Im Oktober 2023 kündigten Google und Yahoo an, dass Massenversender DMARC in ihrem DNS implementieren müssen. Seit Februar 2024 sind diese Anforderungen vollständig in Kraft – und werden aktiv durchgesetzt. Unternehmen, die DMARC noch nicht korrekt eingerichtet haben, riskieren, dass ihre E-Mails von Gmail und Yahoo abgelehnt oder als Spam eingestuft werden.
Dieser Leitfaden erklärt, was DMARC ist, warum es für Schweizer Unternehmen unverzichtbar ist und wie Sie Ihre Domain überprüfen und korrekt konfigurieren.
Seit der Durchsetzung durch Google und Yahoo gilt:
DKIM (DomainKeys Identified Mail) signiert ausgehende E-Mails kryptografisch. Der Empfänger kann anhand des öffentlichen Schlüssels (ebenfalls im DNS hinterlegt) prüfen, ob die Nachricht tatsächlich vom angegebenen Absender stammt und nicht manipuliert wurde.
Erst wenn beide Mechanismen korrekt konfiguriert sind, kann DMARC seine volle Wirkung entfalten.
SecureIT hilft Ihnen bei der sicheren Konfiguration Ihrer E-Mail-Infrastruktur – mit Managed Office 365 und umfassender Cybersecurity-Beratung. Lesen Sie auch unseren Artikel über E-Mail-Identitätsbetrug und wie Sie sich schützen.
Dieser Leitfaden erklärt, was DMARC ist, warum es für Schweizer Unternehmen unverzichtbar ist und wie Sie Ihre Domain überprüfen und korrekt konfigurieren.
Was ist DMARC und warum ist es Pflicht?
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein E-Mail-Authentifizierungsprotokoll, das auf SPF und DKIM aufbaut. Es schützt Ihre Domain vor Missbrauch durch Dritte – etwa wenn Angreifer E-Mails in Ihrem Namen versenden (Spoofing).Seit der Durchsetzung durch Google und Yahoo gilt:
- Alle Versender müssen ihre E-Mails mit SPF oder DKIM authentifizieren und eine DMARC-Richtlinie veröffentlichen.
- Massenversender (ab 5.000 E-Mails/Tag) müssen zusätzlich SPF und DKIM gemeinsam nutzen, niedrige Beschwerderaten einhalten und eine Ein-Klick-Abmeldung anbieten.
- Nicht konforme E-Mails werden zunehmend abgelehnt – Google hat die Ablehnungsrate seit April 2024 schrittweise erhöht.
So prüfen Sie Ihren DMARC-Status
Der erste Schritt besteht darin, den Status Ihrer Domain zu überprüfen. Dies können Sie mithilfe unseres Webchecks tun:- Webcheck durchführen: Nutzen Sie den DMARC-Check, um zu sehen, ob Ihre Domain korrekt konfiguriert ist.
- Ergebnisse auswerten: Ein grünes Zeichen neben DMARC bedeutet, dass Ihre Domain korrekt eingerichtet ist.
- Bei Handlungsbedarf: Loggen Sie sich bei Ihrem Domainhost ein und erstellen Sie den erforderlichen DMARC-DNS-TXT-Eintrag. Ein Beispiel für einen strengen DMARC-Eintrag: v=DMARC1; p=reject; rua=mailto:postmaster@IhreDomain.ch
Die drei Stufen der DMARC-Richtlinie
DMARC bietet drei Durchsetzungsstufen:- p=none: Monitoring-Modus – E-Mails werden zugestellt, aber Berichte über fehlgeschlagene Authentifizierung werden gesendet. Ideal zum Einstieg.
- p=quarantine: Verdächtige E-Mails werden in den Spam-Ordner verschoben.
- p=reject: Nicht authentifizierte E-Mails werden komplett abgelehnt. Die sicherste Option.
SPF und DKIM: Die Grundlage von DMARC
SPF (Sender Policy Framework) definiert, welche Mailserver E-Mails im Namen Ihrer Domain versenden dürfen. Ein SPF-Eintrag wird als DNS-TXT-Record hinterlegt.DKIM (DomainKeys Identified Mail) signiert ausgehende E-Mails kryptografisch. Der Empfänger kann anhand des öffentlichen Schlüssels (ebenfalls im DNS hinterlegt) prüfen, ob die Nachricht tatsächlich vom angegebenen Absender stammt und nicht manipuliert wurde.
Erst wenn beide Mechanismen korrekt konfiguriert sind, kann DMARC seine volle Wirkung entfalten.
Häufige Fehler bei der DMARC-Einrichtung
- Fehlende Drittanbieter-Autorisierung: Newsletter-Tools, CRM-Systeme oder Ticketing-Software versenden oft im Namen Ihrer Domain. Diese müssen im SPF-Eintrag autorisiert und mit DKIM signiert sein.
- Zu schneller Wechsel auf p=reject: Ohne vorherige Analyse der DMARC-Berichte können legitime E-Mails blockiert werden.
- Veraltete SPF-Einträge: Alte Mailserver oder nicht mehr genutzte Dienste bleiben oft im SPF-Record stehen.
- Kein Monitoring: DMARC-Berichte werden nicht ausgewertet – potenzielle Probleme bleiben unerkannt.
Unterstützung bei der Umsetzung
Nicht jedes Unternehmen verfügt über die notwendigen IT-Ressourcen, um DMARC selbstständig zu implementieren. Managed Service Provider wie SecureIT können bei der Einrichtung, Überwachung und Optimierung Ihrer E-Mail-Authentifizierung unterstützen. Werkzeuge wie der DMARC Record Wizard und DMARC Inspector helfen zusätzlich bei der technischen Umsetzung.Fazit
DMARC ist seit 2024 keine optionale Empfehlung mehr – es ist eine Voraussetzung für zuverlässige E-Mail-Zustellung. Unternehmen, die DMARC noch nicht implementiert haben, riskieren, dass ihre geschäftskritischen E-Mails nicht ankommen. Die technische Umsetzung ist überschaubar, aber die korrekte Konfiguration – insbesondere bei mehreren E-Mail-Diensten – erfordert Sorgfalt.SecureIT hilft Ihnen bei der sicheren Konfiguration Ihrer E-Mail-Infrastruktur – mit Managed Office 365 und umfassender Cybersecurity-Beratung. Lesen Sie auch unseren Artikel über E-Mail-Identitätsbetrug und wie Sie sich schützen.
