Was ist DMARC?

E-Mail-Anbieter sind mittlerweile sehr gut darin, ungewollte Mails zu erkennen und auszusieben. Doch einige Spam-Nachrichten kommen immer noch durch und stellen damit ein potenzielles Risiko für Privatpersonen sowie Unternehmen dar.

Darum ist E-Mail-Authentifizierung wichtiger geworden. Das spiegelt sich auch darin wider, dass sowohl Yahoo als auch Google im Februar 2024 ihre Richtlinien aktualisiert haben. Sie fordern seitdem unter anderem, dass Vielversender von Massen-E-Mails das DMARC-Protokoll nutzen müssen, um ihre E-Mails zu authentifizieren.

Das sind die bislang umfangreichsten Sicherheitsanforderungen und es ist gut möglich, dass die beiden Anbieter diese noch verschärfen, sobald genug E-Mail-Sender die neuen Standards umsetzen.

Für E-Mail-Marketer bedeutet das daher: Sie sollten sich jetzt schon Gedanken über diese Sicherheitsstandards machen. Denn wer diese Richtlinien nicht erfüllt, dessen E-Mails werden nicht mehr verschickt. Und mit unverschickten Mails lässt sich kein Geld verdienen.

Im Folgenden blicken wir daher genauer darauf, was DMARC ist und inwiefern dieses Protokoll Ihr E-Mail-Marketing beeinflussen kann.

E-Mail bleibt nach wie vor der wichtigste digitale Kommunikationskanal, sowohl für Unternehmen als auch für Cyberkriminelle. Laut aktuellen Studien nimmt die Zahl von Phishing- und Spoofing-Angriffen weltweit stetig zu. Angreifer versuchen, sich als vertrauenswürdige Absender auszugeben, um sensible Daten wie Passwörter oder Kreditkartendaten zu erbeuten.

Für Versender bedeutet das: Selbst wenn sie selbst keinen Angriff verursachen, leidet ihre Marke, wenn Kriminelle ihre Domain missbrauchen. Neue Anforderungen von Google und Yahoo im Jahr 2024 zeigen klar, wie relevant das Thema ist – wer DMARC nicht nutzt, riskiert, dass seine Nachrichten gar nicht mehr zugestellt werden.

Die gute Nachricht: Mit der rechtzeitigen Einrichtung von DMARC können Unternehmen nicht nur ihrer rechtlichen und technischen Verantwortung gerecht werden, sondern auch einen wichtigen Wettbewerbsvorteil sichern. Authentifizierte Absender genießen das Vertrauen der Provider – und landen häufiger im Posteingang.

DMARC steht für domain-based message authentication reporting and conformance. Es handelt sich dabei also um ein Authentifizierungs-, Richtlinien- und Berichtsprotokoll für E-Mails.

Es wurde 2012 als Sicherheitsprotokoll von PayPal mithilfe von Google, Microsoft und Yahoo entwickelt. Das Protokoll soll eine Domain davor schützen, für Scams wie E-Mail-Spoofing oder Phishing-Angriffen missbraucht zu werden.

Es ist der dritte Schritt in einer Authentifizierungsprüfung nach SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail).

Wenn eine E-Mail an der Authentifizierungsprüfung von SPF und/oder DKIM scheitert, sagt DMARC dem Mailbox-Anbieter, was mit dieser E-Mail passieren soll. Dafür gibt es drei Optionen:

• E-Mail trotz gescheiterter Prüfung in den Posteingang schicken (p=none)
• E-Mail in den Spam-Ordner schicken (p=quarantine)
• E-Mail nicht zustellen (p=reject)

Ein DMARC-Eintrag (DMARC record) ist eine Code-Zeile, die zu Ihrem DNS TXT Eintrag hinzugefügt wird. Die Information in dieser Zeile bestimmt, was passieren soll, wenn die Authentifizierung scheitert:

"v=DMARC1;p=none;pct=100;rua=mailto:postmaster@dmarcdomain.com;ruf=mailto:dmarc@dmarcdomain.com;rf=afrf"

Das erste Tag (v=) ist einfach. Der Wert muss immer DMARC1 lauten. Es gibt bislang keine anderen Versionen, also benutzen Sie immer “1”.

