Zum Hauptinhalt springen

Kostenloses DMARC-Monitoring-Tool

Empfangen, analysieren und handeln Sie auf Basis Ihrer DMARC-Aggregatberichte

Sie veröffentlichen einen DMARC-Eintrag, aber wissen Sie wirklich, was passiert? Legitime Dienste scheitern am SPF- oder DKIM-Alignment. Dritte versenden E-Mails im Namen Ihrer Domain ohne Ihre Zustimmung. Ohne DMARC-Monitoring fliegen Sie blind. CaptainDNS empfängt Ihre DMARC-Aggregatberichte automatisch, analysiert die SPF- und DKIM-Authentifizierungsergebnisse und zeigt Ihnen genau, wer E-Mails für Ihre Domain versendet, und ob dies autorisiert ist.

Melden Sie sich an, um Ihre DMARC-Überwachungsdomains zu verwalten

Melden Sie sich an, um Ihre DMARC-Überwachungsdomains zu verwalten
Intelligenter Einrichtungsassistent

Der Assistent erkennt Ihren aktuellen DMARC-Eintrag: nicht vorhanden, vorhanden mit rua= oder vorhanden ohne. Er generiert den exakten TXT-Eintrag zum Erstellen oder Aktualisieren unter Beibehaltung Ihrer Richtlinie (reject, quarantine, none).

Gemeinsame Domain-Verifizierung

Ein einziger TXT-Eintrag bestätigt die Domain-Inhaberschaft für alle CaptainDNS-Dienste: DMARC-Monitoring, MTA-STS-Hosting, TLS-RPT-Monitoring und BIMI-Hosting.

SPF/DKIM-Compliance-Tracking

Verfolgen Sie DMARC-Compliance-Scores, SPF- und DKIM-Erfolgsquoten, Identifier-Alignment und angewandte Dispositionen nach Quelle. Identifizieren Sie falsch konfigurierte legitime Absender sofort.

Multi-Provider-Berichtsempfang

Empfangen Sie DMARC-Aggregatberichte von Google, Microsoft, Yahoo, Apple und jedem DMARC-konformen E-Mail-Anbieter via HTTPS und E-Mail. Keine Einschränkungen bei den Berichtsquellen.

Multi-Domain-Verwaltung

Überwachen Sie DMARC-Berichte für bis zu 5 Domains über ein einziges Dashboard. Jede Domain verfügt über einen eigenen verifizierten Report-Kollektor und eigene Compliance-Metriken.

Warum DMARC-Berichte überwachen?

DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) ist der E-Mail-Authentifizierungsstandard, der SPF und DKIM vereint, um Ihre Domain vor Spoofing und Phishing zu schützen. Aber einen DMARC-Eintrag zu veröffentlichen ist nur der erste Schritt. Ohne laufendes Monitoring wissen Sie nicht:

  • Welche Quellen E-Mails im Namen Ihrer Domain versenden
  • Ob Ihre legitimen E-Mail-Flüsse die SPF- und DKIM-Prüfungen mit korrektem Alignment bestehen
  • Ob nicht autorisierte Dritte Ihre Domain für Phishing oder Spam ausnutzen

Häufige Probleme, die durch DMARC-Monitoring erkannt werden:

  • Falsch konfigurierte Drittanbieter-Absender: ein CRM, eine Newsletter-Plattform oder ein Abrechnungssystem versendet E-Mails für Ihre Domain ohne ordnungsgemäßes SPF- oder DKIM-Alignment. Ihre E-Mails landen im Spam oder werden abgelehnt.
  • Domain-Spoofing und Phishing: böswillige Akteure fälschen Ihre From-Adresse, um Phishing-E-Mails zu versenden. Ohne Monitoring haben Sie keine Sicht auf diese Angriffe.
  • Unvollständige E-Mail-Migrationen: nach einem Anbieterwechsel versendet der alte Dienst weiterhin nicht-alignierte E-Mails, was Ihre DMARC-Compliance-Rate senkt.
  • Schatten-IT-E-Mail-Dienste: Abteilungen nutzen E-Mail-Dienste, die Sie nicht autorisiert haben. DMARC-Berichte decken diese unbekannten Absender auf.

