Zum Hauptinhalt springen
CaptainDNS
NEU·Überwachung von E-Mail-Sicherheit und -Zustellbarkeit. Werden Sie benachrichtigt, sobald eine Bewertungs- oder DNS-Änderung Ihre Domain gefährdet.Mehr erfahren

DMARC Generator

DMARC-Eintrag erstellen und E-Mail-Spoofing stoppen in 30 Sekunden

Wollen Sie E-Mail-Spoofing auf Ihrer Domain stoppen? Erstellen Sie einen DMARC-Eintrag in 30 Sekunden. Konfigurieren Sie Richtlinie, Ausrichtung, Berichte - kopieren Sie den Eintrag und veröffentlichen Sie ihn. Keine Syntax zum Auswendiglernen.

1Ihre Domain

Der Eintrag wird unter _dmarc.ihredomain veröffentlicht. Wir prüfen, ob bereits einer vorhanden ist.

Versendet diese Domain E-Mails?
2Wo möchten Sie ankommen?

Wählen Sie Ihr Ziel. Das Tool zeigt Ihnen, wo Sie beginnen sollten, um es zu erreichen, ohne Ihre E-Mails zu beschädigen.

Ohne Berichte ist DMARC blind: Sie können nicht erkennen, ob Sie verschärfen können. Das ist der Treibstoff des Übergangs.

3Erweiterte OptionenOptional
Subdomains, Ausrichtung, forensische Berichte, Testmodus

Ohne sp erben Subdomains die Hauptrichtlinie. Erzwingen Sie sp=reject für Subdomains, die nicht versenden.

np (DMARCbis) schützt Subdomains, die nicht existieren. np=reject ist ein risikofreier Schnellgewinn gegen Spoofing: Keine legitime Nachricht stammt jemals von einer nicht existierenden Subdomain.

Testmodus (t)

Automatische DMARC-Überwachung

Empfangen Sie automatisch DMARC-Berichte und überwachen Sie die E-Mail-Authentifizierungskonformität Ihrer Domains in Echtzeit.

DMARC-Überwachung einrichten

Konfigurierbare Richtlinie

Wählen Sie none (beobachten), quarantine (Spam-Ordner) oder reject (blockieren). Legen Sie bei Bedarf eine andere Richtlinie für Subdomains fest.

SPF- und DKIM-Ausrichtung

Konfigurieren Sie relaxed oder strict Ausrichtung für SPF und DKIM. Strenge Ausrichtung verstärkt den Schutz, sobald Ihre Abläufe stabilisiert sind.

Aggregierte Berichte (RUA)

Erhalten Sie tägliche Berichte über Versandquellen, Erfolgs-/Fehlerraten und Ausfälle. Wesentlich, um Ihre Abläufe zu kartieren, bevor Sie die Richtlinie verschärfen.

Forensische Berichte (RUF)

Erhalten Sie Details zu jedem einzelnen Fehler. Nützlich zur Diagnose spezifischer Probleme (wenige Anbieter senden diese).

Schrittweiser Rollout

Steigern Sie nach DMARCbis-Etappen: none zum Beobachten, quarantine im Testmodus (t=y), quarantine angewendet (t=n), dann reject. Minimieren Sie Fehlalarme.

Warum einen DMARC-Eintrag generieren?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist das Protokoll, das SPF und DKIM ergänzt, um Ihre Domain vor E-Mail-Spoofing und Phishing zu schützen. Ohne eine DMARC-Richtlinie kann jeder E-Mails senden, die sich als Ihre Domain ausgeben.

Drei Gründe für DMARC:

  • Markenschutz → Verhindern Sie, dass Betrüger Ihre Domain für Phishing nutzen (prüfen Sie mit dem Phishing URL Checker)
  • Vollständige Sichtbarkeit → Erhalten Sie Berichte darüber, wer E-Mails von Ihrer Domain sendet
  • Bessere Zustellbarkeit → Anbieter (Gmail, Microsoft) bevorzugen Domains mit DMARC

So verwenden Sie den Generator in 3 Schritten

Schritt 1: Domain eingeben

Geben Sie Ihre Organisationsdomain genau so ein, wie sie in Ihren E-Mail-Adressen erscheint (z.B. captaindns.com). Das Tool generiert automatisch den vollständigen DNS-Namen: _dmarc.captaindns.com. Erkennt das Tool bereits einen DMARC-Eintrag, zeigt es an, ob Sie ihn hinzufügen, ersetzen oder unverändert lassen sollten.

Schritt 2: Optionen konfigurieren

Hauptrichtlinie (p): Was mit fehlgeschlagenen E-Mails tun?

  • none: Beobachten ohne Blockierung (empfohlen zum Start)
  • quarantine: In Spam senden
  • reject: Vollständig blockieren

Ausrichtung (adkim, aspf): Wie die Domain-Übereinstimmung prüfen?

  • relaxed (r): Subdomains akzeptiert (empfohlen)
  • strict (s): Exakte Übereinstimmung erforderlich

Berichte (rua, ruf): Wo Statistiken empfangen?

