Zum Hauptinhalt springen

Neu

Testen Sie die Zustellbarkeit Ihrer E-Mails

Senden Sie eine Test-E-Mail und erhalten Sie in wenigen Sekunden eine vollständige Diagnose Ihrer SPF-, DKIM- und DMARC-Authentifizierung.

  • Echter Versandtest
  • Sofortige Diagnose
  • Ohne Registrierung
Test starten

DMARC Generator

DMARC-Eintrag erstellen und E-Mail-Spoofing stoppen in 30 Sekunden

Wollen Sie E-Mail-Spoofing auf Ihrer Domain stoppen? Erstellen Sie einen DMARC-Eintrag in 30 Sekunden. Konfigurieren Sie Richtlinie, Ausrichtung, Berichte - kopieren Sie den Eintrag und veröffentlichen Sie ihn. Keine Syntax zum Auswendiglernen.

Die Organisationsdomain, für die der DMARC-Eintrag generiert werden soll.

Aktion für Nachrichten, die DMARC-Prüfungen nicht bestehen.

Dringend empfohlen. E-Mail-Adressen für den Empfang aggregierter DMARC-Berichte. Mehrere Adressen durch Kommas getrennt.

Spezifische Richtlinie für Subdomains. Falls nicht gesetzt, erbt die Hauptrichtlinie.

Prozentsatz der Nachrichten, auf die die Richtlinie angewendet wird (1-100). Standard: 100.

E-Mail-Adressen für den Empfang detaillierter Fehlerberichte. Mehrere Adressen durch Kommas getrennt.

Erforderlicher Ausrichtungsmodus für DKIM.

Erforderlicher Ausrichtungsmodus für SPF.

Wann Fehlerberichte (RUF) generiert werden. Standard: 0.

Berichtsgenerierungsintervall in Sekunden. Standard: 86400 (24h).

Konfigurierbare Richtlinie

Wahlen Sie none (beobachten), quarantine (Spam-Ordner) oder reject (blockieren). Legen Sie bei Bedarf eine andere Richtlinie fur Subdomains fest.

SPF- und DKIM-Ausrichtung

Konfigurieren Sie relaxed oder strict Ausrichtung fur SPF und DKIM. Strenge Ausrichtung verstarkt den Schutz, sobald Ihre Ablaufe stabilisiert sind.

Aggregierte Berichte (RUA)

Erhalten Sie tagliche Berichte uber Versandquellen, Erfolgs-/Fehlerraten und Ausfalle. Wesentlich, um Ihre Ablaufe zu kartieren, bevor Sie die Richtlinie verscharfen.

Forensische Berichte (RUF)

Erhalten Sie Details zu jedem einzelnen Fehler. Nutzlich zur Diagnose spezifischer Probleme (wenige Anbieter senden diese).

Schrittweiser Rollout

Verwenden Sie den Prozentsatz (pct) zur schrittweisen Anwendung der Richtlinie: 10%, dann 50%, dann 100%. Minimieren Sie das Risiko von Fehlalarmen.

Warum einen DMARC-Eintrag generieren?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist das Protokoll, das SPF und DKIM erganzt, um Ihre Domain vor E-Mail-Spoofing und Phishing zu schutzen. Ohne eine DMARC-Richtlinie kann jeder E-Mails senden, die sich als Ihre Domain ausgeben.

Drei Grunde fur DMARC:

  • Markenschutz → Verhindern Sie, dass Betruger Ihre Domain fur Phishing nutzen
  • Vollstandige Sichtbarkeit → Erhalten Sie Berichte daruber, wer E-Mails von Ihrer Domain sendet
  • Bessere Zustellbarkeit → Anbieter (Gmail, Microsoft) bevorzugen Domains mit DMARC

So verwenden Sie den Generator in 3 Schritten

Schritt 1: Domain eingeben

Geben Sie Ihre Organisationsdomain genau so ein, wie sie in Ihren E-Mail-Adressen erscheint (z.B. captaindns.com). Das Tool generiert automatisch den vollstandigen DNS-Namen: _dmarc.captaindns.com.

Schritt 2: Optionen konfigurieren

Hauptrichtlinie (p): Was mit fehlgeschlagenen E-Mails tun?

