Proton
What is DMARC?

DMARC ist eine Methode zur E-Mail-Authentifizierung, die überprüft, ob eine Nachricht von einem legitimen Absender stammt. Lerne, wie es funktioniert und warum du es benötigst, um die Zustellbarkeit deiner E-Mails zu verbessern und dein Domain zu schützen.

Basierend auf den Authentifizierungsprotokollen DKIM und SPF, hilft DMARC, zu verhindern, dass deine E-Mail-Domain gefälscht (spoofed) und für Spam oder Phishing-Angriffe verwendet wird.

Wir erklären DMARC, wie es zusammen mit SPF und DKIM funktioniert und warum du es benötigst, um dein Domain zu schützen und sicherzustellen, dass deine E-Mails zugestellt werden.

Was ist DMARC?
Wofür wird DMARC verwendet?
Wie DMARC mit SPF und DKIM funktioniert
Wie funktioniert DMARC?
Was ist eine DMARC-Richtlinie?
Was ist ein DMARC-Eintrag?
Warum DMARC verwenden?
Schütze dein Domain
Verbessere die E-Mail-Zustellbarkeit
Fehlerbehebung bei E-Mails
Richte DMARC einfach mit Proton Mail ein

Proton Mail Button holen

Was ist DMARC?

DMARC (Domain-basierte Nachrichtenauthentifizierung, Berichterstattung und Konformität) ist ein offener Standard für die E-Mail-Authentifizierung, der hilft, zu verhindern, dass Betrüger deine Domain fälschen (spoofen).

Spammer und Betrüger können die Von-Adresse von E-Mails so fälschen, dass sie scheinbar von einem Absender deines Domains stammen (zum Beispiel name@deinedomain.de).

DMARC überprüft, ob das Von-Feld mit dem Domain in den Authentifizierungsprüfungen von DKIM und SPF übereinstimmt, und hilft Internetdienstanbietern (ISPs) und E-Mail-Anbietern, gefälschte Adressen zu erkennen. DMARC gibt auch den E-Mail-Servern Anweisungen, wie sie mit Nachrichten umgehen sollen, die diese Überprüfungen nicht bestehen, und ermöglicht Empfängern, Berichte über E-Mails zu erhalten, die bei der Authentifizierung durchfallen.

Wofür wird DMARC verwendet?

E-Mail-Anbieter und ISPs verwenden DMARC zusammen mit SPF und DKIM, um gefälschte Adressen zu identifizieren, was ihnen hilft, Spam und Phishing-E-Mails zu erkennen und zu verhindern. Bei Proton Mail ist DMARC beispielsweise eines der Werkzeuge, die wir für Anti-Missbrauch und Kontosicherheit verwenden.

E-Mail-Plattformen verwenden DMARC auch, um E-Mails zu überwachen und Probleme zu beheben. Mit DMARC kannst du Berichte über Nachrichten anfordern, die SPF und DKIM nicht bestanden haben, um dir zu helfen zu identifizieren, warum E-Mails nicht zugestellt werden. DMARC-Berichte zeigen auch, wer E-Mails von deinem Domain sendet, um dich auf potenzielle Betrüger aufmerksam zu machen, die dein Domain missbrauchen.

Wie DMARC mit SPF und DKIM zusammenarbeitet

DMARC arbeitet in Verbindung mit SPF und DKIM, um zu überprüfen, ob der Absender einer E-Mail echt ist. Hier ist, wie die drei Authentifizierungsmethoden zusammenarbeiten:

  • SPF (Sender Policy Framework) überprüft, ob eine E-Mail von einer IP-Adresse gesendet wurde, die autorisiert ist, E-Mails vom Domain des Absenders zu senden.
  • DKIM (DomainKeys Identified Mail) überprüft kryptografisch, dass die Adresse des Absenders und der Inhalt der Nachricht während der Übertragung nicht verändert wurden.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) stellt sicher, dass die Domain in den DKIM- und SPF-Überprüfungen mit der Absender-Domain im From-Feld übereinstimmt. Es legt auch fest, wie E-Mail-Server eine Nachricht behandeln sollen, die sowohl bei DKIM als auch bei SPF durchfällt – annehmen, ablehnen oder als Spam markieren.

Obwohl DMARC nur entweder SPF oder DKIM erfordert, empfehlen wir dringend, dass jeder, der eine eigene Domain verwendet, sowohl SPF als auch DKIM mit DMARC einrichtet, um eine korrekte Zustellung Ihrer E-Mails zu gewährleisten.