Das zweite Tag (p=) weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten. Hier sind Ihre Optionen:

• None: Nachrichten werden protokolliert, aber keine Maßnahmen ergriffen.
• Quarantine: Nachrichten werden als Spam markiert.
• Reject: Nachrichten werden abgelehnt (es kommt zum Bounce).

Das dritte Tag ist rua= bzw. die E-Mail-Adresse, an die Ihre DMARC-Berichte gesendet werden.

So funktioniert DMARC mit den verschiedenen Richtlinien

Falls Sie den Eintrag nicht selbst erstellen möchten, verfügt der Dienst der Drittanbieter Dmarcian über eine kostenlose Funktion zur Generierung von Einträgen.

Aber Achtung, denn wenn Sie einen DMARC-Eintrag einfügen oder aktualisieren, sollten Sie vorher SPF und DKIM einstellen und mindestens 48 Stunden aktiviert haben, um Ihre Nachrichten zu authentifizieren.

Obwohl DMARC enorme Vorteile bietet, haben viele Unternehmen mit der Umsetzung anfangs Schwierigkeiten. Einer der häufigsten Stolpersteine ist der Zugang zu den DNS-Einträgen. Oft liegen diese bei externen Hosting-Providern, und die Verantwortlichkeiten im Unternehmen sind unklar.

Ein weiteres Problem ist die fehlende Abstimmung zwischen IT und Marketing: Während die IT-Abteilung für die technische Einrichtung verantwortlich ist, will Marketing sicherstellen, dass der Versand reibungslos weiterläuft. Wird DMARC zu streng konfiguriert (z. B. gleich mit „p=reject“), droht die Gefahr, dass auch legitime Newsletter oder automatisierte Transaktionsmails blockiert werden.

Hinzu kommt, dass viele Unternehmen die DMARC-Berichte nicht richtig auswerten. Dabei sind diese Reports entscheidend, um mögliche Probleme beim Versand frühzeitig zu erkennen.

Die Lösung: Mit einer klaren Rollenteilung zwischen Marketing und IT, einem schrittweisen Vorgehen (beginnend mit „p=none“) und unterstützenden Tools für die Analyse der Berichte lassen sich diese Herausforderungen zuverlässig meistern.

Das DMARC-Protokoll mag auf den ersten Blick nicht so relevant für E-Mail-Marketing erscheinen. Tatsächlich kann es aber einen Einfluss auf Kampagnen und den Ruf des Unternehmens haben.

Stellen wir uns folgendes Szenario vor. Sie haben SPF- und DKIM-Protokolle eingerichtet. Damit können E-Mail-Clients verifizieren, ob E-Mails, die von Ihrer Domain verschickt werden, authentisch sind.

Nun schalten sich aber Hacker dazwischen und nutzen Ihre vertrauenswürdige Domain, um per Spoofing „in Ihrem Domain-Namen“ Spam oder betrügerische E-Mails zu verschicken.

Dann können Mailbox-Anbieter zwar feststellen, dass diese betrügerischen Mails an den SPF- und DKIM-Protokollen scheitern, aber was passiert dann?

Wenn Sie als Unternehmen keine DMARC-Regeln festlegen, entscheiden die Voreinstellungen der Mailbox-Anbieter, was mit diesen Mails passiert. Im schlimmsten Fall kommen sie durch.

Das ist aus folgenden Gründen problematisch:

• Ihre Kunden sind einem Risiko oder lästigen Spam-Nachrichten ausgesetzt.
• Auch, wenn Sie selbst nichts für die Angriffe können, schaden solche Mails Ihrem Ruf als Unternehmen.
• E-Mail-Clients werten diese Nachrichten als Spam, der von Ihnen ausgeht. Damit sinkt Ihre Vertrauensbewertung, was langfristig dazu führen kann, dass auch legitime Marketing-E-Mails von Ihnen nicht mehr durchgestellt werden.
• Eine niedrigere Zustellbarkeitsrate bedeutet, dass Ihre Marketing-Mails seltener ankommen, Ihre Kampagnen weniger Nutzer erreichen – und Sie somit bares Geld verlieren.

