Stand: Juli 2026
Zusammenfassung: DMARC vereint deine SPF- und DKIM-Konfiguration zu einem effektiven Schutz vor E-Mail-Spoofing. Du richtest die Policy als TXT-Record auf der Subdomain
_dmarcin der DNS-Verwaltung im webgo Kundenportal oder Webspace-Admin ein.
Voraussetzungen
- Ein webgo Hosting-, Server- oder E-Mail-Vertrag mit aktiver Domain
- Zugang zum webgo Kundenportal (
https://login.webgo.de) oder zum webgo Webspace-Admin - Funktionierende SPF- und DKIM-Records für deine Domain
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) legt fest, wie empfangende Mailserver (z. B. Gmail, Outlook, GMX) mit E-Mails umgehen, die zwar unter deinem Domainnamen eingehen, aber die SPF- oder DKIM-Prüfung nicht bestehen.
Wie die webgo Hilfe bezüglich Resource-Records im DNS festhält: Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).
Über den Parameter p= (Policy) steuerst du das Verhalten der Empfangsservers:
p=none: Beobachtungsmodus. E-Mails werden regulär zugestellt, du erhältst jedoch tägliche XML-Berichte zur Analyse.p=quarantine: Verdächtige Nachrichten werden in den Spam- oder Quarantäneordner des Empfängers verschoben.p=reject: Strikte Abweisung. Nicht authentifizierte E-Mails werden direkt beim Verbindungsaufbau abgelehnt.
Die Ausgangslage bei webgo
Du legst die DMARC-Richtlinie direkt in den DNS-Einstellungen deiner Domain an (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).).
Der Eintrag wird als TXT-Record unter der reservierten Subdomain _dmarc veröffentlicht. Für den Start empfiehlt sich eine Policy im Beobachtungsmodus:
v=DMARC1; p=none; rua=mailto:dmarc@example.com
Schritt-für-Schritt-Anleitung
1. Prüfen, ob bereits ein DMARC-Record aktiv ist
Prüfe über dein Terminal, ob deine Domain bereits eine DMARC-Policy ausliefert:
dig TXT _dmarc.beispiel.de +short
Beginnt die Antwort mit v=DMARC1, ist bereits ein Eintrag vorhanden. Ist die Rückgabe leer, fahre mit der Einrichtung fort.
2. DNS-Verwaltung bei webgo öffnen
Melde dich im webgo Kundenportal (login.webgo.de) an. Wähle deinen Vertrag aus und öffne die DNS-Verwaltung (im Kundenportal oder direkt im webgo Webspace-Admin unter Domain / DNS).
3. TXT-Record für _dmarc erstellen
Erstelle in der DNS-Tabelle deiner Domain einen neuen Eintrag:
- Typ: TXT
- Subdomain / Host:
_dmarc - Textfeld / Wert:
v=DMARC1; p=none; rua=mailto:dmarc@example.com
(Ersetze dmarc@example.com durch deine gewünschte E-Mail-Adresse für den Empfang der XML-Diagnoseberichte).
Speichere den DNS-Record.
4. Policy schrittweise verschärfen
Sobald du die XML-Berichte über einige Wochen analysiert hast und sicher bist, dass alle legitimen Absendersysteme per SPF und DKIM authentifiziert sind, kannst du die Policy von p=none auf p=quarantine und schließlich auf p=reject anheben (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).).
Die Bestandteile des DMARC-Records
| Bestandteil | Bedeutung |
|---|---|
_dmarc | Reservierte Subdomain, unter der Mailserver nach der DMARC-Policy deiner Domain suchen |
v=DMARC1 | Protokollkennung (muss immer am Anfang des TXT-Strings stehen) |
p=none | Die eigentliche Policy (none für Überwachung, quarantine für Spam, reject für Abweisung) |
rua=mailto:... | Zieladresse für die täglichen aggregierten XML-Berichte |
Verifikation
Prüfe nach dem Speichern in der DNS-Verwaltung sofort mit dem kostenlosen MXAudit-Scanner, ob dein DMARC-Record korrekt auflöst und syntaktisch einwandfrei ist.
Alternativ kannst du auch über das Terminal abfragen, ob die neuen Werte aktiv sind:
dig TXT _dmarc.beispiel.de +short
Die Antwort muss genau "v=DMARC1; p=none; rua=mailto:dmarc@example.com" lauten.
Häufige Fehler
- Record auf der Hauptdomain (
@) eintragen: Wenn der TXT-Record auf der Root-Domain liegt statt unter der Subdomain_dmarc, schlagen externe DMARC-Abfragen fehl. - Fehlendes
mailto:bei der Report-Adresse: Im Parameterrua=muss zwingend das Präfixmailto:vor der E-Mail-Adresse stehen (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).). - Sofortige Umstellung auf
p=reject: Wenn du direkt ohne Überwachungsphase auf strikte Abweisung stellst, blockierst du potenziell wichtige E-Mails von Systemen, die noch nicht vollständig authentifiziert sind.
