Technical Reference · 2026 Edition

DMARC einrichten: Von p=none zu p=reject (Leitfaden 2026)

Der vollständige Schritt-für-Schritt-Leitfaden zur DMARC-Einrichtung im Jahr 2026. Vom p=none-Monitoring über p=quarantine bis zur p=reject-Durchsetzung — die Voraussetzung für die BIMI-Logoanzeige in Gmail und Apple Mail.

Last updated min read

DMARC. Schritt für Schritt.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist die unverzichtbare Voraussetzung für BIMI. Eine Domain mit p=none wird niemals ein Logo in Gmail oder Apple Mail anzeigen — unabhängig davon, wie perfekt die SVG-Datei konfiguriert ist. Dieser Leitfaden behandelt den vollständigen Weg von der Ersteinrichtung bis zur vollständigen Durchsetzung.

Voraussetzungen

Bevor Sie einen DMARC-Eintrag erstellen, stellen Sie sicher, dass Folgendes bereits vorhanden ist:

  1. SPF-Eintrag — Ein TXT-Eintrag auf Ihrer Apex-Domain, der festlegt, welche Mailserver berechtigt sind, in Ihrem Namen zu versenden. Beispiel: v=spf1 include:_spf.google.com -all
  2. DKIM-Eintrag — Ein im DNS veröffentlichter öffentlicher Schlüssel, den empfangende Server zur Überprüfung Ihrer E-Mail-Signaturen verwenden. Dieser wird von Ihrem E-Mail-Anbieter generiert.
  3. DNS-Zugang — Schreibzugriff auf die DNS-Zone Ihrer Domain (Cloudflare, Route 53, GoDaddy oder das Control Panel Ihres Registrars).

DMARC erfordert, dass mindestens SPF oder DKIM korrekt konfiguriert und mit der From:-Domain abgestimmt (aligned) ist, bevor es funktioniert.

Schritt 1: Monitoring-Eintrag erstellen (p=none)

Beginnen Sie mit einer reinen Monitoring-Policy. Diese zeichnet Authentifizierungsfehler auf, ohne die Zustellung zu beeinträchtigen.

text
_dmarc.ihredomain.com  IN  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"

Tag-Referenz:

| Tag | Erforderlich | Beschreibung | |---|---|---| | v=DMARC1 | Ja | Protokollversion. Muss an erster Stelle stehen. | | p=none | Ja | Policy: Nur Monitoring, keine Maßnahme. | | rua=mailto: | Empfohlen | E-Mail-Adresse für Aggregate-Reports. | | pct=100 | Optional | Prozentsatz der E-Mails, die der Policy unterliegen (Standard: 100). |

Veröffentlichen Sie diesen Eintrag und warten Sie 48–72 Stunden auf die DNS-Propagierung.

Schritt 2: Aggregate-Reports analysieren

Aggregate-Reports (RUA) werden als XML-Anhänge zugestellt, typischerweise einmal täglich pro Versandquelle. Sie zeigen:

  • Welche IP-Adressen E-Mails unter Ihrer Domain versendet haben
  • Ob SPF und DKIM bestanden oder fehlgeschlagen sind
  • Wie viele Nachrichten von jeder Quelle versendet wurden

Worauf Sie achten sollten: Jeder legitime Versanddienst (Ihr ESP, CRM, Ticketsystem, Marketing-Plattform), der die SPF- oder DKIM-Alignment-Prüfung nicht besteht, muss korrigiert werden, bevor Sie zur Durchsetzung übergehen. Ein Wechsel zu p=reject mit ungelösten Alignment-Problemen führt dazu, dass legitime E-Mails blockiert werden.

Häufige Quellen, die eine separate DKIM/SPF-Konfiguration erfordern: Mailchimp, Salesforce, HubSpot, Zendesk, SendGrid, Google Workspace, Microsoft 365.

