Stand: Juli 2026

Zusammenfassung: Der optionale Tag pct= in einem DMARC-Record bestimmt, auf welchen prozentualen Anteil der eingehenden E-Mails die strengere Policy (quarantine oder reject) angewendet werden soll. Er dient dazu, eine stufenweise und risikoarme Einführung von DMARC-Sicherheitsrichtlinien zu ermöglichen.

Wenn eine große Organisation nach Monaten der Überwachung (p=none) auf eine strikte Schutzrichtlinie umsteigt, kann ein sofortiges Inkrafttreten für 100 % des E-Mail-Verkehrs risikobehaftet sein. Sollte ein wichtiges Subsystem noch nicht korrekt mit SPF oder DKIM signieren, würden E-Mails sofort landesweit abgelehnt. Der Tag pct= (Percentage) löst dieses Problem durch eine schrittweise Einführung.

Die Funktionsweise laut RFC 7489

Der Tag pct= akzeptiert ganzzahlige Werte zwischen 0 und 100. Lässt du ihn weglassen, wendet DMARC automatisch den Standardwert 100 an.

Laut RFC 7489 regelt die Spezifikation Folgendes: pct: (plain-text integer between 0 and 100, inclusive; OPTIONAL; default is 100). Percentage of messages from the Domain Owner's mail stream to which the DMARC policy is to be applied.

Der ausdrückliche Zweck dieses Parameters ist laut RFC 7489 eine kontrollierte, langsame Einführung der Durchsetzung: The purpose of the "pct" tag is to allow Domain Owners to enact a slow rollout enforcement of the DMARC mechanism.

Ein DMARC-Record mit prozentualer Drosselung sieht im DNS so aus:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@example.com

In diesem Beispiel wendet der empfangende Mailserver die Quarantäne-Policy lediglich auf 25 % der fehlschlagenden E-Mails an. Die verbleibenden 75 % werden so behandelt, als wäre noch p=none aktiv (sie werden also zugestellt und lediglich im XML-Bericht protokolliert).

Wie empfangende Server den verbleibenden Anteil behandeln

Wenn eine E-Mail die DMARC-Prüfung verfehlt und in den nicht-abgedeckten Prozentbereich (z. B. die restlichen 75 % bei pct=25) fällt, greift eine automatische Rückfallregel:

  • Bei p=quarantine und pct=25: 25 % landen in der Quarantäne (Spam-Ordner), die restlichen 75 % verbleiben unter p=none (werden normal zugestellt).
  • Bei p=reject und pct=25: 25 % werden direkt abgewiesen (reject), während die verbleibenden 75 % auf die nächstweichere Stufe (quarantine) herabgestuft werden.

Stufenweiser Rollout in der Praxis

Ein bewährter Stufenplan für große Domains sieht so aus:

  1. Phase 1: p=quarantine; pct=10 (Erster Realitätscheck mit minimaler Auswirkung auf Nutzer).
  2. Phase 2: p=quarantine; pct=50 (Ausweitung nach fehlerfreien Tagesberichten).
  3. Phase 3: p=quarantine (oder explicit pct=100 – vollständige Quarantäne).
  4. Phase 4: p=reject; pct=10 (Vorsichtiger Einstieg in die harte Ablehnung).
  5. Phase 5: p=reject (Vollständiger Schutz gegen Domain-Spoofing).

Konfiguration überprüfen

Um sicherzustellen, dass dein Prozent-Tag korrekt formatiert ist und ob dein DNS-Record syntaktisch fehlerfrei ist, kannst du deine Domain mit dem kostenlosen MXAudit-Scanner testen. Das Tool zeigt dir die exakte Auswirkung deines pct=-Wertes auf eingehende Nachrichten an.

Weitere Praxis-Leitfäden zur Verwaltung deiner E-Mail-Sicherheit findest du in der DMARC-Übersicht und in Anleitungen wie DMARC bei IONOS einrichten.