Domain-based Message Authentication, Reporting and Conformance 

Mit einem DMARC DNS-Eintrag lassen sich Empfehlungen definieren, wie der Empfänger mit einer E-Mail umgehen soll die nicht den SPF- oder DKIM-Vorgaben entsprechen.

Wir empfehlen SPF mit DKIM und DMARC zu benutzen.

Beachten

  • DMARC besteht nur aus einem TXT DNS-Eintrag der im Kundenportal im DNS-Manager erstellt werden kann.
  • Die Auswertung und Beachtung von SPF, DKIM und DMARC erfolgt beim empfangenden Mailserver! Dieser kann die Einstellungen auch ignorieren.

  • DMARC ist (default) ok, wenn zumindest SPF ODER DKIM erfolgreich sind.

    DMARC unterscheidet aber nicht zwischen einem weichen oder harten SPF-Fehler. Kein SPF oder ein Treffer mit ~all sind daher Fehler.
    Bei einem SPF hard fail (-all) kann das Email abgelehnt werden, ohne DKIM zu beachten.

  • Wir empfehlen daher in jedem Falle einen SPF-Eintrag mit ~all zu benutzen.
    Wir empfehlen SPF mit DKIM und DMARC zu konfigurieren.

 

SPF Policy ohne DMARC Mit DMARC
+ pass akzeptieren akzeptieren
? neutral wahrscheinlich akzeptieren DKIM benutzen
~ softfail wahrscheinlich zurückweisen (reject)  DKIM benutzen
- fail immer zurückweisen (reject) DKIM eventuell benutzen*

*Wenn SPF „hard“ fehlschlägt, kann die E-Mail bereits auf der SMTP-Ebene abgelehnt werden. Dies kann die DMARC- und DKIM-Auswertung verhindern.

 

Zurückweisen (reject) - empfohlen
Mit diesem Eintrag sollte der Empfänger alle E-Mails zurückweisen, wenn weder DKIM- noch SPF-Prüfung korrekt sind.
Ein Softfail bei SPF zählt dabei auch als Fehler.

_dmarc   TXT   v=DMARC1;p=reject

 

 


Oder als Spam markieren (quarantine)
Mit diesem Eintrag sollte der Empfänger alle E-Mails, die nicht mit Ergebnissen der DKIM- bzw. SPF-Prüfung übereinstimmen, als Spam bzw. verdächtig markieren. Gmail unterstützt "ruf" nicht.

_dmarc   TXT   v=DMARC1;p=quarantine

oder zusätzlich einen Statusbericht an die E-Mail-Adresse senden.

_dmarc   TXT   v=DMARC1;p=quarantine;ruf=mailto:dein-konto@dein-name.ch

 

Oder Testen (none) - nicht für Dauerbetrieb empfohlen!
Mit diesem Eintrag sollen alle E-Mails vom Empfänger angenommen werden. Ein Bericht aller E-Mails, die nicht mit den Ergebnissen der SPF- und DKIM-Prüfung übereinstimmen, wird an die erwähnte E-Mail-Adresse gesendet.

_dmarc   TXT   v=DMARC1;p=none;rua=mailto:dein-konto@dein-name.ch

Korrigieren Sie wenn nötig die SPF bzw. DKIM Einstellungen.
Wenn alles korrekt läuft, ändern Sie den Eintrag auf eine der unten stehenden Varianten.

 

Beachten

  • Erstellen Sie zuerst SPF, dann DKIM und dann DMARC.

  • Wenn der Mailserver mehrere Domains benutzt (Mailserver-Alias), so sollte im DNS-Server jeder dieser Domains der gleiche DMARC-Eintrag erstellt werden.

  • Es darf nur 1 DMARC-Eintrag pro Domain oder Subdomain erstellt werden. 

  • Der Test-Eintrag "p=none" ist nicht für Dauerbetrieb empfohlen und sollte nur Kurzzeitig online sein.

  • DMARC Einträge sind auch für Subdomains gültig.
Was this answer helpful? 2 Users Found This Useful (14 Votes)

Most Popular Articles

Kann ich Domainnamen mit Umlauten kaufen und benutzen?

Technisch ist es heute möglich Domain-Namen mit Umlauten zu verwenden. Wir raten Ihnen aber...
Neue Top Level Domains (nTDL)

nTLD sind neue Top Level Domains, also zusätzlich zu den traditionellen wie z.B. .ch .com...
DNS Server Clue Records?

Clue Records werden für IPv4 und IPv6 automatisch erstellt. Beim Speichern der Domain-Angaben...
Wieso funktioniert die DNS-Änderung nicht?

DNS-Einträge werden an verschiedensten Orten gepuffert: Beim Ihrem Zugangs-Provider Auf...
Warum nützt die Änderung des TTL-Wertes nicht (immer)?

TTL? Der TTL-Wert (time to live) sollte die Lebenszeit von DNS-Einträgen in den verschiedenen...