Stand: Juli 2026
Zusammenfassung: Der Tag
p=(Policy) ist der zentrale Pflichtparameter eines DMARC-Records. Er teilt empfangenden E-Mail-Servern mit, wie sie mit E-Mails umgehen sollen, bei denen die SPF- oder DKIM-Prüfung fehlschlägt.
Wenn du einen DMARC-Eintrag (Domain-based Message Authentication, Reporting, and Conformance) im DNS veröffentlichst, legst du im Tag p= fest, welche Maßnahmen ein Empfänger bei unautorisierten Nachrichten ergreifen soll. Der Tag ist Pflicht und bestimmt den Schutzgrad der gesamten Domain.
Der p= Tag im Standard
Laut RFC 7489 ist der p= Tag zwingend erforderlich und deckt neben der Hauptdomain automatisch auch alle Subdomains ab, sofern kein separater sp= Tag definiert wird:
p: Requested Mail Receiver policy (plain-text; REQUIRED for policy records). Indicates the policy to be enacted by the Receiver at the request of the Domain Owner. Policy applies to the domain queried and to subdomains, unless subdomain policy is explicitly described using the "sp" tag.
Der Standard definiert genau drei Stufen für diese Richtlinie:
1. Die Monitoring-Phase (p=none)
Ein Eintrag mit p=none fordert vom Empfänger keine Eingriffe in die Zustellung:
v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com
Laut RFC 7489 bedeutet dies: „none: The Domain Owner requests no specific action be taken regarding delivery of messages.”
In dieser Stufe werden Nachrichten – selbst bei komplett fehlschlagender Authentifizierung – normal zugestellt. Der einzige Zweck von p=none ist das Sammeln von Analyse-Daten. Über die Angabe einer Report-Adresse (rua=) erhältst du von den großen E-Mail-Providern tägliche Berichte darüber, welche Server im Namen deiner Domain versenden. So kannst du fehlende SPF- oder DKIM-Einträge identifizieren, ohne den E-Mail-Verkehr versehentlich zu stören.
2. Die Quarantäne-Phase (p=quarantine)
Sobald du deine Absender vollständig konfiguriert hast, wechselst du zu p=quarantine:
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com
In diesem Modus werden verdächtige Nachrichten nicht mehr direkt in den Posteingang zugestellt. Laut RFC 7489 bittet der Domain-Inhaber darum, dass fehlschlagende E-Mails als verdächtig behandelt werden: „quarantine: The Domain Owner wishes to have email that fails the DMARC mechanism check be treated by Mail Receivers as suspicious. Depending on the capabilities of the Mail Receiver, this can mean "place into spam folder", "scrutinize with additional intensity", and/or "flag as suspicious".”
In der Praxis landen unautorisierte E-Mails dadurch meist im Spam- oder Junk-Ordner des Empfängers.
3. Der strikte Schutz (p=reject)
Das endgültige Ziel einer DMARC-Einführung ist die harte Ablehnung über p=reject:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com
Laut RFC 7489 fordert der Domain-Inhaber in dieser Stufe, dass fehlschlagende E-Mails komplett abgewiesen werden, idealerweise noch während der Einlieferung: „reject: The Domain Owner wishes for Mail Receivers to reject email that fails the DMARC mechanism check. Rejection SHOULD occur during the SMTP transaction.”
Mit p=reject schließt du das Tor für Domain-Spoofing und Phishing-Angriffe vollständig: Versucht ein Angreifer, E-Mails mit deiner Absender-Domain von einem unautorisierten Server zu versenden, blockiert der empfangende Mailserver die Nachricht sofort.
Der empfohlene Rollout-Pfad
Ein sicherer Rollout verläuft in drei Schritten:
- Starte für mindestens zwei bis vier Wochen mit
p=noneund werte die aggregierten Berichte sorgfältig aus. - Schalte auf
p=quarantineum, um verbleibende Fehlkonfigurationen zu erkennen, ohne wichtige E-Mails komplett zu verlieren. - Aktiviere abschließend
p=reject, um deine Domain maximal abzusichern.
Konfiguration prüfen
Ob dein DMARC-Eintrag syntaktisch korrekt formatiert ist und welcher Policy-Modus aktuell für deine Domain aktiv ist, kannst du jederzeit mit dem kostenlosen MXAudit-Scanner testen.
Weitere Einblicke in die Funktionsweise von DMARC und praktische Schritt-für-Schritt-Anleitungen für verschiedene Hosting-Anbieter findest du in der DMARC-Übersicht und in Leitfäden wie DMARC bei IONOS einrichten.
Weiterführende Links
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC) (abgerufen: 16. Juli 2026)