Stand: Juli 2026

Zusammenfassung: Die Tags rua= und ruf= steuern das Reporting von DMARC. Während rua= tägliche, statistische XML-Berichte über den gesamten E-Mail-Verkehr anfordert, bittet ruf= um detaillierte forensische Einzelberichte für fehlgeschlagene Nachrichten.

Eines der wichtigsten Merkmale von DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist die Fähigkeit, Rückmeldungen über den E-Mail-Verkehr einer Domain zu erhalten. Wenn du eine DMARC-Richtlinie im DNS veröffentlichst, legst du über die Tags rua= und ruf= fest, an welche Zieladressen empfangende E-Mail-Server ihre Berichte senden sollen.

Beide Tags akzeptieren laut RFC 7489 eine durch Kommas getrennte Liste von DMARC-URIs (in der Praxis meist mailto:-Adressen). Die Art und Detailliertheit der gelieferten Berichte unterscheidet sich jedoch grundlegend.

Der rua= Tag: Aggregierte Berichte (Das Fundament)

Der Tag rua= fordert aggregierte Statistik-Berichte an. Laut RFC 7489 regelt die Spezifikation Folgendes: rua: Addresses to which aggregate feedback is to be sent (comma-separated plain-text list of DMARC URIs; OPTIONAL).

Ein typischer DMARC-Eintrag mit aggregiertem Reporting sieht wie folgt aus:

v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com

Empfangende Mailserver (wie Gmail oder Microsoft 365) sammeln den Tag über alle eingehenden E-Mails deiner Domain und senden in der Regel einmal täglich eine XML-Datei an die angegebene Adresse. Dieser Bericht enthält eine detaillierte Zusammenfassung:

  • Welche IP-Adressen E-Mails im Namen deiner Domain versendet haben.
  • Wie viele E-Mails jeweils von welcher IP zugestellt wurden.
  • Ob die SPF- und DKIM-Prüfungen für diese E-Mails erfolgreich oder fehlerhaft waren.
  • Welches DMARC-Ergebnis (Zustellung, Quarantäne oder Ablehnung) angewendet wurde.

Der rua= Tag ist für jedes Monitoring unverzichtbar. Er ermöglicht es dir, alle legitimen Versandsysteme zu identifizieren und die Domain auf eine strikte p=reject-Policy vorzubereiten.

Der ruf= Tag: Forensische Berichte (Die Fehlersuche)

Der Tag ruf= fordert nachrichtenspezifische Fehlerberichte (oft als forensische Berichte bezeichnet) an. Laut RFC 7489 gilt: ruf: Addresses to which message-specific failure information is to be reported (comma-separated plain-text list of DMARC URIs; OPTIONAL). If present, the Domain Owner is requesting Mail Receivers to send detailed failure reports about messages that fail the DMARC evaluation in specific ways

In Kombination mit den Fehleroptionen (fo=) sieht ein vollständiger Record so aus:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1

Im Gegensatz zu den täglichen XML-Zusammenfassungen von rua= werden ruf=-Berichte idealerweise nahezu in Echtzeit generiert, sobald eine einzelne E-Mail die DMARC-Prüfung verfehlt. Sie enthalten Auszüge aus der Original-Nachricht (wie Kopfzeilen, Absender- und Empfängerdaten), um eine präzise technische Analyse des Fehlers oder Angriffs zu ermöglichen.

Warum ruf=-Berichte heute selten ankommen

Während rua=-Berichte von fast allen großen E-Mail-Providern zuverlässig geliefert werden, erhalten Administratoren heute nur noch von wenigen Systemen ruf=-Berichte. Der Grund hierfür ist der Datenschutz: Da forensische Berichte Teile von E-Mail-Headern, Betreffzeilen oder im Einzelfall sogar Textauszüge fehlerhafter E-Mails enthalten können, weigern sich viele große E-Mail-Anbieter aus Gründen des Datenschutzes (wie der DSGVO), diese Einzelberichte an externe Postfächer zu versenden.

Für die interne Überwachung oder im B2B-Umfeld kann der Tag dennoch wertvolle Hinweise auf gezielte Spoofing-Versuche oder fehlerhafte Signaturdienste liefern.

Konfiguration prüfen

Um zu prüfen, ob deine Report-URIs korrekt formatiert sind und ob dein DNS-Record syntaktisch fehlerfrei ist, kannst du deine Domain mit dem kostenlosen MXAudit-Scanner testen.

Weitere technische Hintergründe zur Auswertung von XML-Berichten und konkrete Einrichtungsanleitungen für verschiedene Hosting-Anbieter findest du in der DMARC-Übersicht und in Praxis-Guides wie DMARC bei IONOS einrichten.