DAllgemein

DMARC

E-Mail-Policy gegen Spoofing, baut auf SPF/DKIM auf.

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist eine E-Mail-Sicherheitsrichtlinie, die Spoofing und Phishing reduziert, indem sie die Ergebnisse von SPF und DKIM auswertet und dem empfangenden Mailserver vorgibt, wie mit nicht authentifizierten Nachrichten umzugehen ist (z. B. zustellen, in Quarantäne verschieben oder ablehnen). Zusätzlich liefert DMARC Berichte, um Fehlkonfigurationen und Missbrauch sichtbar zu machen.

Was bedeutet DMARC für KMU?

Für kleine und mittlere Unternehmen in Deutschland ist DMARC ein praxisnaher Schutz, um den eigenen Domainnamen vor Missbrauch zu schützen. Ohne DMARC können Angreifer E-Mails „im Namen“ Ihrer Firma versenden (z. B. gefälschte Rechnungen, CEO-Fraud, Passwort-Reset-Links). Das schädigt Kundenvertrauen, erhöht das Risiko von Datenpannen und kann zu finanziellen Schäden führen. DMARC hilft außerdem, die Zustellbarkeit legitimer E-Mails (Angebote, Rechnungen, Newsletter) zu verbessern, weil Mailprovider Ihrer Domain eher vertrauen.

Wie funktioniert DMARC?

  • Basis: DMARC baut auf SPF (wer darf senden?) und DKIM (wurde die Mail unterwegs verändert?) auf.
  • Alignment (Ausrichtung): DMARC prüft, ob die sichtbare Absenderdomain („From:“) zur SPF- oder DKIM-validierten Domain passt. Genau diese „From“-Domain sehen Ihre Kunden – deshalb ist Alignment entscheidend gegen Spoofing.
  • Policy: Sie definieren per DNS-TXT-Record, was passieren soll, wenn die Prüfung fehlschlägt: p=none (nur überwachen), p=quarantine (z. B. Spamordner), p=reject (ablehnen).
  • Reporting: DMARC kann Aggregatberichte (rua) und optional Forensikberichte (ruf) an eine Adresse senden. Damit sehen Sie, welche Systeme in Ihrem Namen E-Mails verschicken und wo Authentifizierung scheitert.

Praktische Umsetzung (typischer Ablauf)

  • 1) Inventar erstellen: Sammeln Sie alle legitimen Absender (Microsoft 365/Google Workspace, Newsletter-Tool, CRM, Ticketsystem, Website-Formulare, Scanner/MFP, externe Dienstleister).
  • 2) SPF/DKIM sauber konfigurieren: SPF-Einträge aktuell halten (inkl. Dienstleister) und DKIM für alle relevanten Versandplattformen aktivieren.
  • 3) DMARC mit „p=none“ starten: Erst beobachten, Berichte auswerten, Fehlquellen beheben (z. B. vergessener Newsletter-Dienst).
  • 4) Schrittweise verschärfen: Erst quarantine, dann reject – idealerweise mit Prozent-Rollout (pct=).
  • 5) Monitoring etablieren: Berichte regelmäßig prüfen oder über Tools/Dienstleister auswerten lassen; Änderungen an Versandquellen immer nachziehen.

Warum ist DMARC wichtig für IT-Sicherheit & Datenschutz?

DMARC ist keine direkte DSGVO-Pflicht „als Feature“, aber es unterstützt technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO, weil es Identitätsmissbrauch über E-Mail erschwert. Gerade bei Phishing-Angriffen kann es sonst zu unbefugten Zugriffen auf Postfächer, Abfluss personenbezogener Daten und meldepflichtigen Sicherheitsvorfällen kommen. DMARC senkt dieses Risiko messbar und verbessert Ihre Sicherheitsreife gegenüber Kunden, Partnern und Audits.

Was kostet DMARC?

Der DMARC-DNS-Eintrag selbst ist kostenlos. Kosten entstehen typischerweise durch Aufwand für Analyse, Korrekturen und laufendes Reporting: intern (IT/Admin-Zeit) oder über Tools/Managed Services. Für KMU ist häufig ein pragmatischer Ansatz sinnvoll: Start mit „p=none“, Berichte 2–4 Wochen sammeln, dann schrittweise auf „reject“ umstellen.

Beispiel für einen DMARC-Record

v=DMARC1; p=none; rua=mailto:dmarc-reports@ihrefirma.de; adkim=s; aspf=s; pct=100

Hinweis: Striktes Alignment (adkim=s, aspf=s) ist sicherer, kann aber bei Subdomains/Weiterleitungen Anpassungen erfordern.