Wie DMARC-Authentifizierung funktioniert

DMARC basiert auf zwei zugrundeliegenden Protokollen: SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail). Jedes authentifiziert einen anderen Aspekt der E-Mail:

ProtokollWas geprüft wirdFunktionsweise
SPFIP des Envelope-AbsendersDer empfangende Server prüft, ob die IP des Absenders im SPF-DNS-Eintrag der Domain aufgeführt ist
DKIMNachrichtenintegritätEine kryptografische Signatur im E-Mail-Header wird gegen einen öffentlichen Schlüssel im DNS verifiziert
DMARCIdentifier-AlignmentVerifiziert, dass mindestens SPF oder DKIM besteht und mit der From-Header-Domain übereinstimmt

Das Schlüsselkonzept ist das Alignment. SPF und DKIM können beide bestehen, aber wenn keines mit der Domain im From-Header übereinstimmt, schlägt DMARC trotzdem fehl. Dies ist die häufigste Ursache für Authentifizierungsfehler, und der Hauptgrund, warum Monitoring wichtig ist.

DMARC definiert auch, was empfangende Server tun sollen, wenn die Authentifizierung fehlschlägt: nichts (p=none), die Nachricht unter Quarantäne stellen (p=quarantine) oder sie ablehnen (p=reject).

DMARC-Monitoring in 3 Schritten einrichten

Schritt 1: Domain hinzufügen und Inhaberschaft verifizieren

Melden Sie sich an und registrieren Sie die zu überwachende Domain. Fügen Sie den CaptainDNS-Verifizierungs-TXT-Eintrag in Ihrem DNS hinzu. Dieses Verifizierungssystem wird von allen CaptainDNS-Diensten geteilt (MTA-STS-Hosting, TLS-RPT-Monitoring, BIMI-Hosting).

Schritt 2: Ihren DMARC-DNS-Eintrag konfigurieren

Der Einrichtungsassistent analysiert Ihren aktuellen DNS-Status und schlägt den exakten Eintrag zum Veröffentlichen vor:

  • Kein vorhandener DMARC-Eintrag: Ein vollständiger Eintrag wird mit p=none und unserer rua=-Adresse generiert
  • Vorhandener DMARC-Eintrag: Ihre Richtlinie, Alignment-Einstellungen und vorhandene rua=-Adressen werden beibehalten; unsere Adresse wird automatisch hinzugefügt
  • Ungültiger vorhandener Eintrag: Das Problem wird angezeigt und ein sauberer Ersatz vorgeschlagen

Kopieren Sie einfach den Host (_dmarc.yourdomain.com) und den Wert und fügen Sie sie bei Ihrem DNS-Anbieter ein.

Schritt 3: Berichte werden automatisch empfangen und analysiert

E-Mail-Anbieter beginnen innerhalb von 24 bis 48 Stunden mit dem Versand ihrer Aggregatberichte. CaptainDNS empfängt sie, dekomprimiert das XML, analysiert die Authentifizierungsergebnisse und zeigt die Ergebnisse in Ihrem Dashboard an: Compliance-Scores, Quell-IPs, Erfolgs-/Fehlerquoten und angewandte Dispositionen.

DMARC-Aggregatberichte verstehen

DMARC-Aggregatberichte (rua) sind XML-Dateien, die periodisch (in der Regel alle 24 Stunden) von E-Mail-Anbietern wie Google, Microsoft, Yahoo und Apple gesendet werden. Sie beschreiben die Authentifizierungsergebnisse für jede Quelle, die während des Berichtszeitraums E-Mails unter Verwendung Ihrer Domain versendet hat.