Erfahre, wie du SPF, DKIM und DMARC mit Proton Mail einrichtest

Wie funktioniert DMARC?

DMARC arbeitet mit SPF und/oder DKIM zusammen, um den Absender einer E-Mail (From-Feld) zu authentifizieren und den Mailservern zu sagen, wie sie Nachrichten leiten sollen, die beide Überprüfungen nicht bestehen. So funktioniert es:

Nach der Einrichtung von SPF und/oder DKIM musst du einen DMARC-Eintrag veröffentlichen, der eine DMARC-Richtlinie enthält. Die DMARC-Richtlinie gibt den E-Mail-Servern vor, welche Maßnahmen sie bei Nachrichten ergreifen sollen, die sowohl bei den SPF- als auch bei den DKIM-Überprüfungen durchfallen. Es gibt drei Optionen:

DMARC-RichtlinieServeraktion
KeineKeine Maßnahme ergreifen — die Nachricht gelangt weiterhin in den Posteingang des Empfängers.
QuarantäneDie Nachricht in den Spam-Ordner oder einen anderen Ordner verschieben, statt in den Posteingang.
AblehnenDie Nachricht blockieren — sie wird nicht zugestellt
DMARC-Richtlinienoptionen

Unabhängig von der festgelegten DMARC-Richtlinie können E-Mail-Dienste ihre Maßnahmen anpassen, um die Zustellbarkeit zu optimieren. Beispielsweise blockieren wir bei Proton Mail keine Nachrichten mit einer „Ablehnen“-DMARC-Richtlinie, sondern senden sie mit einer Warnung an den Nutzer in den Spam-Ordner, da es immer noch Fälle gibt, in denen legitime E-Mails DMARC nicht bestehen.

Sobald du deinen DMARC-Eintrag veröffentlicht hast, bist du bereit, E-Mails wie folgt mit DMARC zu versenden:

  1. Du sendest eine E-Mail, zum Beispiel von der Adresse nutzer@deinedomain.de.
  2. Der empfangende Mailserver sucht die DMARC-Richtlinie deiner Domain in deinem DMARC-Eintrag auf dem DNS-Server.
Wie DMARC funktioniert (Teil 1), zeigt, wie ein empfangender Mailserver deinen DMARC-Eintrag auf dem DNS-Server sucht
Wie DMARC funktioniert (1)
  1. Gemäß der DMARC-Richtlinie führt der empfangende Mailserver die DMARC-, SPF- und DKIM-Authentifizierungstests durch und prüft, ob die Domain im Von-Feld der Nachricht mit der Domain in SPF und DKIM „übereinstimmt“.
    • Für SPF muss das Von-Feld mit der Domain im Rückwegpfad-Feld im E-Mail-Header übereinstimmen.
    • Für DKIM muss das Von-Feld mit der Domain (d) in der DKIM-Signatur übereinstimmen.
  2. Wenn die Nachricht sowohl den Authentifizierungs- als auch den Übereinstimmungstest für entweder SPF oder DKIM besteht, dann besteht sie auch DMARC. Scheitert sie entweder am Authentifizierungstest oder am Übereinstimmungstest für sowohl SPF als auch DKIM, dann scheitert sie an DMARC.
Wie DMARC funktioniert (Teil 2), zeigt, wie DMARC sowohl die Authentifizierung als auch die Domainübereinstimmung für SPF und DKIM prüft
Wie DMARC funktioniert (2)
  1. Wenn eine Nachricht DMARC nicht besteht, leitet der Mailserver sie gemäß der DMARC-Richtlinie (keine Aktion/Quarantäne/Blockierung) weiter.
  2. Mailserver, die Nachrichten von deiner Domain erhalten, senden regelmäßige E-Mails mit Authentifizierungsergebnissen an dich, den Domaininhaber (vorausgesetzt, du hast eine Berichtsadresse in deinem DMARC-Eintrag angegeben und der Mailserver ist so eingerichtet, dass er DMARC-Berichte sendet).
Wie DMARC funktioniert (Teil 3), zeigt, wie DMARC E-Mails gemäß den DMARC-Richtlinienoptionen (keine Aktion/Quarantäne/Blockierung) weiterleitet
Wie DMARC funktioniert (3)

Was ist eine DMARC-Richtlinie?