  • Fügen Sie mailto:dmarc@ihredomain.com für aggregierte Berichte hinzu

Schritt 3: Kopieren und veröffentlichen

Der Generator erstellt den vollständigen DNS-Eintrag. Kopieren Sie ihn in Ihre DNS-Verwaltungsoberfläche:

  • Name: _dmarc.ihredomain.com
  • Typ: TXT
  • Wert: Der generierte Eintrag

Was genau ist DMARC?

DMARC ist eine DNS-Richtlinie, die Mailservern mitteilt:

  1. Was zu prüfen ist: Besteht SPF oder DKIM UND ist es mit der sichtbaren Domain ausgerichtet?
  2. Was bei Fehler zu tun ist: Beobachten (none), Spam (quarantine), oder blockieren (reject)
  3. Wohin berichten: E-Mail-Adressen für den Empfang von Statistiken

Die Idee: zuerst sehen, dann blockieren. Sie beobachten Ihre Versandquellen über die RUA-Berichte, bevor Sie eine durchsetzende Richtlinie aktivieren.

Beispiel DMARC-Eintrag:

_dmarc.captaindns.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r"

Dekodiert:

  • v=DMARC1: Protokollversion (erforderlich)
  • p=none: Richtlinie = beobachten ohne Blockierung
  • rua=mailto:...: Adresse für aggregierte Berichte
  • adkim=r: DKIM-Ausrichtung relaxed
  • aspf=r: SPF-Ausrichtung relaxed

Alle DMARC-Tags erklärt

Erforderliche Tags

TagWerteBeschreibung
vDMARC1Protokollversion. Immer DMARC1.
pnone / quarantine / rejectRichtlinie für Hauptdomain.

Gängige optionale Tags

TagWerteBeschreibung
spnone / quarantine / rejectRichtlinie für Subdomains. Erbt von p wenn nicht vorhanden.
npnone / quarantine / rejectRichtlinie für nicht existierende Subdomains (DMARCbis).
ruamailto:adresseAdressen für aggregierte Berichte (täglich).
rufmailto:adresseAdressen für forensische Berichte (pro Fehler).
adkimr (relaxed) / s (strict)DKIM-Ausrichtungsmodus.
aspfr (relaxed) / s (strict)SPF-Ausrichtungsmodus.
fo0 / 1 / d / sOptionen zur Generierung forensischer Berichte.
ty / nTestmodus (DMARCbis): t=y wendet die Richtlinie nicht an, sammelt aber Berichte.

In DMARCbis entfernt oder veraltet

TagStatusHinweis
pctEntferntIn DMARCbis abgeschafft. Nutzen Sie stattdessen t=y für den Testmodus.
riEntferntBerichtsintervall in DMARCbis abgeschafft.
rfEntferntForensisches Berichtsformat in DMARCbis abgeschafft.

Praktische Anwendungsfälle

Fall 1: Neue Domain ohne Historie

Ziel: Eine Domain schützen, die beginnt, E-Mails zu senden.

Empfohlene Konfiguration:

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Nächste Schritte:

  1. Berichte 2-4 Wochen überwachen
  2. Alle legitimen Quellen identifizieren
  3. Zu p=quarantine; t=y wechseln (Testmodus)
  4. Schrittweise bis p=reject erhöhen

Fall 2: Domain mit mehreren Diensten (CRM, Newsletter, Transaktional)

Ziel: Schützen ohne bestehende Abläufe zu unterbrechen.

Anfangskonfiguration:

v=DMARC1; p=none; sp=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Diagnose über RUA-Berichte:

  • Alle sendenden IPs/Domains auflisten
  • Überprüfen, dass jede Quelle SPF und DKIM konfiguriert hat
  • Nicht autorisierte Quellen identifizieren (potenzielles Spoofing)

Schrittweiser Rollout:

v=DMARC1; p=quarantine; t=y; rua=mailto:dmarc@captaindns.com

Sobald die Berichte keine legitimen Quellen mehr melden, entfernen Sie t=y, dann gehen Sie zu p=reject.

Fall 3: Domain, die keine E-Mails sendet

Ziel: Jede betrügerische Nutzung einer "geparkten" Domain verhindern.

Direkte strenge Konfiguration:

v=DMARC1; p=reject; sp=reject; np=reject; adkim=s; aspf=s

Keine Beobachtungsphase nötig, wenn die Domain niemals legitime E-Mails senden sollte.