RUA vs. RUF: Aggregatberichte vs. Fehlerberichte

DMARC definiert zwei Berichtstypen:

BerichtstypTagHäufigkeitInhaltAnbieterunterstützung
Aggregat (RUA)rua=Täglich (in der Regel alle 24h)Zusammengefasste Authentifizierungsdaten pro Quell-IPWeitgehend von allen großen Anbietern unterstützt
Forensisch (RUF)ruf=Pro FehlerEinzelne Nachrichtendetails einschließlich HeadernSehr eingeschränkt (die meisten Anbieter senden aus Datenschutzgründen keine RUF-Berichte)

CaptainDNS konzentriert sich auf Aggregatberichte (RUA), die die für Compliance-Tracking und Quellenidentifikation benötigten Daten liefern. Forensische Berichte sind in der Praxis selten verfügbar.

Was enthält ein DMARC-Aggregatbericht?

FeldBeschreibung
Berichtende OrganisationDer E-Mail-Anbieter, der den Bericht erstellt hat (Google, Microsoft, Yahoo usw.)
ZeitraumStart- und End-Zeitstempel des Berichtsfensters
Veröffentlichte RichtlinieIhre DMARC-Richtlinie (none, quarantine, reject) und angewandte Prozentsätze
Ergebnisse pro Quell-IPFür jede sendende IP: Nachrichtenanzahl, SPF-Ergebnis, DKIM-Ergebnis, Alignment-Status, angewandte Disposition
Header-IdentifikatorenFrom-Header-Domain und für die SPF- und DKIM-Auswertung verwendete Domains

Beispiel eines DMARC-Aggregatberichts

Hier ist ein vereinfachter Auszug aus einem DMARC-Aggregatbericht im XML-Format:

<?xml version="1.0" encoding="UTF-8"?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>
      <begin>1710201600</begin>
      <end>1710288000</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>example.com</domain>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>203.0.113.1</source_ip>
      <count>1547</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <row>
      <source_ip>198.51.100.42</source_ip>
      <count>23</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

Die erste Zeile zeigt 1.547 Nachrichten von einer legitimen Quelle, die beide Prüfungen bestehen. Die zweite Zeile enthüllt 23 Nachrichten von einer unbekannten IP, die sowohl an SPF als auch an DKIM scheitern, ein potenzieller Spoofing-Versuch. CaptainDNS analysiert diese Berichte automatisch und präsentiert die Daten in Ihrem Dashboard.

DMARC-Eintrag-Tag-Referenz

Ein DMARC-TXT-Eintrag wird unter _dmarc.yourdomain.com veröffentlicht. Hier sind die verfügbaren Tags:

TagErforderlichBeispielBeschreibung
vJav=DMARC1Protokollversion (immer DMARC1)
pJap=noneRichtlinie für die Domain: none, quarantine oder reject
spNeinsp=rejectRichtlinie für Subdomains (erbt von p, wenn nicht gesetzt)
ruaNeinrua=mailto:reports@example.comWohin Aggregatberichte gesendet werden
rufNeinruf=mailto:forensics@example.comWohin Fehlerberichte gesendet werden
adkimNeinadkim=sDKIM-Alignment-Modus: r (relaxed, Standard) oder s (strict)
aspfNeinaspf=rSPF-Alignment-Modus: r (relaxed, Standard) oder s (strict)
pctNeinpct=50Prozentsatz der Nachrichten, die der Richtlinie unterliegen (Standard 100)
foNeinfo=1Optionen für forensische Berichte: 0 (Standard), 1, d, s
riNeinri=86400Berichtsintervall in Sekunden (Standard 86400 = 24h)

Nutzen Sie unseren DMARC-Generator, um einen gültigen Eintrag zu erstellen, oder die DMARC-Syntaxprüfung, um einen bestehenden zu validieren.

