DAllgemein

DMARC

E-Mail-Policy gegen Spoofing, baut auf SPF/DKIM auf.
1 Aufrufe

DMARC (Domain-based Message Authentication, Reporting & Conformance) ist eine E-Mail-Sicherheitsrichtlinie, die Spoofing und Phishing reduziert, indem sie die Ergebnisse von SPF und DKIM auswertet und dem empfangenden Mailserver vorgibt, wie mit nicht authentifizierten Nachrichten umzugehen ist (z. B. zustellen, in Quarantäne verschieben oder ablehnen). Zusätzlich liefert DMARC Berichte, um Fehlkonfigurationen und Missbrauch sichtbar zu machen.

Was bedeutet DMARC für KMU?

Für kleine und mittlere Unternehmen in Deutschland ist DMARC ein praxisnaher Schutz, um den eigenen Domainnamen vor Missbrauch zu schützen. Ohne DMARC können Angreifer E-Mails „im Namen“ Ihrer Firma versenden (z. B. gefälschte Rechnungen, CEO-Fraud, Passwort-Reset-Links). Das schädigt Kundenvertrauen, erhöht das Risiko von Datenpannen und kann zu finanziellen Schäden führen. DMARC hilft außerdem, die Zustellbarkeit legitimer E-Mails (Angebote, Rechnungen, Newsletter) zu verbessern, weil Mailprovider Ihrer Domain eher vertrauen.

Wie funktioniert DMARC?

  • Basis: DMARC baut auf SPF (wer darf senden?) und DKIM (wurde die Mail unterwegs verändert?) auf.
  • Alignment (Ausrichtung): DMARC prüft, ob die sichtbare Absenderdomain („From:“) zur SPF- oder DKIM-validierten Domain passt. Genau diese „From“-Domain sehen Ihre Kunden – deshalb ist Alignment entscheidend gegen Spoofing.
  • Policy: Sie definieren per DNS-TXT-Record, was passieren soll, wenn die Prüfung fehlschlägt: p=none (nur überwachen), p=quarantine (z. B. Spamordner), p=reject (ablehnen).
  • Reporting: DMARC kann Aggregatberichte (rua) und optional Forensikberichte (ruf) an eine Adresse senden. Damit sehen Sie, welche Systeme in Ihrem Namen E-Mails verschicken und wo Authentifizierung scheitert.

Praktische Umsetzung (typischer Ablauf)

  • 1) Inventar erstellen: Sammeln Sie alle legitimen Absender (Microsoft 365/Google Workspace, Newsletter-Tool, CRM, Ticketsystem, Website-Formulare, Scanner/MFP, externe Dienstleister).
  • 2) SPF/DKIM sauber konfigurieren: SPF-Einträge aktuell halten (inkl. Dienstleister) und DKIM für alle relevanten Versandplattformen aktivieren.
  • 3) DMARC mit „p=none“ starten: Erst beobachten, Berichte auswerten, Fehlquellen beheben (z. B. vergessener Newsletter-Dienst).
  • 4) Schrittweise verschärfen: Erst quarantine, dann reject – idealerweise mit Prozent-Rollout (pct=).
  • 5) Monitoring etablieren: Berichte regelmäßig prüfen oder über Tools/Dienstleister auswerten lassen; Änderungen an Versandquellen immer nachziehen.

Warum ist DMARC wichtig für IT-Sicherheit & Datenschutz?

DMARC ist keine direkte DSGVO-Pflicht „als Feature“, aber es unterstützt technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO, weil es Identitätsmissbrauch über E-Mail erschwert. Gerade bei Phishing-Angriffen kann es sonst zu unbefugten Zugriffen auf Postfächer, Abfluss personenbezogener Daten und meldepflichtigen Sicherheitsvorfällen kommen. DMARC senkt dieses Risiko messbar und verbessert Ihre Sicherheitsreife gegenüber Kunden, Partnern und Audits.

Was kostet DMARC?

Der DMARC-DNS-Eintrag selbst ist kostenlos. Kosten entstehen typischerweise durch Aufwand für Analyse, Korrekturen und laufendes Reporting: intern (IT/Admin-Zeit) oder über Tools/Managed Services. Für KMU ist häufig ein pragmatischer Ansatz sinnvoll: Start mit „p=none“, Berichte 2–4 Wochen sammeln, dann schrittweise auf „reject“ umstellen.

Beispiel für einen DMARC-Record

v=DMARC1; p=none; rua=mailto:dmarc-reports@ihrefirma.de; adkim=s; aspf=s; pct=100

Hinweis: Striktes Alignment (adkim=s, aspf=s) ist sicherer, kann aber bei Subdomains/Weiterleitungen Anpassungen erfordern.

Zahlen & Fakten

0%
Spoofing blockierbarMit korrekt eingerichtetem DMARC auf Basis von SPF und DKIM können KMU den Großteil gefälschter E-Mails im eigenen Domainnamen wirksam abweisen oder in Quarantäne verschieben.
0 von 4
ohne volle RichtlinieViele Unternehmen veröffentlichen zwar DMARC, nutzen aber noch keine strikte Durchsetzung per p=quarantine oder p=reject und verschenken damit Schutzpotenzial im B2B-Mailverkehr.
0%
weniger SupportaufwandKMU mit sauberem DMARC-Monitoring reduzieren häufig Rückfragen zu nicht zustellbaren oder verdächtigen E-Mails, was internen IT- und Supportaufwand spürbar senken kann.

Anwendungsfälle in der Praxis

Finanzen
Rechnungsversand vor gefälschten Absendern schützen
Ein KMU im Finanz- oder Verwaltungsbereich setzt DMARC ein, damit Kunden und Lieferanten nur echte Rechnungs- und Mahn-E-Mails der eigenen Domain erhalten. So sinkt das Risiko, dass Betrüger mit gefälschten Absenderadressen Zahlungsdaten manipulieren oder Vertrauen in die Kommunikation des Unternehmens beschädigen.

Bist du bereit für DMARC?

Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Weißt du, ob für deine Domain bereits SPF und DKIM korrekt eingerichtet sind?
Hast du für deine Domain schon einen DMARC-Record im DNS veröffentlicht?
Empfängst und prüfst du regelmäßig DMARC-Reports, um Missbrauch oder Fehlkonfigurationen zu erkennen?
Hast du deine DMARC-Policy bereits von "none" auf "quarantine" oder "reject" verschärft?
Sind alle legitimen Versandquellen in deinem Unternehmen so abgestimmt, dass DMARC zuverlässig besteht?

Ist deine E-Mail-Domain mit DMARC schon sauber abgesichert?

DMARC schützt dein Unternehmen nur dann zuverlässig, wenn SPF, DKIM und die gesamte Mail-Konfiguration korrekt zusammenspielen. Gerade in gewachsenen Tool-Landschaften entstehen hier schnell Lücken, doppelte Setups oder Fehlkonfigurationen, die Zustellbarkeit und Sicherheit gefährden. Im Tech-Gutachten analysiere ich deine bestehende E-Mail- und Systemlandschaft, prüfe Schwachstellen und zeige dir konkret, was angepasst werden sollte. So bekommst du keine vagen IT-Empfehlungen, sondern einen klaren Maßnahmenplan für eine sichere und funktionierende Umsetzung.

Häufig gestellte Fragen

Was ist DMARC?
DMARC ist eine E-Mail-Policy, die Spoofing verhindert, indem sie SPF- und DKIM-Ergebnisse prüft und dem Empfänger vorgibt, was bei fehlgeschlagener Authentifizierung passieren soll. Zusätzlich liefert DMARC Berichte über legitime und missbräuchliche Absender.