DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC ist ein E-Mail-Sicherheitsstandard, der auf SPF und DKIM aufbaut und es Domaininhabern ermöglicht, klare Richtlinien für die Verarbeitung nicht authentifizierter E-Mails festzulegen. Ziel ist es, Phishing, Spoofing und Missbrauch von Absenderadressen effektiv zu unterbinden und gleichzeitig Transparenz durch Reportings zu schaffen.

DMARC steht für Domain-based Message Authentication, Reporting and Conformance. Mit DMARC wird definiert, wie empfangende E-Mail-Server mit Nachrichten umgehen sollen, die SPF- oder DKIM-Prüfungen nicht bestehen – beispielsweise ablehnen, in Quarantäne verschieben oder dennoch zustellen.

Voraussetzungen für DMARC:

  • Funktionierende SPF- und/oder DKIM-Konfiguration
  • Abgleich der „From“-Adresse mit der Domain in SPF/DKIM („Alignment“)
  • Ein DMARC-Eintrag im DNS mit Richtlinien und Reporting-Adresse

Beispiel für einen DMARC-Eintrag:

_dmarc.example.com IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-report@example.com"

Vorteile von DMARC:

  • Schützt die eigene Domain vor Spoofing und Missbrauch
  • Erhöht die E-Mail-Zustellbarkeit durch verbesserte Reputation
  • Bietet Reporting: Administratoren erhalten Rückmeldungen von empfangenden Servern über DMARC-Ergebnisse

DMARC-Richtlinien:

  • none: Nur Monitoring – keine Maßnahmen bei Verstößen
  • quarantine: Verdächtige Mails werden als Spam behandelt
  • reject: Nicht authentifizierte Mails werden abgelehnt

Implementierung in der Praxis:

  • Für Unternehmen mit hohem E-Mail-Aufkommen oder Cloud-Diensten (z. B. Microsoft 365, Google Workspace)
  • Essentiell im Rahmen von Zero Trust, ISO 27001 oder NIS2
  • Best Practice für alle öffentlichen Domains (z. B. info@, kontakt@, support@)

Verwandte Begriffe:

SPF, DKIM, DNS, E-Mail-Sicherheit, Header, Phishing, Anti-Spam, Zero Trust, Zertifikat, TLS, S/MIME