DMARC einrichten: Von p=none zu p=reject (Leitfaden 2026)
Der vollständige Schritt-für-Schritt-Leitfaden zur DMARC-Einrichtung im Jahr 2026. Vom p=none-Monitoring über p=quarantine bis zur p=reject-Durchsetzung — die Voraussetzung für die BIMI-Logoanzeige in Gmail und Apple Mail.
DMARC. Schritt für Schritt.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist die unverzichtbare Voraussetzung für BIMI. Eine Domain mit p=none wird niemals ein Logo in Gmail oder Apple Mail anzeigen — unabhängig davon, wie perfekt die SVG-Datei konfiguriert ist. Dieser Leitfaden behandelt den vollständigen Weg von der Ersteinrichtung bis zur vollständigen Durchsetzung.
Voraussetzungen
Bevor Sie einen DMARC-Eintrag erstellen, stellen Sie sicher, dass Folgendes bereits vorhanden ist:
- SPF-Eintrag — Ein TXT-Eintrag auf Ihrer Apex-Domain, der festlegt, welche Mailserver berechtigt sind, in Ihrem Namen zu versenden. Beispiel:
v=spf1 include:_spf.google.com -all - DKIM-Eintrag — Ein im DNS veröffentlichter öffentlicher Schlüssel, den empfangende Server zur Überprüfung Ihrer E-Mail-Signaturen verwenden. Dieser wird von Ihrem E-Mail-Anbieter generiert.
- DNS-Zugang — Schreibzugriff auf die DNS-Zone Ihrer Domain (Cloudflare, Route 53, GoDaddy oder das Control Panel Ihres Registrars).
DMARC erfordert, dass mindestens SPF oder DKIM korrekt konfiguriert und mit der From:-Domain abgestimmt (aligned) ist, bevor es funktioniert.
Schritt 1: Monitoring-Eintrag erstellen (p=none)
Beginnen Sie mit einer reinen Monitoring-Policy. Diese zeichnet Authentifizierungsfehler auf, ohne die Zustellung zu beeinträchtigen.
_dmarc.ihredomain.com IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"
Tag-Referenz:
| Tag | Erforderlich | Beschreibung |
|---|---|---|
| v=DMARC1 | Ja | Protokollversion. Muss an erster Stelle stehen. |
| p=none | Ja | Policy: Nur Monitoring, keine Maßnahme. |
| rua=mailto: | Empfohlen | E-Mail-Adresse für Aggregate-Reports. |
| pct=100 | Optional | Prozentsatz der E-Mails, die der Policy unterliegen (Standard: 100). |
Veröffentlichen Sie diesen Eintrag und warten Sie 48–72 Stunden auf die DNS-Propagierung.
Schritt 2: Aggregate-Reports analysieren
Aggregate-Reports (RUA) werden als XML-Anhänge zugestellt, typischerweise einmal täglich pro Versandquelle. Sie zeigen:
- Welche IP-Adressen E-Mails unter Ihrer Domain versendet haben
- Ob SPF und DKIM bestanden oder fehlgeschlagen sind
- Wie viele Nachrichten von jeder Quelle versendet wurden
Worauf Sie achten sollten: Jeder legitime Versanddienst (Ihr ESP, CRM, Ticketsystem, Marketing-Plattform), der die SPF- oder DKIM-Alignment-Prüfung nicht besteht, muss korrigiert werden, bevor Sie zur Durchsetzung übergehen. Ein Wechsel zu p=reject mit ungelösten Alignment-Problemen führt dazu, dass legitime E-Mails blockiert werden.
Häufige Quellen, die eine separate DKIM/SPF-Konfiguration erfordern: Mailchimp, Salesforce, HubSpot, Zendesk, SendGrid, Google Workspace, Microsoft 365.