Zusammengefasst heißt das: Ohne DMARC-Protokoll riskieren Sie Ihren Ruf, Sie schaden Ihren Kampagnen und setzen auch Kunden einem Sicherheitsrisiko aus.

Gehen Sie mit DMARC auf Nummer sicher und schützen Sie Ihren E-Mail-Versand

Seit 2024 gelten für Yahoo! Mail und Gmail neue Anforderungen zu SPF, DKIM und DMARC. Massenversender, die über 5 000 E-Mails pro Tag verschicken, müssen alle drei Protokolle, inklusive DMARC, nachweisen.

Es gibt zwar keine Richtlinien dazu, welche DMARC-Option Massenversender festlegen sollen. Wir empfehlen aber eine der beiden strengeren Einstellungen (Quarantäne oder Abweisung), um so Ihr Unternehmen sowie Ihre Empfänger besser vor Spam oder Angriffen wie Phishing oder Spoofing zu schützen.

Das DMARC-Protokoll bietet Ihnen gleich mehrere Vorteile.

1. Sie erhöhen damit den Schutz vor Angriffen oder Spam für Ihre Empfänger.
2. Sie schützen Ihre eigene Domain besser vor Attacken wie Spoofing oder Phishing.
3. Sie verbessern ebenfalls die Vertrauensbewertung Ihrer Domain, was Ihre Zustellbarkeitsrate erhöht.
4. Wenn Sie als Domain-Inhaber einen DMARC-Eintrag in Ihrem DNS-Eintrag einrichten, erhalten Sie außerdem einen Überblick darüber, wer E-Mails im Namen Ihrer Domain versendet. Das bedeutet, dass niemand in der Lage sein wird, Ihre Domain zu missbrauchen.

Die Vorteile von DMARC.

Übrigens: Mit BIMI (Brand Indicators for Message Identification) gibt es seit Neuestem auch einen weiteren Sicherheitsstandard. BIMI erlaubt es Unternehmen, das eigene Logo neben dem Namen in der E-Mail mitzuverschicken.

Verschicken Sie E-Mails mit BIMI-Logos.

Das BIMI-Logo können Sie aber nur dann verschicken, wenn Sie SPF und DKIM eingerichtet haben und Ihre DMARC-Einstellungen auf die strikten Optionen „p=quarantine“ (Quarantäne) oder „p=reject“ (zurückweisen) gesetzt haben.

SPF, DKIM und DMARC sind keine isolierten Sicherheitsmaßnahmen, sondern greifen ineinander wie Bausteine eines Schutzschilds.

SPF prüft, ob die Absender-IP autorisiert ist, DKIM stellt sicher, dass der Inhalt der E-Mail nicht verändert wurde, und DMARC legt fest, wie Provider mit Nachrichten umgehen, die bei den Prüfungen scheitern.

Wer alle drei Protokolle korrekt konfiguriert, schafft eine zuverlässige Grundlage für eine hohe Zustellbarkeitsrate.

Doch DMARC geht noch einen Schritt weiter: Es ermöglicht nicht nur Kontrolle und Schutz, sondern auch Transparenz durch die regelmäßigen Berichte.

Ein zusätzlicher Bonus ergibt sich mit BIMI (Brand Indicators for Message Identification). Unternehmen, die SPF, DKIM und DMARC sauber eingerichtet haben und DMARC mindestens auf „quarantine“ oder „reject“ setzen, können ihr Markenlogo direkt im Posteingang neben dem Absendernamen anzeigen lassen.

Das verstärkt die Markenwahrnehmung, schafft Vertrauen – und hebt Marketing-Mails deutlich von der Masse ab.