Eine DMARC-Richtlinie ermöglicht es einem Domaininhaber festzulegen, was ein empfangender Mailserver mit E-Mails tun soll, die DMARC nicht bestehen, also sowohl SPF als auch DKIM nicht bestehen.

Es gibt drei Optionen für DMARC-Richtlinien, die durch das Tag „p=“ in einem DMARC-Eintrag angegeben werden:

  • p=keine Aktion: Keine Maßnahme ergreifen, also werden alle Nachrichten, die die Authentifizierung nicht bestehen, zugestellt.
  • p=Quarantäne: Gescheiterte Nachrichten in den Spamordner senden.
  • p=Blockierung: Gescheiterte Nachrichten blockieren, sodass sie nicht zugestellt werden.

p=keine Aktion kann nützlich sein, wenn du eine neue Domain hast und sicherstellen möchtest, dass deine legitimen E-Mails zugestellt werden. Mit p=keine Aktion werden alle Nachrichten unabhängig von der Authentifizierung zugestellt, und du erhältst E-Mail-Berichte, die du nutzen kannst, um Authentifizierungsprobleme zu erkennen.

Sobald du jedoch sicher bist, dass deine E-Mail korrekt konfiguriert ist, empfehlen wir den Wechsel zu p=Quarantäne, wodurch gescheiterte Nachrichten in den Spamordner gesendet werden.

Wenn du denkst, dass du wahrscheinlich Ziel von E-Mail-Fälschung sein könntest, stelle p=Blockierung ein. Beispielsweise nutzen Seiten wie PayPal und eBay p=Blockierung, weil sie von Spammern und Betrügern angegriffen werden, die sich als ihre Domains ausgeben.

Was ist ein DMARC-Eintrag?

Ein DMARC-Eintrag ist eine Art DNS-Texteintrag(neues Fenster), der empfangenden Mailserven mitteilt, dass eine Domain durch DMARC-Authentifizierung geschützt ist. Typischerweise beinhalten DMARC-Einträge:

  • Eine DMARC-Richtlinie, die empfangenden Mailserven mitteilt, was zu tun ist, wenn eine E-Mail SPF und DKIM-Authentifizierung nicht besteht
  • Eine optionale E-Mail-Adresse, wohin Mailserven DMARC-Berichte über die Authentifizierung von E-Mails, die von dieser Domain gesendet wurden, senden können.

Ein DMARC-Eintrag besteht aus einer Reihe von Tags, wie v=DMARC1, p=Quarantäne usw.

Beispiel für einen DMARC-Eintrag

Hier ist ein Beispiel für einen DMARC-Eintrag mit einer Erläuterung der Bedeutung der Tags unten:

DMARC-Eintrag-Beispiel beim Domainregistrar Namecheap
  • v=DMARC1: Die DMARC-Versionnummer. Jeder DMARC-Eintrag muss mit diesem Tag beginnen.
  • p=quarantine: Die DMARC-Richtlinie, die den empfangenden Mailserver anweist, Nachrichten, die DMARC nicht bestehen, in den Spam-Ordner zu verschieben. Dieser Wert kann auch p=none oder p=reject sein (erfahre mehr über DMARC-Richtlinien oben).
  • rua=nutzer@deinedomain.de: Gibt die Adresse an, die DMARC-Zusammenfassungsberichte erhalten soll, welche dir eine statistische Übersicht über den gesamten E-Mail-Verkehr deiner Domain bieten. Du kannst auch das Tag ruf= (zum Beispiel ruf=nutzer@deinedomain.de) verwenden, um detailliertere, forensische DMARC-Berichte über den Authentifizierungsstatus deiner E-Mails zu erhalten.

Es gibt 11 verschiedene Tags, die zu einem DMARC-Eintrag hinzugefügt werden können, aber nur v und p sind erforderlich.

Andere gängige Tags sind adkim und aspf, die festlegen, wie streng die Domain im From-Feld mit der Domain in DKIM- und SPF-Überprüfungen übereinstimmen muss (siehe wie DMARC funktioniert oben für Details). Der Wert kann entweder „streng“ (s), was eine exakte Übereinstimmung erfordert, oder „entspannt“ (r), was Unterdomänen zulässt, sein.

