Authentication · RFC 7489 · Aktualisiert May 2026

DMARC

Domain-based Message Authentication, Reporting and Conformance

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist eine E-Mail-Authentifizierungs-Policy-Schicht (RFC 7489), die Empfängern vorgibt, wie bei SPF- oder DKIM-Fehlschlägen zu verfahren ist, und sie zugleich auffordert, aggregierte oder forensische Reports an den Domain-Eigentümer zurückzusenden.

§1

Definition

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist die Policy-Schicht über SPF und DKIM, definiert in RFC 7489. SPF und DKIM prüfen jeweils ein eigenes Signal; DMARC teilt Empfängern zwei Dinge mit: (1) was zu tun ist, wenn keines der Signale mit dem sichtbaren From:-Header „alignt" (none / quarantine / reject), und (2) wohin aggregierte (RUA) und forensische (RUF) Reports zu mailen sind. Die Policy wird als TXT-Record unter _dmarc.{domain} veröffentlicht.

§2

Syntax 

v=DMARC1; p=none; rua=mailto:dmarc-agg@ihreunternehmen.de; pct=100; adkim=r; aspf=r

Die wichtigsten Tags:

  • p= — Policy: none (nur monitoren), quarantine (Spam-Ordner), reject (Bounce).
  • rua= — Ziel für aggregierte Reports (eine tägliche XML pro Empfänger).
  • ruf= — forensische / Failure-Reports (selten; nur wenige Empfänger versenden sie).
  • pct= — Prozentsatz der fehlschlagenden Mails, auf den die Policy angewandt wird (Rollout-Stellschraube).
  • adkim= / aspf= — Alignment-Modus: r relaxed (Übereinstimmung auf Ebene der organisationsweiten Domain) oder s strict (exakte From:-Übereinstimmung).

§3

Der Standard-Rollout

Das Überspringen von p=none ist der häufigste DMARC-Fehler — direkt zu p=reject auf einer Domain zu wechseln, deren Mailflüsse Sie noch nicht vollständig verstehen, lässt legitime Mail stillschweigend bouncen (Forwarder, Mailing-Listen, CRM-Tools). Der Standard-Rollout lautet: (1) p=none mit RUA-Reporting ausrollen und die täglichen Reports zwei bis vier Wochen lang beobachten; (2) die durch die Reports aufgedeckten nicht-authentifizierten Streams sanieren; (3) über p=quarantine; pct=1050100 hochfahren; (4) auf p=reject; pct=100 finalisieren, sobald die aggregierten Reports eine volle Woche lang null legitime Fehlschläge ausweisen.

§4

Warum DMARC 2026 zählt

Sowohl Google als auch Yahoo haben ihre Bulk-Sender-Policies im Februar 2024 aktualisiert und verlangen DMARC von jedem Absender, der 5.000 Nachrichten pro Tag an ihre Nutzer überschreitet (Google-Leitfaden). Für Self-Hosted-Betreiber, die AcelleMail mit Amazon SES im Skalierungsbetrieb fahren, ist DMARC-Alignment nicht länger optional — es ist Vorbedingung für die Inbox-Platzierung bei den beiden größten Mailbox-Providern.

Quellen

Jede Aussage auf dieser Seite lässt sich auf eine davon zurückführen.

Siehe auch

Verwandte Glossarbegriffe

Weiter durch das Cluster.

Authentication RFC 7208

SPF

Sender Policy Framework
Authentication RFC 6376

DKIM

DomainKeys Identified Mail
Metric

Email deliverability

Die Rate, mit der gesendete Nachrichten die Inbox des Empfängers erreichen
Vendor

Amazon SES

Amazon Simple Email Service

← Zurück zu allen Glossarbegriffen

Im Produktiveinsatz betreiben?

AcelleMail ist eine selbstgehostete E-Mail-Plattform mit Einmallizenz und vollwertiger Unterstützung für jeden Begriff in diesem Glossar. Keine wiederkehrenden Gebühren, keine Preise pro Abonnent, voller Quellcode.

Live-Demo testen

Betreiben Sie Ihr E-Mail-Marketing auf Ihrem eigenen Server, zu Ihren Bedingungen

Schließen Sie sich Tausenden von Unternehmen an, die die Kontrolle über ihr E-Mail-Marketing übernommen haben — mit vollem Quellcode, ohne wiederkehrende Gebühren und unbegrenztem Versand. Einmalige Lizenz für $80, lebenslange Updates.

Get the AcelleMail newsletter

Monthly issue with new releases, deliverability tips, and self-hosting playbooks. No spam.