  • none: Beobachten ohne Blockierung (empfohlen zum Start)
  • quarantine: In Spam senden
  • reject: Vollstandig blockieren

Ausrichtung (adkim, aspf): Wie die Domain-Ubereinstimmung prufen?

  • relaxed (r): Subdomains akzeptiert (empfohlen)
  • strict (s): Exakte Ubereinstimmung erforderlich

Berichte (rua, ruf): Wo Statistiken empfangen?

  • Fugen Sie mailto:dmarc@ihredomain.com fur aggregierte Berichte hinzu

Schritt 3: Kopieren und veroffentlichen

Der Generator erstellt den vollstandigen DNS-Eintrag. Kopieren Sie ihn in Ihre DNS-Verwaltungsoberflache:

  • Name: _dmarc.ihredomain.com
  • Typ: TXT
  • Wert: Der generierte Eintrag

Was genau ist DMARC?

DMARC ist eine DNS-Richtlinie, die Mailservern mitteilt:

  1. Was zu prufen ist: Besteht SPF oder DKIM UND ist es mit der sichtbaren Domain ausgerichtet?
  2. Was bei Fehler zu tun ist: Beobachten (none), Spam (quarantine), oder blockieren (reject)
  3. Wohin berichten: E-Mail-Adressen fur den Empfang von Statistiken

Beispiel DMARC-Eintrag:

_dmarc.beispiel.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@beispiel.com; adkim=r; aspf=r; pct=100"

Dekodiert:

  • v=DMARC1: Protokollversion (erforderlich)
  • p=quarantine: Richtlinie = in Spam senden
  • rua=mailto:...: Adresse fur aggregierte Berichte
  • adkim=r: DKIM-Ausrichtung relaxed
  • aspf=r: SPF-Ausrichtung relaxed
  • pct=100: Auf 100% der E-Mails anwenden

Alle DMARC-Tags erklart

Erforderliche Tags

TagWerteBeschreibung
vDMARC1Protokollversion. Immer DMARC1.
pnone / quarantine / rejectRichtlinie fur Hauptdomain.

Gangige optionale Tags

TagWerteBeschreibung
spnone / quarantine / rejectRichtlinie fur Subdomains. Erbt von p wenn nicht vorhanden.
ruamailto:adresseAdressen fur aggregierte Berichte (taglich).
rufmailto:adresseAdressen fur forensische Berichte (pro Fehler).
adkimr (relaxed) / s (strict)DKIM-Ausrichtungsmodus.
aspfr (relaxed) / s (strict)SPF-Ausrichtungsmodus.
pct1-100Prozentsatz der E-Mails, die der Richtlinie unterliegen.

Erweiterte Tags

TagWerteBeschreibung
fo0 / 1 / d / sOptionen zur Generierung forensischer Berichte.
riSekundenIntervall fur aggregierte Berichte (Standard 86400 = 24h).

Praktische Anwendungsfalle

Fall 1: Neue Domain ohne Historie

Ziel: Eine Domain schutzen, die beginnt, E-Mails zu senden.

Empfohlene Konfiguration:

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.com; adkim=r; aspf=r

Nachste Schritte:

  1. Berichte 2-4 Wochen uberwachen
  2. Alle legitimen Quellen identifizieren
  3. Zu p=quarantine; pct=25 wechseln
  4. Schrittweise bis p=reject erhohen

Fall 2: Domain mit mehreren Diensten (CRM, Newsletter, Transaktional)

Ziel: Schutzen ohne bestehende Ablaufe zu unterbrechen.

Anfangskonfiguration:

v=DMARC1; p=none; sp=none; rua=mailto:dmarc@beispiel.com; adkim=r; aspf=r

Diagnose uber RUA-Berichte:

  • Alle sendenden IPs/Domains auflisten
  • Uberprufen, dass jede Quelle SPF und DKIM konfiguriert hat
  • Nicht autorisierte Quellen identifizieren (potenzielles Spoofing)

Schrittweiser Rollout:

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@beispiel.com

Dann 25%, 50%, 100%, und schliesslich p=reject.

Fall 3: Domain, die keine E-Mails sendet

Ziel: Jede betrugerische Nutzung einer "geparkten" Domain verhindern.