Vom Monitoring zur Durchsetzung: der Weg zu p=reject

DMARC ist am effektivsten mit p=reject, wobei gefälschte Nachrichten vollständig verworfen werden. Aber direkt auf reject zu wechseln, ohne vorher zu überwachen, ist gefährlich: legitime Absender mit falsch konfigurierter Authentifizierung werden blockiert.

Empfohlene Vorgehensweise:

  1. p=none (nur Monitoring): sammeln Sie Berichte für 2 bis 4 Wochen. Identifizieren Sie alle legitimen Quellen und beheben Sie SPF/DKIM-Alignment-Probleme. Ziel: 95%+ Compliance-Rate.

  2. p=quarantine (teilweise Durchsetzung): fehlgeschlagene Nachrichten werden in den Spam-Ordner statt in den Posteingang verschoben. Beginnen Sie mit pct=25, erhöhen Sie dann auf 50% und 100% über 2 bis 4 Wochen. Überwachen Sie, ob legitime E-Mails in Quarantäne landen.

  3. p=reject (vollständige Durchsetzung): fehlgeschlagene Nachrichten werden verworfen. Domain-Spoofing wird vollständig blockiert. Beginnen Sie mit pct=25, steigern Sie dann auf 100%.

Zeitrahmen: Die meisten Organisationen durchlaufen diesen Prozess in 4 bis 8 Wochen. Überstürzen Sie nichts. Jede Stufe sollte bestätigen, dass kein legitimer E-Mail-Fluss beeinträchtigt wird.

Das Erreichen von p=reject schaltet auch BIMI frei (Brand Indicators for Message Identification), das Ihr Markenlogo neben Ihren E-Mails in unterstützten Postfächern anzeigt.

DMARC-Anforderungen von Google und Yahoo

Seit Februar 2024 setzen Google und Yahoo strengere E-Mail-Authentifizierungsanforderungen für Massenversender (5.000+ Nachrichten pro Tag an Gmail- oder Yahoo-Adressen) durch:

  • DMARC-Eintrag erforderlich: Massenversender müssen einen DMARC-Eintrag mit mindestens p=none veröffentlichen
  • SPF und DKIM erforderlich: beide Protokolle müssen konfiguriert sein, nicht nur eines
  • Alignment erforderlich: die From-Header-Domain muss mit SPF oder DKIM übereinstimmen
  • Ein-Klick-Abmeldung: Marketing-E-Mails müssen die Ein-Klick-Abmeldung gemäß RFC 8058 unterstützen

DMARC-Monitoring ist unerlässlich, um diese Anforderungen zu erfüllen. Ohne Monitoring können Sie nicht überprüfen, ob Ihre E-Mail-Quellen die Authentifizierungsprüfungen bestehen oder die erforderliche Compliance-Rate einhalten. Nicht konforme Absender riskieren, dass ihre E-Mails von Google und Yahoo gedrosselt oder abgelehnt werden.

Häufige DMARC-Fehler und deren Behebung

FehlerUrsacheLösung
SPF-Alignment schlägt fehlEnvelope-Absender-Domain weicht von der From-Header-Domain abKonfigurieren Sie den Drittanbieter-Dienst so, dass er Ihre Domain als Envelope-Absender verwendet, oder fügen Sie dessen Sende-IPs zu Ihrem SPF-Eintrag hinzu
DKIM-Alignment schlägt fehlDKIM-Signatur verwendet eine andere Domain als den From-HeaderKonfigurieren Sie die DKIM-Signierung mit Ihrer Domain (nicht der Standard-Domain des Anbieters)
SPF überschreitet das DNS-Lookup-LimitSPF-Eintrag hat mehr als 10 DNS-LookupsVereinfachen Sie Ihren SPF-Eintrag oder entfernen Sie nicht verwendete Includes. Nutzen Sie unsere SPF-Syntaxprüfung
Drittanbieter-Absender scheitert an beidemDienst versendet in Ihrem Namen ohne SPF oder DKIMFügen Sie die IPs des Dienstes zu Ihrem SPF-Eintrag hinzu und konfigurieren Sie die DKIM-Signierung
Subdomain-SpoofingAngreifer nutzen Subdomains, die Sie nicht geschützt habenFügen Sie sp=reject zu Ihrem DMARC-Eintrag hinzu, um die Reject-Richtlinie auf alle Subdomains anzuwenden
Weitergeleitete E-Mails scheiternE-Mail-Weiterleitung bricht SPF; DKIM überlebt, wenn der Nachrichtentext unverändert istStellen Sie sicher, dass DKIM konfiguriert ist, es überlebt Weiterleitungen. Erwägen Sie ARC-Unterstützung (Authenticated Received Chain)

