports auswertet, etwa MARCo. Über die nächsten Tage siehst du, welche Systeme über deine Domain senden.

3. Sendende Systeme sauber konfigurieren

Für jedes legitime System (Newsletter-Tool, CRM, Ticketsystem) prüfst du, ob DKIM und SPF korrekt gesetzt sind. Unbekannte Quellen entweder als Fälschung erkennen oder nachkonfigurieren.

4. Auf p=reject schalten

Sobald alle legitimen Systeme sauber sind, stellst du im Block DMARC Management den Radiobutton auf DMARC aktiv und sicher (p=reject) und speicherst. Konzeptionell entspricht das:

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC-Policy, SPF und DKIM auf einen Blick.

Häufige Fehler

Geparkte Domains ungeschützt gelassen. Genau die missbrauchen Angreifer gern. Nicht-sendende Domains direkt auf p=reject.

Sende-Domain sofort auf reject. Ohne none-Phase und Report-Auswertung blockierst du legitime Systeme.

Keine rua-Adresse. Ohne Reports siehst du nie, welche Quellen scheitern.

DMARC ohne SPF/DKIM. Für Sende-Domains müssen beide korrekt vorhanden sein.