Die DMARC-Validierung von E-Mails läuft folgendermaßen ab:

1. Der Domain-Besitzer setzt seine DMARC-Richtlinie (DMARC policy) auf. Dazu wählt er eine der drei Optionen aus, die den empfangenden Servern sagen, was sie mit einer E-Mail machen sollen, die die Authentifizierungsmethoden per SPF und DKIM nicht bestanden hat. Das wird dann Teil des DNS-Eintrags der Domain.
2. Wenn ein Mailbox-Anbieter wie Google oder Yahoo eine E-Mail von Ihrer Domain bekommt, sucht dieser Anbieter nach der DMARC-Richtlinie der Absender-Domain. Diese erscheint in der Kopfzeile dieser E-Mail. Der Anbieter bewertet die Nachricht dann nach folgenden Faktoren:
   • Ist die DKIM-Signatur korrekt?
   • Ist die Sender-IP in Ihrem SPF-Eintrag?
   • Zeigen die Kopfzeilen in der Nachricht das korrekte Domain-Alignment?
3. Sobald all diese Informationen zusammengetragen wurden, entscheidet der E-Mail-Anbieter nach Ihren DMARC-Richtlinien, was mit der Nachricht passiert.
4. Sie bekommen dann einen DMARC-Bericht (wenn Sie dies aktiviert haben), um Sie als Domain-Besitzer über den Versand zu informieren.

Sobald DMARC sicher eingerichtet ist, werden nach und nach Berichte in Ihrem Posteingang eintrudeln. Diese Berichte informieren Sie über Folgendes:

• Welche Server oder Dritte von Ihrer Domain aus E-Mails versenden und ob diese die Authentifizierung bestehen
• Wie der jeweilige Eingangsserver auf nicht authentifizierte E-Mails reagiert
• Wie hoch der Gesamtprozentsatz der DMARC-Erfolgsquote ist.

Das optionale Berichts-Tag ruf= teilt ISPs mit, wohin sie Fehlerberichte (auch forensische Berichte genannt) schicken sollen. Dieses Tag wird zwar aus Datenschutzgründen nicht von allen E-Mail-Anbietern unterstützt (z. B. Gmail), doch es ermöglicht Ihnen mehr Einblicke in die abgelehnten E-Mail-Inhalte als ein aggregierter Standardbericht.

Berichte haben zwei verschiedene Typen: aggregiert und forensisch: Diese Berichte unterstützen Sie dabei, sicherzustellen, dass Sie Ihre ausgehenden E-Mails ordnungsgemäß authentifizieren.

Aggregierte Berichte

Bei aggregierten Berichten handelt es sich um XML-Dokumente, die Daten über die empfangenen Nachrichten anzeigen, die angeblich aus einer bestimmten Domain stammen. Diese Berichte im XML-Rohformat sind maschinenlesbar.

Forensische Berichte

Forensische Berichte enthalten einzelne Kopien von Nachrichten, bei denen die Authentifizierung fehlgeschlagen ist, die jeweils in einer vollständigen E-Mail-Nachricht mit einem speziellen Format namens AFRF enthalten sind.

Die Informationen, die diese Berichte enthalten könnten, sind:

• Betreffzeile
• Uhrzeit, zu der die Nachricht empfangen wurde
• IP-Informationen
• Authentifizierungsergebnisse
  • SPF-Ergebnis
  • DKIM-Ergebnis
  • DMARC-Ergebnis
• Domain-Informationen
  • Von dieser Absender-Adresse
  • E-Mail von dieser Adresse
  • DKIM von dieser Adresse
• Nachrichten-ID
• URLs
• Ergebnis der Zustellbarkeit
• Angewandte Richtlinie
• ISP-Informationen

Das DMARC-Protokoll macht den E-Mail-Versand sowohl für Unternehmen als auch für Empfänger sicherer.

Denn mit diesem E-Mail-Authentifizierungsprozess wird niemand mehr Ihre E-Mail-Domain spoofen können. Das heißt: Nutzer bekommen weniger betrügerische Nachrichten und Ihr Ruf wird nicht missbraucht.

Das führt unterm Strich zu einem besseren Image und höherer Zustellbarkeit.