Stand: Juli 2026

Zusammenfassung: DMARC vereint deine SPF- und DKIM-Konfiguration zu einem effektiven Schutz vor E-Mail-Spoofing. Du richtest die Policy als TXT-Record auf der Subdomain _dmarc in der DNS-Verwaltung im webgo Kundenportal oder Webspace-Admin ein.

Voraussetzungen

  • Ein webgo Hosting-, Server- oder E-Mail-Vertrag mit aktiver Domain
  • Zugang zum webgo Kundenportal (https://login.webgo.de) oder zum webgo Webspace-Admin
  • Funktionierende SPF- und DKIM-Records für deine Domain

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) legt fest, wie empfangende Mailserver (z. B. Gmail, Outlook, GMX) mit E-Mails umgehen, die zwar unter deinem Domainnamen eingehen, aber die SPF- oder DKIM-Prüfung nicht bestehen.

Wie die webgo Hilfe bezüglich Resource-Records im DNS festhält: Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).

Über den Parameter p= (Policy) steuerst du das Verhalten der Empfangsservers:

  • p=none: Beobachtungsmodus. E-Mails werden regulär zugestellt, du erhältst jedoch tägliche XML-Berichte zur Analyse.
  • p=quarantine: Verdächtige Nachrichten werden in den Spam- oder Quarantäneordner des Empfängers verschoben.
  • p=reject: Strikte Abweisung. Nicht authentifizierte E-Mails werden direkt beim Verbindungsaufbau abgelehnt.

Die Ausgangslage bei webgo

Du legst die DMARC-Richtlinie direkt in den DNS-Einstellungen deiner Domain an (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).).

Der Eintrag wird als TXT-Record unter der reservierten Subdomain _dmarc veröffentlicht. Für den Start empfiehlt sich eine Policy im Beobachtungsmodus:

v=DMARC1; p=none; rua=mailto:dmarc@example.com

Schritt-für-Schritt-Anleitung

1. Prüfen, ob bereits ein DMARC-Record aktiv ist

Prüfe über dein Terminal, ob deine Domain bereits eine DMARC-Policy ausliefert:

dig TXT _dmarc.beispiel.de +short

Beginnt die Antwort mit v=DMARC1, ist bereits ein Eintrag vorhanden. Ist die Rückgabe leer, fahre mit der Einrichtung fort.

2. DNS-Verwaltung bei webgo öffnen

Melde dich im webgo Kundenportal (login.webgo.de) an. Wähle deinen Vertrag aus und öffne die DNS-Verwaltung (im Kundenportal oder direkt im webgo Webspace-Admin unter Domain / DNS).

3. TXT-Record für _dmarc erstellen

Erstelle in der DNS-Tabelle deiner Domain einen neuen Eintrag:

  • Typ: TXT
  • Subdomain / Host: _dmarc
  • Textfeld / Wert:
    v=DMARC1; p=none; rua=mailto:dmarc@example.com

(Ersetze dmarc@example.com durch deine gewünschte E-Mail-Adresse für den Empfang der XML-Diagnoseberichte).

Speichere den DNS-Record.

4. Policy schrittweise verschärfen

Sobald du die XML-Berichte über einige Wochen analysiert hast und sicher bist, dass alle legitimen Absendersysteme per SPF und DKIM authentifiziert sind, kannst du die Policy von p=none auf p=quarantine und schließlich auf p=reject anheben (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).).

Die Bestandteile des DMARC-Records

BestandteilBedeutung
_dmarcReservierte Subdomain, unter der Mailserver nach der DMARC-Policy deiner Domain suchen
v=DMARC1Protokollkennung (muss immer am Anfang des TXT-Strings stehen)
p=noneDie eigentliche Policy (none für Überwachung, quarantine für Spam, reject für Abweisung)
rua=mailto:...Zieladresse für die täglichen aggregierten XML-Berichte

Verifikation

Prüfe nach dem Speichern in der DNS-Verwaltung sofort mit dem kostenlosen MXAudit-Scanner, ob dein DMARC-Record korrekt auflöst und syntaktisch einwandfrei ist.

Alternativ kannst du auch über das Terminal abfragen, ob die neuen Werte aktiv sind:

dig TXT _dmarc.beispiel.de +short

Die Antwort muss genau "v=DMARC1; p=none; rua=mailto:dmarc@example.com" lauten.

Häufige Fehler

  • Record auf der Hauptdomain (@) eintragen: Wenn der TXT-Record auf der Root-Domain liegt statt unter der Subdomain _dmarc, schlagen externe DMARC-Abfragen fehl.
  • Fehlendes mailto: bei der Report-Adresse: Im Parameter rua= muss zwingend das Präfix mailto: vor der E-Mail-Adresse stehen (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).).
  • Sofortige Umstellung auf p=reject: Wenn du direkt ohne Überwachungsphase auf strikte Abweisung stellst, blockierst du potenziell wichtige E-Mails von Systemen, die noch nicht vollständig authentifiziert sind.