Warum Ihren DMARC-Eintrag inspizieren?
Ein falsch konfigurierter DMARC-Eintrag im DNS kann:
- Ignoriert werden von Empfangsservern (Gmail, Outlook, Yahoo)
- Ihre legitimen E-Mails blockieren, wenn die Richtlinie zu früh zu streng ist
- Ihre Domain anfällig lassen für Spoofing und Phishing, wenn die Richtlinie fehlt
Der DMARC-Inspektor (DMARC record checker, DMARC lookup) fragt DNS in Echtzeit ab, um genau das anzuzeigen, was Empfangsserver sehen. Sie erkennen Veröffentlichungsfehler, bevor sie Ihre Zustellbarkeit beeinträchtigen.
Häufige Anwendungsfälle:
- Nach der Veröffentlichung → Überprüfen, ob der Eintrag korrekt propagiert wurde
- Zustellbarkeitsprobleme → Eine fehlerhafte DMARC-Konfiguration diagnostizieren
- Sicherheitsaudit → Domain-Spoofing-Schutz validieren
So verwenden Sie den DMARC-Inspektor in 3 Schritten
Schritt 1: Zu analysierende Domain eingeben
Geben Sie die Domain genau so ein, wie sie in Ihren E-Mail-Adressen erscheint:
captaindns.com(Hauptdomain)marketing.captaindns.com(Subdomain, wenn Sie von einer Subdomain senden)
Das Tool fragt automatisch _dmarc.domain ab und ruft den veröffentlichten TXT-Eintrag ab.
Schritt 2: Ergebnisse analysieren
Der Inspektor zeigt an:
| Element | Beschreibung |
|---|---|
| Richtlinie (p=) | none, quarantine oder reject - Behandlung nicht authentifizierter E-Mails |
| Subdomain-Richtlinie (sp=) | Spezifische Richtlinie für Subdomains, falls abweichend |
| DKIM-Ausrichtung (adkim=) | strict (s) oder relaxed (r) - DKIM/From-Domain-Übereinstimmung |
| SPF-Ausrichtung (aspf=) | strict (s) oder relaxed (r) - SPF/From-Domain-Übereinstimmung |
| Prozentsatz (pct=) | Anteil des Traffics, der der Richtlinie unterliegt |
| Aggregierte Berichte (rua=) | Ziele für tägliche XML-Berichte |
| Forensische Berichte (ruf=) | Ziele für Berichte pro Nachricht |
Schritt 3: Warnungen beheben
Ergebnisse werden nach Schweregrad klassifiziert:
- ❌ Fehler → Blockierendes Problem, Eintrag wird ignoriert
- ⚠️ Warnung → Funktionsfähig, aber Verbesserung empfohlen
- ✅ Gültig → Korrekte Konfiguration
Beheben Sie Fehler in Ihrem DNS, warten Sie auf die Propagation und führen Sie dann die Inspektion erneut durch.
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein Protokoll, das:
- SPF und DKIM mit der in der From-Adresse sichtbaren Domain verknüpft
- Eine Richtlinie definiert für die Behandlung nicht authentifizierter E-Mails
- Berichte generiert, um Ihre E-Mail-Authentifizierung zu verfolgen
Der DMARC-Eintrag wird als TXT-Eintrag unter _dmarc.ihredomain.com veröffentlicht.
Beispiel eines DMARC-Eintrags:
v=DMARC1; p=quarantine; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r; pct=100
Dieser Eintrag gibt an:
- Nicht authentifizierte E-Mails in Quarantäne (Spam) verschieben
- Berichte an dmarc@captaindns.com senden
- Relaxed Ausrichtung für DKIM und SPF verwenden
- Richtlinie auf 100% der Nachrichten anwenden
Was der DMARC-Inspektor überprüft
DNS-Auflösung
| Prüfung | Fehler wenn... |
|---|---|
| TXT-Eintrag existiert | Kein TXT unter _dmarc.domain |
| DMARC-Eintrag vorhanden | TXT existiert, beginnt aber nicht mit v=DMARC1 |
| Eindeutiger Eintrag | Mehrere DMARC-Einträge (Konflikt) |
| Kein CNAME | _dmarc zeigt auf einen CNAME (RFC-verboten) |
Erforderliche Tags
| Tag | Prüfung |
|---|---|
| v= | Muss DMARC1 an erster Position sein |
| p= | Muss none, quarantine oder reject sein |
Richtlinie und Ausrichtung
| Tag | Akzeptierte Werte | Prüfung |
|---|---|---|
| p | none, quarantine, reject | Konsistente Richtlinie mit Reifegrad |
| sp | none, quarantine, reject | Falls vorhanden, gültige Subdomain-Richtlinie |
| adkim | r (relaxed), s (strict) | Gültiger DKIM-Ausrichtungsmodus |
| aspf | r (relaxed), s (strict) | Gültiger SPF-Ausrichtungsmodus |
| pct | 1-100 | Prozentsatz innerhalb der Grenzen |
Berichtsziele
| Tag | Prüfung |
|---|---|
| rua | Gültiges mailto:-Format, externe Domain autorisiert |
| ruf | Gültiges mailto:-Format, externe Domain autorisiert |
Externe Autorisierung: Wenn rua oder ruf auf eine andere Domain zeigt (z.B. rua=mailto:reports@anderedomain.com), muss die Zieldomain _report._dmarc.ihredomain.com veröffentlichen, um den Empfang zu autorisieren.