Häufige Fehler vermeiden

FehlerProblemLösung
Zwei DMARC-EinträgeKonflikt, Richtlinie ignoriertNur ein Eintrag pro Domain
mailto: vergessenBerichte nicht gesendetrua=mailto:adresse@domain.com
Direkt zu reject springenLegitime E-Mails blockiertMit p=none beginnen, dann quarantine
Berichte ignorierenKeine Sichtbarkeit bei ProblemenRUA wöchentlich analysieren
Strenge Ausrichtung zu frühFehler bei Subdomains oder Drittanbieterdienstenr (relaxed) beibehalten bis vollständige Bestandsaufnahme

Best Practices für den Rollout (DMARCbis)

Phase 1: Beobachtung (2-4 Wochen)

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r
  • Berichte sammeln
  • Alle legitimen Quellen identifizieren
  • SPF/DKIM für nicht ausgerichtete Quellen korrigieren

Phase 2: Quarantäne im Testmodus

v=DMARC1; p=quarantine; t=y; rua=mailto:dmarc@captaindns.com
  • t=y sammelt Berichte, ohne die Richtlinie durchzusetzen
  • Sobald die RUA-Berichte keine legitimen Quellen mehr melden, zur nächsten Phase

Phase 3: Quarantäne angewendet

v=DMARC1; p=quarantine; t=n; rua=mailto:dmarc@captaindns.com
  • Entfernen Sie den Testmodus, die Richtlinie wird durchgesetzt
  • Benutzerbeschwerden überwachen

Phase 4: Reject

v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r
  • Maximaler Schutz
  • Optional zu strenger Ausrichtung wechseln (adkim=s; aspf=s)

FAQ - Häufig gestellte Fragen

F: Was ist ein DMARC-Eintrag?

A: DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein DNS-TXT-Eintrag, der Mailservern mitteilt, wie sie mit E-Mails umgehen sollen, die SPF- und DKIM-Prüfungen nicht bestehen. Er schützt Ihre Domain vor Spoofing und Phishing.

F: Mit welcher DMARC-Richtlinie sollte ich beginnen?

A: Beginnen Sie immer mit p=none. Diese Richtlinie beeinflusst die Zustellung nicht, sendet Ihnen aber Berichte. Analysieren Sie diese Berichte 2-4 Wochen lang, um alle legitimen Abläufe zu identifizieren, bevor Sie zu quarantine und dann reject wechseln.

F: Was ist der Unterschied zwischen RUA und RUF?

A:

  • RUA (Reporting URI for Aggregate): Tägliche aggregierte Berichte mit globalen Statistiken
  • RUF (Reporting URI for Forensic): Detaillierte Berichte pro einzelnem Fehler

RUA ist essentiell und wird von allen unterstützt. RUF ist optional und wird von Anbietern selten unterstützt.

F: Wie funktioniert die DMARC-Ausrichtung?

A: Die Ausrichtung prüft, ob die sichtbare Domain (From:) mit der von SPF oder DKIM authentifizierten Domain übereinstimmt:

  • Relaxed (r): mail.captaindns.com ist mit captaindns.com ausgerichtet
  • Strict (s): Exakte Übereinstimmung erforderlich

F: Kann ich mehrere DMARC-Einträge haben?

A: Nein. Nur ein DMARC-Eintrag pro Domain ist erlaubt. Mehrere Einträge verursachen Fehler. Bearbeiten Sie den bestehenden, anstatt einen neuen hinzuzufügen.

F: Wie lange dauert es, bis DMARC aktiv ist?

A: Der Eintrag ist aktiv, sobald DNS propagiert (Minuten bis 48h). Erste RUA-Berichte kommen innerhalb von 24-48h, nachdem E-Mails von Ihrer Domain gesendet wurden.

F: Wie erhalte ich Berichte für eine externe Domain?

A: Wenn Ihre RUA-Adresse auf einer anderen Domain liegt, muss diese Domain Sie autorisieren mit:

ihredomain._report._dmarc.bericht-domain.com TXT "v=DMARC1"

Bereiten Sie sich auf DMARCbis vor

DMARCbis ist der kommende IETF Proposed Standard, der RFC 7489 ersetzt. Er führt neue Tags ein (np, t, psd), entfernt veraltete Tags (pct, rf, ri) und ersetzt die Public Suffix List durch einen DNS tree walk-Algorithmus. Prüfen Sie die Kompatibilität Ihrer Domain mit dem DMARCbis Checker oder erstellen Sie einen konformen Eintrag mit dem DMARCbis-Migrationstool.

Ergänzende Tools

ToolZweck
DMARC Record CheckÜberprüfen Sie Ihren bestehenden DMARC-Eintrag
DMARC ValidatorDie Syntax eines DMARC-Eintrags vor der DNS-Veröffentlichung prüfen
DMARCbis CheckerDMARCbis-Kompatibilität Ihres Eintrags prüfen
DMARCbis-MigrationEinen DMARCbis-konformen Eintrag generieren
SPF GeneratorErstellen Sie einen gültigen SPF-Eintrag
DKIM GeneratorErstellen Sie Ihre DKIM-Schlüssel (RSA/Ed25519)
DKIM Record CheckÜberprüfen Sie Ihre DKIM-Signatur
Mail TesterTesten Sie die Zustellbarkeit Ihrer E-Mails
Phishing URL CheckerPrüfen Sie, ob eine URL für Phishing-Kampagnen verwendet wird

Nützliche Ressourcen