Zum Hauptinhalt springen

DMARCbis Checker

DMARC v2-Kompatibilität mit DNS tree walk-Analyse prüfen

Nutzen Sie unseren DMARCbis Checker, um die Kompatibilität Ihrer Domain mit dem neuen IETF Proposed Standard zu prüfen. DMARCbis ersetzt RFC 7489 mit einem DNS tree walk-Algorithmus, neuen Tags wie np und entfernt den veralteten pct-Tag. Testen Sie Ihre DMARCbis-Bereitschaft vor der offiziellen Veröffentlichung.

DNS tree walk-Analyse

Das Tool reproduziert den tree walk-Algorithmus von DMARCbis, um Ihre DMARC-Richtlinie so zu ermitteln, wie es konforme Empfänger tun werden. Jeder Schritt des DNS-Durchlaufs wird angezeigt.

Erkennung veralteter Tags

Die Tags pct, rf und ri werden in DMARCbis entfernt. Das Tool erkennt deren Vorhandensein in Ihrem Eintrag und zeigt, wie Sie diese ersetzen können.

Prüfung des np-Tags

Der np-Tag (Non-existent Domain Policy) schützt vor dem Spoofing nicht existierender Subdomains. Das Tool prüft seine Anwesenheit und empfiehlt einen passenden Wert.

Rückwärtskompatibilität

DMARCbis behält v=DMARC1 bei. Ihre bestehenden Einträge funktionieren weiterhin. Das Tool zeigt, was verbessert werden kann, ohne die Kompatibilität zu beeinträchtigen.

Organisationsdomain

Der DNS tree walk ersetzt die Public Suffix List zur Bestimmung der Organisationsdomain. Das Tool zeigt die erkannte Organisationsdomain und die verwendete Ermittlungsmethode an.

DMARCbis: Was sich für Ihre Domain ändert

DMARCbis (auch DMARC v2 genannt) ist kein einfaches Update. Es ist eine grundlegende Überarbeitung des DMARC-Protokolls, aufgeteilt in drei separate RFCs. Ein DMARCbis Checker zeigt, welche Anpassungen erforderlich sind:

  1. Kernmechanismus (draft-ietf-dmarc-dmarcbis): Richtlinienermittlung, Alignment, Auswertung
  2. Aggregierte Berichte (draft-ietf-dmarc-aggregate-reporting): XML-Format, Schema, Verteilung
  3. Fehlerberichte (draft-ietf-dmarc-failure-reporting): ARF-Berichte, Datenschutz, Rate Limiting

Neue Tags

TagRolleWerteStandard
npRichtlinie für nicht existierende Subdomains (NXDOMAIN)none, quarantine, rejectErbt von sp, dann p
tTestmodus (ersetzt pct)y, nn (vollständige Durchsetzung)
psdPublic Suffix Domain-Deklarationy, n, uu (unbestimmt)

Entfernte Tags

TagGrund
pctUneinheitliche Durchsetzung bei Empfängern. Ersetzt durch den binären t-Tag.
rfNur das afrf-Format wurde unterstützt. Überflüssiger Tag.
riVon Empfängern selten beachtet. Berichte werden jetzt täglich versendet.

DNS tree walk

Die bedeutendste Änderung in DMARCbis ist der Ersatz der Public Suffix List (PSL) durch einen nativen DNS-Durchlauf-Algorithmus.

Warum? Die PSL ist eine von Mozilla-Freiwilligen gepflegte Community-Liste. Sie leidet unter Aktualisierungsverzögerungen, Inkonsistenzen zwischen Implementierungen und dem Fehlen einer IETF-Spezifikation zur zu verwendenden Version. Der DNS tree walk löst diese Probleme, indem er sich ausschließlich auf tatsächliche DNS-Daten stützt.

So funktioniert es: Der Empfänger fragt _dmarc.<domain> ab und steigt dann Label für Label auf. Enthält ein Eintrag psd=n, ist das die Organisationsdomain. Wird psd=y gefunden, ist die Domain eine Ebene darunter die Organisationsdomain.

Wer setzt DMARCbis heute ein?

Stand März 2026 senden nur GMX, mail.com und WEB.DE (United Internet-Gruppe) Berichte im DMARCbis-Format. Eine breite Einführung wird nach der offiziellen RFC-Veröffentlichung erwartet. DMARCbis-Einträge sind rückwärtskompatibel: Empfänger, die die neuen Tags nicht verstehen, ignorieren sie einfach.