Häufige Diagnosen und Lösungen
DMARC_NOT_FOUND - Eintrag fehlt
Ursache: Kein TXT-Eintrag existiert unter _dmarc.ihredomain.com
Lösung:
- Erstellen Sie einen TXT-Eintrag unter
_dmarc.ihredomain.com - Minimaler Inhalt:
v=DMARC1; p=none; rua=mailto:dmarc@ihredomain.com - Veröffentlichen und auf DNS-Propagation warten
DMARC_MULTIPLE_RECORDS - Mehrere Einträge
Ursache: Mehr als ein DMARC-TXT-Eintrag existiert unter _dmarc.ihredomain.com
Lösung:
- Identifizieren Sie alle DMARC-Einträge in Ihrem DNS
- Behalten Sie nur den, den Sie anwenden möchten
- Löschen Sie die Duplikate
MISSING_POLICY - p=-Tag fehlt
Ursache: Der Eintrag enthält v=DMARC1, aber kein p=-Tag
Lösung: Fügen Sie eine Richtlinie hinzu: v=DMARC1; p=none; ...
Fortschritt zu einer strengen DMARC-Richtlinie
Phase 1: Beobachtung (p=none)
v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com
- Keine Auswirkung auf die Zustellbarkeit
- Sammeln Sie Berichte für 2-4 Wochen
- Identifizieren Sie alle legitimen Sendequellen
- Konfigurieren Sie SPF und DKIM für jede Quelle
Phase 2: Progressive Quarantäne
v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@captaindns.com
- Beginnen Sie mit 10% des Traffics
- Überwachen Sie Berichte auf Fehlalarme
- Erhöhen Sie schrittweise: 10% → 25% → 50% → 100%
Phase 3: Ablehnung (maximaler Schutz)
v=DMARC1; p=reject; rua=mailto:dmarc@captaindns.com
- Nicht authentifizierte E-Mails werden abgelehnt
- Vollständiger Spoofing-Schutz
- Behalten Sie die Berichtsüberwachung bei
FAQ - Häufig gestellte Fragen
F: Was ist der Unterschied zwischen DMARC-Inspektor und Syntax-Validator?
A: Der DMARC-Inspektor fragt DNS ab, um den veröffentlichten Eintrag auf Ihrer Domain zu überprüfen. Der Syntax-Validator analysiert einen Eintrag, den Sie vor der Veröffentlichung einfügen. Empfohlener Workflow: Validator → Veröffentlichung → Inspektor.
F: Was bedeutet "DMARC-Eintrag nicht gefunden"?
A: Es existiert kein TXT-Eintrag unter _dmarc.ihredomain.com. Erstellen Sie einen TXT-Eintrag mit mindestens:
v=DMARC1; p=none; rua=mailto:reports@ihredomain.com
F: Warum erkennt der Inspektor mehrere DMARC-Einträge?
A: Die RFC 7489-Spezifikation erfordert einen DMARC-Eintrag pro Domain. Mehrere Einträge erzeugen einen Konflikt: Empfangsserver ignorieren alle Einträge. Löschen Sie Duplikate sofort.
F: Welche DMARC-Richtlinie wählen?
A: Empfohlene Progression:
- p=none → Beobachten ohne Auswirkung (mindestens 2-4 Wochen)
- p=quarantine → Als Spam markieren (pct schrittweise erhöhen)
- p=reject → Nicht authentifizierte E-Mails ablehnen
Springen Sie niemals direkt zu p=reject ohne Berichtsanalyse.
F: Wie lange dauert es, DMARC-Änderungen zu sehen?
A: Die DNS-Propagation hängt vom TTL (Time To Live) des Eintrags ab:
- TTL 3600 (1h) → 1-4 Stunden
- TTL 86400 (24h) → 24-48 Stunden
Reduzieren Sie den TTL vor der Änderung, um zukünftige Propagationen zu beschleunigen.
F: Überprüft der Inspektor auch SPF und DKIM?
A: Nein, der DMARC-Inspektor konzentriert sich auf den _dmarc-Eintrag. Für eine vollständige E-Mail-Authentifizierungsprüfung:
- SPF-Inspektor → SPF-Eintrag
- DKIM-Inspektor → Öffentlicher DKIM-Schlüssel
- E-Mail-Tester → Vollständiger Echtwelt-Test
Ergänzende Tools
| Tool | Zweck |
|---|---|
| DMARC-Syntax-Validator | Syntax VOR DNS-Veröffentlichung validieren |
| DMARC-Generator | Einen spezifikationskonformen DMARC-Eintrag erstellen |
| SPF-Inspektor | Den SPF-Eintrag der Domain überprüfen |
| DKIM-Inspektor | Öffentlichen DKIM-Schlüssel überprüfen |
| E-Mail-Tester | Vollständige Authentifizierung mit echter E-Mail testen |
| DNS-Propagation | Weltweite Eintragspropagation prüfen |
Nützliche Ressourcen
- RFC 7489 - Domain-based Message Authentication, Reporting and Conformance (DMARC) (offizielle Spezifikation)
- Google - DMARC einrichten (Gmail/Workspace-Anleitung)
- Microsoft - DMARC in Microsoft 365 (Outlook/M365-Anleitung)
- dmarc.org - Übersicht (DMARC-Konsortium-Dokumentation)