Praxisbeispiele

Fall 1: Falsch konfigurierten Drittanbieter-Dienst identifizieren

Symptom: Die DMARC-Compliance-Rate fällt innerhalb einer Woche von 98% auf 72%.

Diagnose: Das Dashboard zeigt eine neue Quell-IP, die erhebliches Volumen ohne DKIM-Alignment versendet. Es handelt sich um das neue Marketing-CRM, das ohne DKIM-Signatur für Ihre Domain konfiguriert wurde.

Maßnahme: DKIM-Signierung im CRM konfigurieren. Die Compliance-Rate erholt sich in den folgenden Berichten.

Fall 2: Domain-Spoofing erkennen

Symptom: Unbekannte Quell-IPs erscheinen in den Berichten und versenden E-Mails im Namen Ihrer Domain mit vollständigem SPF- und DKIM-Fehler.

Diagnose: DMARC-Berichte offenbaren Phishing-Versuche von Servern in verdächtigen Jurisdiktionen. Ihre p=none-Richtlinie lässt diese Nachrichten durch.

Maßnahme: Schrittweise Ihre Richtlinie von p=none auf p=quarantine und dann auf p=reject umstellen. Folgende Berichte bestätigen, dass betrügerische Nachrichten abgelehnt werden.

Fall 3: Google-Massenversender-Anforderungen erfüllen

Symptom: Gmail beginnt, Ihre Marketing-E-Mails mit temporären 4xx-Fehlern zurückzustellen. Die Zustellraten sinken.

Diagnose: DMARC-Monitoring zeigt, dass Ihre Newsletter-Plattform E-Mails ohne DKIM-Alignment zur From-Header-Domain versendet. Googles Massenversender-Richtlinie erfordert Authentifizierungs-Compliance.

Maßnahme: DKIM-Signierung für Ihre Domain in der Newsletter-Plattform konfigurieren und das Alignment über DMARC-Berichte verifizieren. Die Zustellraten normalisieren sich innerhalb weniger Tage.

FAQ - Häufig gestellte Fragen

F: Was ist DMARC-Monitoring?

A: DMARC-Monitoring bedeutet, die von E-Mail-Anbietern gesendeten Aggregatberichte (rua) zu empfangen und zu analysieren. Diese Berichte zeigen, welche Quellen E-Mails im Namen Ihrer Domain versenden und ob sie die SPF- und DKIM-Prüfungen mit korrektem Alignment bestehen.

F: Was ist der Unterschied zwischen DMARC-Aggregatberichten (RUA) und Fehlerberichten (RUF)?

A: Aggregatberichte (rua) werden täglich gesendet und enthalten zusammengefasste Authentifizierungsdaten pro Quell-IP. Fehlerberichte (ruf) werden bei einzelnen Nachrichtenfehlern gesendet und enthalten mehr Details einschließlich Nachrichtenheadern. Die meisten Anbieter senden nur Aggregatberichte. CaptainDNS konzentriert sich auf die Analyse von Aggregatberichten.

F: Wie funktioniert DMARC mit SPF und DKIM?