Bereiten Sie sich jetzt vor

Auch wenn die Migration nicht dringend ist, können Sie durch die Vorbereitung Ihrer Domain bereits jetzt:

  • Veraltete Tags identifizieren, die entfernt werden sollten, bevor sie Warnungen auslösen
  • Den np-Tag hinzufügen, um nicht existierende Subdomains zu schützen
  • Den tree walk verstehen und überprüfen, ob Ihre Organisationsdomain korrekt ermittelt wird
  • Änderungen im Reporting antizipieren in Ihren DMARC-Analysetools

DMARC vs DMARCbis: Vergleichstabelle

AspektDMARC (RFC 7489)DMARCbis
Versions-Tagv=DMARC1v=DMARC1 (unverändert)
RichtlinienermittlungPublic Suffix List (PSL)Nativer DNS tree walk
OrganisationsdomainBestimmung über externe PSLDynamische Bestimmung über psd=y / psd=n
pct-TagWert von 0 bis 100Entfernt, ersetzt durch t
Testmoduspct=0 (uneinheitliches Verhalten)t=y (klare binäre Semantik)
NP-RichtlinieNicht vorhandennp=none|quarantine|reject
PSD-UnterstützungRFC 9091 experimentellNativ über tree walk integriert
BerichtsformatEinzeldokumentDrei separate RFCs (Mechanismus, Aggregate, Fehler)
SPF-GeltungsbereichMAIL FROM und HELONur MAIL FROM
Veraltete TagsKeinepct, rf, ri

Diese Tabelle fasst die strukturellen Unterschiede zwischen den beiden Protokollversionen zusammen. Enthält Ihr Eintrag Tags aus der DMARC-Spalte, die in DMARCbis nicht mehr existieren, kennzeichnet der Checker sie automatisch.

Wie funktioniert der DNS tree walk?

Der DNS tree walk ist die zentrale Innovation von DMARCbis. Er ersetzt Public Suffix List-Abfragen durch einen hierarchischen DNS-Durchlauf. Hier ein detailliertes Beispiel, um jeden Schritt zu verstehen.

Beispiel: eine E-Mail von user@sub.mail.captaindns.com

Der Empfänger muss die geltende DMARC-Richtlinie finden. Mit DMARCbis führt er folgende Abfragen der Reihe nach durch:

  1. Abfrage _dmarc.sub.mail.captaindns.com: Der DNS-Server antwortet NXDOMAIN (kein Eintrag gefunden). Der Empfänger steigt ein Label auf.
  2. Abfrage _dmarc.mail.captaindns.com: Der DNS-Server antwortet NXDOMAIN. Der Empfänger steigt erneut auf.
  3. Abfrage _dmarc.captaindns.com: Ein TXT-Eintrag wird gefunden, z. B. v=DMARC1; p=reject; psd=n.

Der psd=n-Tag zeigt an, dass captaindns.com eine Organisationsdomain ist (kein Public Suffix). Der tree walk stoppt. Ergebnis: Organisationsdomain = captaindns.com, Ermittlungsmethode = tree walk.

Was passiert mit psd=y? Enthielte _dmarc.captaindns.com den Wert psd=y, würde das bedeuten, dass captaindns.com ein Public Suffix ist (wie .co.uk). In diesem Fall wäre die Organisationsdomain mail.captaindns.com, die Domain eine Ebene unter dem Suffix.

Sicherheitslimit: Der tree walk führt maximal 8 DNS-Abfragen durch, um Amplification zu verhindern. Wird nach 8 Ebenen kein Ergebnis gefunden, schlägt die Ermittlung fehl und die Domain wird behandelt, als hätte sie keine veröffentlichte DMARC-Richtlinie.

Zentraler Vorteil: Im Gegensatz zur PSL, die manuelle Aktualisierungen erfordert und zwischen Implementierungen variiert, stützt sich der tree walk auf DNS-Daten in Echtzeit. DNS-Administratoren behalten die volle Kontrolle über ihre Organisationsgrenze.

Warum der np-Tag unverzichtbar ist

Der np-Tag (Non-existent Domain Policy) schließt eine Sicherheitslücke, die DMARC v1 nicht beheben konnte: das Spoofing nicht existierender Subdomains.

Der Angriffsvektor: Ein Angreifer sendet eine E-Mail von fake123.captaindns.com. Diese Subdomain existiert nicht in Ihrer DNS-Zone. Mit DMARC v1 wendet der Empfänger die sp-Richtlinie an (falls vorhanden) oder fällt auf p zurück. Lautet Ihre Konfiguration p=reject; sp=none (ein häufiges Setup, um legitime Subdomains zuzulassen), umgeht der Angreifer Ihren Schutz.

Die DMARCbis-Lösung: Der np=reject-Tag gilt ausschließlich für Subdomains, bei denen DNS mit NXDOMAIN antwortet. Sie können eine flexible Richtlinie für Ihre bestehenden Subdomains beibehalten (sp=none oder sp=quarantine für Subdomains mit legitimem E-Mail-Verkehr) und gleichzeitig von Angreifern erfundene Subdomains blockieren.

Empfohlene Konfiguration:

  • Bei p=reject: np=reject hinzufügen für maximale Abdeckung
  • Bei p=quarantine: np=reject hinzufügen (fiktive Subdomains verdienen strenge Blockierung)
  • Bei p=none: np=quarantine als ersten Schritt zur Härtung hinzufügen

Der np-Tag ist besonders wirksam gegen CEO-Fraud-Angriffe, bei denen Angreifer glaubwürdige Subdomains erfinden, wie secure-payment.captaindns.com oder internal-hr.captaindns.com, um Empfänger zu täuschen.