Schritt 3: Wechsel zu p=quarantine

Sobald alle legitimen Versandquellen die Authentifizierung bestehen, aktualisieren Sie die Policy, um fehlgeschlagene Nachrichten in Quarantäne zu verschieben:

text
_dmarc.ihredomain.com  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"

Beginnen Sie mit pct=25, um die Quarantäne-Policy nur auf 25 % der fehlgeschlagenen Nachrichten anzuwenden. Beobachten Sie ein bis zwei Wochen. Wenn keine legitimen E-Mails in Quarantäne verschoben werden, erhöhen Sie auf pct=100.

Schritt 4: Wechsel zu p=reject

Vollständige Durchsetzung. Nicht authentifizierte Nachrichten werden direkt abgelehnt und niemals zugestellt.

text
_dmarc.ihredomain.com  IN  TXT  "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"

Dies ist die Mindestanforderung für BIMI. Gmail und Apple Mail verarbeiten Ihren BIMI-Eintrag nur, wenn Ihre Domain p=quarantine oder p=reject mit pct=100 hat. Eine Policy von p=none ist für BIMI unsichtbar — das Logo wird niemals erscheinen, unabhängig davon, wie korrekt der Rest der Einrichtung konfiguriert ist.

Warum p=none BIMI blockiert

Die BIMI-Spezifikation erfordert, dass Mailbox-Anbieter verifizieren, dass die sendende Domain eine durchgesetzte DMARC-Policy hat, bevor sie das Logo anzeigen. Die Begründung: Ein Logo ist ein Vertrauenssignal. Ein Logo für eine Domain anzuzeigen, die keine Anti-Spoofing-Kontrollen durchsetzt, würde es Angreifern ermöglichen, verifizierte Logos in Phishing-E-Mails anzuzeigen. p=none bietet keine Durchsetzung, daher verweigern Anbieter die Verarbeitung des BIMI-Eintrags.

Alignment: Das Detail, das die meisten Leitfäden überspringen

DMARC besteht nur, wenn die authentifizierte Domain mit der From:-Header-Domain übereinstimmt (aligned). Es gibt zwei Alignment-Modi:

  • Relaxed (Standard): Die Organisations-Domain muss übereinstimmen. mail.example.com stimmt mit example.com überein.
  • Strict: Die exakte Domain muss übereinstimmen. mail.example.com stimmt nicht mit example.com überein.

Für BIMI verwenden Sie relaxed Alignment (adkim=r; aspf=r), es sei denn, Sie haben einen spezifischen Grund für strict. Strict Alignment verursacht Fehler bei Subdomains und Drittanbieter-Versanddiensten.

Vollständige Eintrag-Referenz

text
_dmarc.ihredomain.com  IN  TXT  "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"

| Tag | Wert | Bedeutung | |---|---|---| | p=reject | Reject | Nicht authentifizierte E-Mails blockieren | | sp=reject | Reject | Gleiche Policy auf Subdomains anwenden | | adkim=s | Strict | DKIM-Alignment muss exakt sein | | aspf=s | Strict | SPF-Alignment muss exakt sein | | rua= | E-Mail | Ziel für Aggregate-Reports | | pct=100 | 100 % | Auf alle E-Mails anwenden |

Nächste Schritte

Sobald Ihre Domain p=reject erreicht hat:

  1. Erstellen Sie Ihr BIMI-SVG — Verwenden Sie makeBIMI™, um eine W3C SVG Tiny P/S-konforme Logodatei zu erstellen. Kostenlos, keine Registrierung erforderlich.
  2. Führen Sie ein DMARC-Audit durch — Das makeBIMI Domain Audit-Tool überprüft Ihren DMARC-, SPF- und BIMI-Eintragsstatus in Echtzeit.
  3. Beantragen Sie ein Zertifikat — Für die Logo-Anzeige in Gmail ist ein VMC oder CMC erforderlich. veriBIMI℠ begleitet den gesamten Zertifikatsprozess, einschließlich DMARC-Durchsetzungs-Management, SVG-Vorbereitung und CA-Antrag.