Wenn du beispielsweise den Wert adkim=s für deine Domain (deinedomain.de) festlegst, werden nur E-Mails, die von @deinedomain.de gesendet werden, DMARC bestehen. Aber wenn du diesen Wert auf adkim=r änderst, werden auch E-Mails, die von Unterdomänen wie @news.deinedomain.de oder @info.deinedomain.de gesendet werden, DMARC bestehen.

Wenn du eine strenge Übereinstimmung beibehalten und Unterdomänen zulassen möchtest, kannst du einfach einen separaten DMARC-Eintrag für jede Unterdomäne hinzufügen.

Warum DMARC verwenden?

Wenn du eine eigene Domain hast, empfehlen wir dringend, DMARC zusammen mit SPF und DKIM einzurichten. Hier sind die Gründe:

Schütze deine Domain

DMARC authentifiziert die Absenderadresse in deinen E-Mails, was es Betrügern erschwert, deine Domain zu imitieren. Die Implementierung von DMARC hilft also dabei, Angreifer daran zu hindern, deine Domain für Spam- oder Phishing-Angriffe zu missbrauchen.

Verbessere die Zustellbarkeit von E-Mails

E-Mails, die mit DMARC gesendet werden, sehen legitim aus und können leicht verifiziert werden. Daher verringert die Implementierung von DMARC die Wahrscheinlichkeit, dass deine E-Mails im Spam-Ordner landen. Und je mehr du authentifizierte E-Mails sendest, desto mehr baust du langfristig den Ruf deiner Domain als Absender bei E-Mail-Dienstanbietern auf.

E-Mails problemlos diagnostizieren

Mit DMARC kannst du regelmäßige Berichte erhalten, die es dir ermöglichen, die Authentifizierung deiner E-Mails zu überwachen und zu verfolgen, wer E-Mails sendet. So kannst du Authentifizierungsprobleme beheben und Spammer oder Betrüger erkennen, die deine Domain missbrauchen.

DMARC ganz einfach mit Proton Mail einrichten

DMARC zusammen mit SPF und DKIM zu verwenden, ist der effektivste Weg, um zu verhindern, dass deine Domain für Spam- oder Phishing-Angriffe missbraucht wird. Das Einrichten von DMARC kann jedoch knifflig sein, da es von der erfolgreichen Implementierung von SPF und/oder DKIM abhängt.

Deshalb haben wir einen einfachen Assistenten erstellt, der dir zeigt, wie es geht. Wähle einen Proton Mail kostenpflichtigen Plan, und wir führen dich Schritt für Schritt durch das Einrichten deiner eigenen Domain und das korrekte Konfigurieren von SPF, DKIM und DMARC.

Wähle Proton Mail Plus für eine einzelne Domain oder Proton Unlimited mit Unterstützung für drei Domains, 15 Adressen, 500 GB Speicherplatz und mehr.

Wenn du ein Unternehmen hast, kannst du DMARC ganz einfach einrichten, um die Domain deiner Marke mit Proton for Business zu schützen. Oder wenn du einfach nur sichere, private E-Mails ausprobieren möchtest, hol dir Proton Mail kostenlos.

Alle Proton Tarife beinhalten Ende-zu-Ende-verschlüsseltes Proton Mail, Proton Calendar, Proton Drive und Proton VPN(neues Fenster). Komm zu uns und bleib sicher!

Verwandte Artikel

A cover image for a blog describing the next six months of Proton Pass development which shows a laptop screen with a Gantt chart
en
Take a look at the upcoming features and improvements coming to Proton Pass over the next several months.
The Danish mermaid and the Dutch parliament building behind a politician and an unlocked phone
en
We searched the dark web for Danish, Dutch, and Luxembourgish politicians’ official email addresses. In Denmark, over 40% had been exposed.
Infostealers: What they are, how they work, and how to protect yourself
en
Discover insights about what infostealers are, where your stolen information goes, and ways to protect yourself.
Mockup of the Proton Pass app and text that reads "Pass Lifetime: Pay once, access forever"
en
Learn more about our exclusive Pass + SimpleLogin Lifetime offer. Pay once and enjoy premium password manager features for life.
A cover image for a blog announcing that Pass Plus will now include premium SimpleLogin features
en
We're changing the price of new Pass Plus subscriptions, which now includes access to SimpleLogin premium features.
Infinity symbol in purple with the words "Call for submissions" and "Proton Lifetime Fundraiser 7th Edition"
en
It’s time to choose the organizations we should support for the 2024 edition of our annual charity fundraiser.