Zustellbarkeit
Was ist DMARC?
DMARC ist nicht nur ein Sicherheitsstandard zur E-Mail-Authentifizierung, sondern ein Prozess, mit dem Sie Ihr E-Mail-Programm vor Spoofing schützen. Wir erklären Ihnen, wie das DMARC-Protokoll funktioniert.
E-Mail-Anbieter sind mittlerweile sehr gut darin, ungewollte Mails zu erkennen und auszusieben. Doch einige Spam-Nachrichten kommen immer noch durch und stellen damit ein potenzielles Risiko für Privatpersonen sowie Unternehmen dar.
Darum ist E-Mail-Authentifizierung wichtiger geworden. Das spiegelt sich auch darin wider, dass sowohl Yahoo als auch Google im Februar 2024 ihre Richtlinien aktualisiert haben. Sie fordern seitdem unter anderem, dass Vielversender von Massen-E-Mails das DMARC-Protokoll nutzen müssen, um ihre E-Mails zu authentifizieren.
Das sind die bislang umfänglichsten Sicherheitsanforderungen und es ist gut möglich, dass die beiden Anbieter diese noch verschärfen, sobald genug E-Mail-Sender die neuen Standards umsetzen.
Für E-Mail-Marketer bedeutet das daher: Sie sollten sich jetzt schon Gedanken über diese Sicherheitsstandards machen. Denn wer diese Richtlinien nicht erfüllt, dessen E-Mails werden nicht mehr verschickt. Und mit unverschickten Mails lässt sich kein Geld verdienen.
Im Folgenden blicken wir daher genauer darauf, was DMARC ist und inwiefern dieses Protokoll Ihr E-Mail-Marketing beeinflussen kann.
Was ist DMARC?
DMARC steht für domain-based message authentication reporting and conformance. Es handelt sich dabei also um ein Authentifizierungs-, Richtlinien- und Berichtsprotokoll für E-Mails.
Es wurde 2012 als Sicherheitsprotokoll von PayPal mithilfe von Google, Microsoft und Yahoo entwickelt. Das Protokoll soll eine Domain davor schützen, für Scams wie E-Mail-Spoofing oder Phishing-Angriffen missbraucht zu werden.
Es ist der dritte Schritt in einer Authentifizierungsprüfung nach SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail).
Wenn eine E-Mail an der Authentifizierungsprüfung von SPF und/oder DKIM scheitert, sagt DMARC dem Mailbox-Anbieter, was mit dieser E-Mail passieren soll. Dafür gibt es drei Optionen:
E-Mail trotz gescheiterter Prüfung in den Posteingang schicken (p=none)
E-Mail in den Spam-Ordner schicken (p=quarantine)
E-Mail nicht zustellen (p=reject)
Wichtig: Um DMARC nutzen zu können, müssen Sie vorab sowohl das SPF- als auch das DKIM-Protokoll eingerichtet haben.
Was ist ein DMARC-Eintrag?
Ein DMARC-Eintrag (DMARC record) ist eine Code-Zeile, die zu Ihrem DNS TXT Eintrag hinzugefügt wird. Die Information in dieser Zeile bestimmt, was passieren soll, wenn die Authentifizierung scheitert:
"v=DMARC1;p=none;pct=100;rua=mailto:postmaster@dmarcdomain.com;ruf=mailto:dmarc@dmarcdomain.com;rf=afrf"
Das erste Tag (v=) ist einfach. Der Wert muss immer DMARC1 lauten. Es gibt bislang keine anderen Versionen, nutzen Sie also immer “1”.
Das zweite Tag (p=) weist den Empfängerserver an, was mit Nachrichten passieren soll, die nicht authentifiziert werden konnten. Hier sind Ihre Optionen:
None: Nachrichten werden protokolliert, aber keine Maßnahmen ergriffen.
Quarantine: Nachrichten werden als Spam markiert.
Reject: Nachrichten werden abgelehnt (es kommt zum Bounce).
Das dritte Tag ist rua= bzw. die E-Mail-Adresse, an die Ihre DMARC-Berichte gesendet werden.