A: DMARC baut auf SPF und DKIM auf, indem es Identifier-Alignment hinzufügt. SPF validiert die IP des Envelope-Absenders, DKIM validiert eine kryptografische Signatur, und DMARC prüft, ob mindestens eines mit Alignment zur From-Header-Domain besteht. Monitoring zeigt auf, wenn das Alignment fehlschlägt.

F: Mit welcher DMARC-Richtlinie sollte ich beginnen?

A: Beginnen Sie mit p=none, um zu überwachen, ohne die E-Mail-Zustellung zu beeinflussen. Sobald Ihre DMARC-Compliance-Rate konstant über 95% liegt, wechseln Sie zu p=quarantine. Nachdem Sie bestätigt haben, dass keine legitime E-Mail betroffen ist, setzen Sie p=reject für vollständigen Spoofing-Schutz.

F: Wie richte ich DMARC-Monitoring ein?

A: Fügen Sie Ihre Domain in CaptainDNS hinzu, verifizieren Sie die Inhaberschaft über den TXT-Eintrag und folgen Sie dann dem Einrichtungsassistenten, der Ihren aktuellen DMARC-Eintrag erkennt und die exakte Aktualisierung vorschlägt. Berichte treffen innerhalb von 24 bis 48 Stunden ein.

F: Ist DMARC-Monitoring mit CaptainDNS kostenlos?

A: Ja, vollständig kostenlos für bis zu 5 Domains. Keine versteckten Gebühren, keine Testphase. Jede Domain sollte ihre DMARC-Aggregatberichte unabhängig vom Budget überwachen können.

F: Verlangen Google und Yahoo DMARC?

A: Ja. Seit Februar 2024 verlangen Google und Yahoo von Massenversendern (5.000+ Nachrichten pro Tag), einen DMARC-Eintrag zu veröffentlichen. Monitoring hilft Ihnen, diese Anforderungen zu erfüllen und einzuhalten, indem es die Authentifizierungs-Compliance verfolgt.

F: Was passiert, wenn ich meine DMARC-Richtlinie auf reject setze?

A: Mit p=reject verwerfen empfangende Server Nachrichten, die sowohl am SPF- als auch am DKIM-Alignment scheitern. Dies verhindert Domain-Spoofing vollständig, kann aber legitime E-Mails blockieren, wenn Drittanbieter-Absender nicht korrekt konfiguriert sind. Überwachen Sie immer zuerst mit p=none.

F: Wie lange dauert es, DMARC-Berichte zu empfangen?

A: Die meisten E-Mail-Anbieter senden Aggregatberichte alle 24 Stunden. Nach der Veröffentlichung Ihrer rua=-Adresse können Sie die ersten Berichte innerhalb von 24 bis 48 Stunden erwarten, abhängig von Ihrem E-Mail-Volumen.

F: Welcher Zusammenhang besteht zwischen DMARC-Monitoring und einem DMARC-Eintrag?

A: Der DMARC-Eintrag definiert Ihre Authentifizierungsrichtlinie (none, quarantine, reject) und das rua=-Tag gibt an, wohin Berichte gesendet werden. DMARC-Monitoring analysiert diese Berichte, um Ihnen zu zeigen, wer Ihre Domain nutzt und ob die Authentifizierung korrekt funktioniert.

Ergänzende Tools

ToolNutzen
DMARC-EintragsprüfungDen DMARC-DNS-Eintrag Ihrer Domain prüfen
DMARC-GeneratorEinen DMARC-DNS-Eintrag generieren
DMARC-SyntaxprüfungDie Syntax eines DMARC-Eintrags validieren
SPF-EintragsprüfungIhren SPF-DNS-Eintrag prüfen
DKIM-EintragsprüfungIhren DKIM-DNS-Eintrag prüfen
MTA-STS-HostingIhre MTA-STS-Richtlinie kostenlos hosten
TLS-RPT-MonitoringSMTP-TLS-Berichte überwachen
BIMI-HostingIhr BIMI-Logo und -Zertifikat kostenlos hosten

Nützliche Ressourcen