Domain-based Message Authentication, Reporting and Conformance basiert auf DKIM und SPF und funktioniert nur, wenn SPF oder DKIM bereits definiert sind.
Mit einem DMARC DNS-Eintrag lassen sich Empfehlungen definieren, wie der Empfänger mit einer E-Mail umgehen soll die nicht den SPF- oder DKIM-Angaben entsprechen.
Beachten
- DMARC besteht nur aus einem TXT DNS-Eintrag der im Kundenportal im DNS-Manager erstellt werden kann.
- Die Auswertung und Beachtung von SPF, DKIM und DMARC erfolgt beim empfangenden Mailserver! Dieser kann die Einstellungen auch ignorieren.
- Benutzen Sie als Email eine "Wegwerfadresse", die bei Bedarf gelöscht oder geändert werden kann.
- DMARC ist (default) ok, wenn zumindest DKIM ODER SPF erfolgreich sind.
DMARC unterscheidet aber nicht zwischen einem weichen oder harten SPF-Fehler. Kein SPF oder ein Treffer mit ~all sind daher Fehler.
D.h. wenn kein DKIM verwendet wird, so MUSS SPF mit -all benutzt werden und der Sender muss abgedeckt sein.
Wir empfehlen daher in jedem Falle einen SPF-Eintrag mit -all zu benutzen.
Zurückweisen (reject) - empfohlen
Mit diesem Eintrag sollte der Empfänger alle E-Mails zurückweisen, wenn weder DKIM- noch SPF-Prüfung korrekt sind.
Ein Softfail bei SPF zählt dabei auch als Fehler.
_dmarc TXT v=DMARC1;p=reject
Oder als Spam markieren (quarantine)
Mit diesem Eintrag sollte der Empfänger alle E-Mails, die nicht mit Ergebnissen der DKIM- bzw. SPF-Prüfung übereinstimmen, als Spam bzw. verdächtig markieren. Gmail unterstützt "ruf" nicht.
_dmarc TXT v=DMARC1;p=quarantine
oder zusätzlich einen Statusbericht an die E-Mail-Adresse senden.
_dmarc TXT v=DMARC1;p=quarantine;ruf=mailto:dein-konto@dein-name.ch
Oder Testen (none) - nicht für Dauerbetrieb empfohlen!
Mit diesem Eintrag sollen alle E-Mails vom Empfänger angenommen werden. Ein Bericht aller E-Mails, die nicht mit den Ergebnissen der SPF- und DKIM-Prüfung übereinstimmen, wird an die erwähnte E-Mail-Adresse gesendet.
_dmarc TXT v=DMARC1;p=none;rua=mailto:dein-konto@dein-name.ch
Korrigieren Sie wenn nötig die SPF bzw. DKIM Einstellungen.
Wenn alles korrekt läuft, ändern Sie den Eintrag auf eine der unten stehenden Varianten.
Beachten
- Erstellen Sie zuerst SPF, dann DKIM und dann DMARC.
- Wenn der Mailserver mehrere Domains benutzt (Mailserver-Alias), so sollte im DNS-Server jeder dieser Domains der gleiche DMARC-Eintrag erstellt werden.
- Es darf nur 1 DMARC-Eintrag erstellt werden.
- Der Test-Eintrag "p=none" ist nicht für Dauerbetrieb empfohlen und sollte nur Kurzzeitig online sein.
- DMARC Einträge sind auch für Subdomains gültig.