Direkte strenge Konfiguration:

v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s

Keine Beobachtungsphase notig, wenn die Domain niemals legitime E-Mails senden sollte.

Haufige Fehler vermeiden

FehlerProblemLosung
Zwei DMARC-EintrageKonflikt, Richtlinie ignoriertNur ein Eintrag pro Domain
mailto: vergessenBerichte nicht gesendetrua=mailto:adresse@domain.com
Direkt zu reject springenLegitime E-Mails blockiertMit p=none beginnen, dann quarantine
Berichte ignorierenKeine Sichtbarkeit bei ProblemenRUA wochentlich analysieren
Strenge Ausrichtung zu fruhFehler bei Subdomains oder Drittanbieterdienstenr (relaxed) beibehalten bis vollstandige Bestandsaufnahme

Best Practices fur den Rollout

Phase 1: Beobachtung (2-4 Wochen)

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.com
  • Berichte sammeln
  • Alle legitimen Quellen identifizieren
  • SPF/DKIM fur nicht ausgerichtete Quellen korrigieren

Phase 2: Schrittweise Quarantane

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@beispiel.com
  • Von 10% → 25% → 50% → 100% erhohen
  • Benutzerbeschwerden uberwachen
  • Bei Bedarf anpassen

Phase 3: Reject

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.com; adkim=r; aspf=r
  • Maximaler Schutz
  • Optional zu strenger Ausrichtung wechseln (adkim=s; aspf=s)

FAQ - Häufig gestellte Fragen

F: Was ist ein DMARC-Eintrag?

A: DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein DNS-TXT-Eintrag, der Mailservern mitteilt, wie sie mit E-Mails umgehen sollen, die SPF- und DKIM-Prufungen nicht bestehen. Er schutzt Ihre Domain vor Spoofing und Phishing.

F: Mit welcher DMARC-Richtlinie sollte ich beginnen?

A: Beginnen Sie immer mit p=none. Diese Richtlinie beeinflusst die Zustellung nicht, sendet Ihnen aber Berichte. Analysieren Sie diese Berichte 2-4 Wochen lang, um alle legitimen Ablaufe zu identifizieren, bevor Sie zu quarantine und dann reject wechseln.

F: Was ist der Unterschied zwischen RUA und RUF?

A:

  • RUA (Reporting URI for Aggregate): Tagliche aggregierte Berichte mit globalen Statistiken
  • RUF (Reporting URI for Forensic): Detaillierte Berichte pro einzelnem Fehler

RUA ist essentiell und wird von allen unterstutzt. RUF ist optional und wird von Anbietern selten unterstutzt.

F: Wie funktioniert die DMARC-Ausrichtung?

A: Die Ausrichtung pruft, ob die sichtbare Domain (From:) mit der von SPF oder DKIM authentifizierten Domain ubereinstimmt:

  • Relaxed (r): mail.beispiel.com ist mit beispiel.com ausgerichtet
  • Strict (s): Exakte Ubereinstimmung erforderlich

F: Kann ich mehrere DMARC-Eintrage haben?

A: Nein. Nur ein DMARC-Eintrag pro Domain ist erlaubt. Mehrere Eintrage verursachen Fehler. Bearbeiten Sie den bestehenden, anstatt einen neuen hinzuzufugen.

F: Wie lange dauert es, bis DMARC aktiv ist?

A: Der Eintrag ist aktiv, sobald DNS propagiert (Minuten bis 48h). Erste RUA-Berichte kommen innerhalb von 24-48h, nachdem E-Mails von Ihrer Domain gesendet wurden.

F: Wie erhalte ich Berichte fur eine externe Domain?

A: Wenn Ihre RUA-Adresse auf einer anderen Domain liegt, muss diese Domain Sie autorisieren mit:

ihredomain._report._dmarc.bericht-domain.com TXT "v=DMARC1"

Ergänzende Tools

ToolZweck
DMARC Record CheckÜberprüfe deinen bestehenden DMARC-Eintrag
SPF GeneratorErstelle einen gültigen SPF-Eintrag
DKIM GeneratorErstelle deine DKIM-Schlüssel (RSA/Ed25519)
DKIM Record CheckÜberprüfe deine DKIM-Signatur
Mail TesterTeste die Zustellbarkeit deiner E-Mails

Nützliche Ressourcen