Stand: Juli 2026
Zusammenfassung: Die Tags
rua=undruf=steuern das Reporting von DMARC. Währendrua=tägliche, statistische XML-Berichte über den gesamten E-Mail-Verkehr anfordert, bittetruf=um detaillierte forensische Einzelberichte für fehlgeschlagene Nachrichten.
Eines der wichtigsten Merkmale von DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist die Fähigkeit, Rückmeldungen über den E-Mail-Verkehr einer Domain zu erhalten. Wenn du eine DMARC-Richtlinie im DNS veröffentlichst, legst du über die Tags rua= und ruf= fest, an welche Zieladressen empfangende E-Mail-Server ihre Berichte senden sollen.
Beide Tags akzeptieren laut RFC 7489 eine durch Kommas getrennte Liste von DMARC-URIs (in der Praxis meist mailto:-Adressen). Die Art und Detailliertheit der gelieferten Berichte unterscheidet sich jedoch grundlegend.
Der rua= Tag: Aggregierte Berichte (Das Fundament)
Der Tag rua= fordert aggregierte Statistik-Berichte an. Laut RFC 7489 regelt die Spezifikation Folgendes:
rua: Addresses to which aggregate feedback is to be sent (comma-separated plain-text list of DMARC URIs; OPTIONAL).
Ein typischer DMARC-Eintrag mit aggregiertem Reporting sieht wie folgt aus:
v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com
Empfangende Mailserver (wie Gmail oder Microsoft 365) sammeln den Tag über alle eingehenden E-Mails deiner Domain und senden in der Regel einmal täglich eine XML-Datei an die angegebene Adresse. Dieser Bericht enthält eine detaillierte Zusammenfassung:
- Welche IP-Adressen E-Mails im Namen deiner Domain versendet haben.
- Wie viele E-Mails jeweils von welcher IP zugestellt wurden.
- Ob die SPF- und DKIM-Prüfungen für diese E-Mails erfolgreich oder fehlerhaft waren.
- Welches DMARC-Ergebnis (Zustellung, Quarantäne oder Ablehnung) angewendet wurde.
Der rua= Tag ist für jedes Monitoring unverzichtbar. Er ermöglicht es dir, alle legitimen Versandsysteme zu identifizieren und die Domain auf eine strikte p=reject-Policy vorzubereiten.
Der ruf= Tag: Forensische Berichte (Die Fehlersuche)
Der Tag ruf= fordert nachrichtenspezifische Fehlerberichte (oft als forensische Berichte bezeichnet) an. Laut RFC 7489 gilt:
ruf: Addresses to which message-specific failure information is to be reported (comma-separated plain-text list of DMARC URIs; OPTIONAL). If present, the Domain Owner is requesting Mail Receivers to send detailed failure reports about messages that fail the DMARC evaluation in specific ways
In Kombination mit den Fehleroptionen (fo=) sieht ein vollständiger Record so aus:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1
Im Gegensatz zu den täglichen XML-Zusammenfassungen von rua= werden ruf=-Berichte idealerweise nahezu in Echtzeit generiert, sobald eine einzelne E-Mail die DMARC-Prüfung verfehlt. Sie enthalten Auszüge aus der Original-Nachricht (wie Kopfzeilen, Absender- und Empfängerdaten), um eine präzise technische Analyse des Fehlers oder Angriffs zu ermöglichen.
Warum ruf=-Berichte heute selten ankommen
Während rua=-Berichte von fast allen großen E-Mail-Providern zuverlässig geliefert werden, erhalten Administratoren heute nur noch von wenigen Systemen ruf=-Berichte. Der Grund hierfür ist der Datenschutz: Da forensische Berichte Teile von E-Mail-Headern, Betreffzeilen oder im Einzelfall sogar Textauszüge fehlerhafter E-Mails enthalten können, weigern sich viele große E-Mail-Anbieter aus Gründen des Datenschutzes (wie der DSGVO), diese Einzelberichte an externe Postfächer zu versenden.
Für die interne Überwachung oder im B2B-Umfeld kann der Tag dennoch wertvolle Hinweise auf gezielte Spoofing-Versuche oder fehlerhafte Signaturdienste liefern.
Konfiguration prüfen
Um zu prüfen, ob deine Report-URIs korrekt formatiert sind und ob dein DNS-Record syntaktisch fehlerfrei ist, kannst du deine Domain mit dem kostenlosen MXAudit-Scanner testen.
Weitere technische Hintergründe zur Auswertung von XML-Berichten und konkrete Einrichtungsanleitungen für verschiedene Hosting-Anbieter findest du in der DMARC-Übersicht und in Praxis-Guides wie DMARC bei IONOS einrichten.
Weiterführende Links
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC) (abgerufen: 16. Juli 2026)