Schritt 3: Wechsel zu p=quarantine
Sobald alle legitimen Versandquellen die Authentifizierung bestehen, aktualisieren Sie die Policy, um fehlgeschlagene Nachrichten in Quarantäne zu verschieben:
_dmarc.ihredomain.com IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"
Beginnen Sie mit pct=25, um die Quarantäne-Policy nur auf 25 % der fehlgeschlagenen Nachrichten anzuwenden. Beobachten Sie ein bis zwei Wochen. Wenn keine legitimen E-Mails in Quarantäne verschoben werden, erhöhen Sie auf pct=100.
Schritt 4: Wechsel zu p=reject
Vollständige Durchsetzung. Nicht authentifizierte Nachrichten werden direkt abgelehnt und niemals zugestellt.
_dmarc.ihredomain.com IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"
Dies ist die Mindestanforderung für BIMI. Gmail und Apple Mail verarbeiten Ihren BIMI-Eintrag nur, wenn Ihre Domain p=quarantine oder p=reject mit pct=100 hat. Eine Policy von p=none ist für BIMI unsichtbar — das Logo wird niemals erscheinen, unabhängig davon, wie korrekt der Rest der Einrichtung konfiguriert ist.
Warum p=none BIMI blockiert
Die BIMI-Spezifikation erfordert, dass Mailbox-Anbieter verifizieren, dass die sendende Domain eine durchgesetzte DMARC-Policy hat, bevor sie das Logo anzeigen. Die Begründung: Ein Logo ist ein Vertrauenssignal. Ein Logo für eine Domain anzuzeigen, die keine Anti-Spoofing-Kontrollen durchsetzt, würde es Angreifern ermöglichen, verifizierte Logos in Phishing-E-Mails anzuzeigen. p=none bietet keine Durchsetzung, daher verweigern Anbieter die Verarbeitung des BIMI-Eintrags.
Alignment: Das Detail, das die meisten Leitfäden überspringen
DMARC besteht nur, wenn die authentifizierte Domain mit der From:-Header-Domain übereinstimmt (aligned). Es gibt zwei Alignment-Modi:
- Relaxed (Standard): Die Organisations-Domain muss übereinstimmen.
mail.example.comstimmt mitexample.comüberein. - Strict: Die exakte Domain muss übereinstimmen.
mail.example.comstimmt nicht mitexample.comüberein.
Für BIMI verwenden Sie relaxed Alignment (adkim=r; aspf=r), es sei denn, Sie haben einen spezifischen Grund für strict. Strict Alignment verursacht Fehler bei Subdomains und Drittanbieter-Versanddiensten.
Vollständige Eintrag-Referenz
_dmarc.ihredomain.com IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"
| Tag | Wert | Bedeutung |
|---|---|---|
| p=reject | Reject | Nicht authentifizierte E-Mails blockieren |
| sp=reject | Reject | Gleiche Policy auf Subdomains anwenden |
| adkim=s | Strict | DKIM-Alignment muss exakt sein |
| aspf=s | Strict | SPF-Alignment muss exakt sein |
| rua= | E-Mail | Ziel für Aggregate-Reports |
| pct=100 | 100 % | Auf alle E-Mails anwenden |
Nächste Schritte
Sobald Ihre Domain p=reject erreicht hat:
- Erstellen Sie Ihr BIMI-SVG — Verwenden Sie makeBIMI™, um eine W3C SVG Tiny P/S-konforme Logodatei zu erstellen. Kostenlos, keine Registrierung erforderlich.
- Führen Sie ein DMARC-Audit durch — Das makeBIMI Domain Audit-Tool überprüft Ihren DMARC-, SPF- und BIMI-Eintragsstatus in Echtzeit.
- Beantragen Sie ein Zertifikat — Für die Logo-Anzeige in Gmail ist ein VMC oder CMC erforderlich. veriBIMI℠ begleitet den gesamten Zertifikatsprozess, einschließlich DMARC-Durchsetzungs-Management, SVG-Vorbereitung und CA-Antrag.