Zeitplan zur DMARCbis-Einführung

Der Übergang zu DMARCbis folgt einem schrittweisen Zeitplan, der von der IETF und großen E-Mail-Anbietern vorangetrieben wird.

DatumEreignis
2015RFC 7489 veröffentlicht (ursprüngliches DMARC)
2021RFC 9091 veröffentlicht (PSD DMARC, experimentell)
2024GMX, mail.com und WEB.DE (United Internet-Gruppe) werden die ersten Empfänger, die Berichte im DMARCbis-Format senden
April 2025IESG-Genehmigung des Kerndokuments (draft-ietf-dmarc-dmarcbis) und der aggregierten Berichte (draft-ietf-dmarc-aggregate-reporting)
November 2025Fehlerbericht-Dokument (draft-ietf-dmarc-failure-reporting) zur Veröffentlichung eingereicht
2025 / 2026Alle drei Dokumente in der Warteschlange des RFC-Editors
2026 (erwartet)Offizielle Veröffentlichung als Proposed Standard

DMARCbis-Einträge sind rückwärtskompatibel: Sie können die neuen Tags schon heute hinzufügen, ohne auf die offizielle Veröffentlichung zu warten. Empfänger, die np, t oder psd nicht verstehen, ignorieren sie stillschweigend.

Ergänzende Tools

ToolBeschreibung
DMARC-zu-DMARCbis-MigrationstoolAutomatisch einen konformen DMARCbis-Eintrag generieren
DMARC-SyntaxprüferDie Syntax Ihres aktuellen DMARC-Eintrags validieren
DMARC-InspektorDen auf Ihrer Domain veröffentlichten DMARC-Eintrag abrufen und analysieren
DMARC-GeneratorEinen neuen DMARC-Eintrag erstellen
DMARC-BerichtsleserAggregierte XML-Berichte dekodieren

Nützliche Ressourcen

FAQ - Häufig gestellte Fragen

F: Was ist DMARCbis?

A: DMARCbis ist die neue Version des DMARC-Protokolls, die bei der IETF als Proposed Standard finalisiert wird. Es ersetzt RFC 7489 (2015) und RFC 9091 (PSD DMARC). Die drei Dokumente (Kernmechanismus, aggregierte Berichte, Fehlerberichte) befinden sich seit 2025 in der Warteschlange des RFC-Editors.

F: Was sind die Unterschiede zwischen DMARC und DMARCbis?

A: DMARCbis fügt drei neue Tags hinzu (np, t, psd), entfernt drei Tags (pct, rf, ri), ersetzt die Ermittlung über die Public Suffix List durch einen DNS tree walk-Algorithmus und beschränkt die SPF-Validierung ausschließlich auf MAIL FROM.

F: Sollte ich sofort auf DMARCbis migrieren?

A: Es besteht keine Eile. Aktuelle DMARC-Einträge funktionieren weiterhin, da die Version v=DMARC1 bleibt. Es wird jedoch empfohlen, Ihre Einträge jetzt zu prüfen, um veraltete Tags zu entfernen und die neuen Tags np und psd hinzuzufügen.

F: Wird der pct-Tag wirklich entfernt?

A: Ja. Die Betriebserfahrung hat gezeigt, dass der pct-Tag von den Empfängern uneinheitlich angewandt wurde. Nur die Werte 0 und 100 waren zuverlässig. Er wird durch den binären t-Tag ersetzt (t=y für den Testmodus, t=n für die vollständige Durchsetzung).

F: Was ist der DNS tree walk?

A: Der DNS tree walk ist der Algorithmus zur Ermittlung der DMARC-Richtlinie in DMARCbis. Anstatt eine externe Public Suffix List zu konsultieren, steigt der Empfänger die DNS-Hierarchie auf, indem er _dmarc auf jeder Ebene abfragt, bis ein gültiger Eintrag gefunden wird. Damit entfällt die Abhängigkeit von der PSL.

F: Wird der fo-Tag in DMARCbis entfernt?

A: Nein. Der fo-Tag (Failure Reporting Options) wird in DMARCbis beibehalten. Nur die Tags pct, rf und ri werden entfernt.

F: Woher weiß ich, ob meine Domain für DMARCbis bereit ist?

A: Führen Sie eine Analyse mit unserem DMARCbis Checker durch. Das Tool führt einen vollständigen DNS tree walk durch, erkennt veraltete Tags (pct, rf, ri), prüft das Vorhandensein des np-Tags und zeigt die ermittelte Organisationsdomain an. Das Ergebnis zeigt einen klaren Status: konform, kompatibel oder nicht konform mit DMARCbis.

F: Verlangsamt der DNS tree walk die E-Mail-Zustellung?

A: Nein. Der tree walk führt maximal 8 DNS-Abfragen durch, und Empfänger speichern Ergebnisse basierend auf der TTL jedes Eintrags im Cache. In der Praxis wird der tree walk bei den meisten Domains in 2 oder 3 Abfragen aufgelöst. Die Auswirkung auf die Zustellzeit ist vernachlässigbar.