So funktioniert DMARC mit den verschiedenen Richtlinien
Falls Sie den Eintrag nicht selbst erstellen möchten, verfügt der Dienst der Drittanbieter Dmarcian über eine kostenlose Funktion zur Generierung von Einträgen.
Aber Achtung, denn wenn Sie einen DMARC-Eintrag einfügen oder aktualisieren, sollten Sie vorher SPF und DKIM einstellen und mindestens 48 Stunden aktiviert haben, um Ihre Nachrichten zu authentifizieren.
Ein DMARC-Eintrag ist ein Texteintrag im DNS. Er informiert über die Richtlinie Ihrer E-Mail-Domain und teilt mit, ob SPF und/oder DKIM erfolgreich war oder fehlgeschlagen ist.
Sie sind sich nicht sicher, ob Sie DMARC bereits eingerichtet haben? Mit diesem Tool können Sie eine schnelle DMARC-Prüfung durchführen.
DMARC, Zustellbarkeit und E-Mail-Marketing
Das DMARC-Protokoll mag auf den ersten Blick nicht so relevant für E-Mail-Marketing erscheinen. Tatsächlich kann es aber einen Einfluss auf Kampagnen und den Ruf des Unternehmens haben.
Stellen wir uns folgendes Szenario vor. Sie haben SPF- und DKIM-Protokolle eingerichtet. Damit können E-Mail-Clients verifizieren, ob E-Mails, die von Ihrer Domain verschickt werden authentisch sind.
Nun schalten sich aber Hacker dazwischen und nutzen Ihre vertrauenswürdige Domain, um per Spoofing „in Ihrem Domain-Namen“ Spam oder betrügerische E-Mails zu verschicken.
Dann können Mailbox-Anbieter zwar feststellen, dass diese betrügerischen Mails an den SPF- und DKIM-Protokollen scheitern, aber was passiert dann?
Wenn Sie als Unternehmen keine DMARC-Regeln festlegen, entscheiden die Voreinstellungen der Mailbox-Anbieter, was mit diesen Mails passiert. Im schlimmsten Fall kommen sie durch.
Das ist aus folgenden Gründen problematisch:
Ihre Kunden sind einem Risiko oder lästigen Spam-Nachrichten ausgesetzt.
Auch, wenn Sie selbst nichts für die Angriffe können, schaden solche Mails Ihrem Ruf als Unternehmen.
E-Mail-Clients werten diese Nachrichten als Spam, der von Ihnen ausgeht. Damit sinkt Ihre Vertrauensbewertung, was langfristig dazu führen kann, dass auch legitime Marketing-E-Mails von Ihnen nicht mehr durchgestellt werden.
Eine niedrigere Zustellbarkeitsrate bedeutet, dass Ihre Marketing-Mails seltener ankommen, Ihre Kampagnen weniger Nutzer erreichen – und Sie somit bares Geld verlieren.
Zusammengefasst heißt das: Ohne DMARC-Protokoll riskieren Sie Ihren Ruf, Sie schaden Ihren Kampagnen und setzen auch Kunden einem Sicherheitsrisiko aus.
Gehen Sie mit DMARC auf Nummer sicher und schützen Sie Ihren E-Mail-Versand
Neue DMARC-Anforderungen von Yahoo und Gmail
Seit 2024 gelten für Yahoo! Mail und Gmail neue Anforderungen zu SPF, DKIM und DMARC. Massenversender, die über 5 000 E-Mails pro Tag verschicken, müssen alle drei Protokolle, inklusive DMARC nachweisen.
Es gibt zwar keine Richtlinien dazu, welche DMARC-Option Massenversender festlegen sollen. Wir empfehlen aber eine der beiden strengeren Einstellungen (Quarantäne oder Abweisung), um so Ihr Unternehmen sowie Ihre Empfänger besser vor Spam oder Angriffen wie Phishing oder Spoofing zu schützen.
Was sind die Vorteile von DMARC?
Das DMARC-Protokoll bietet Ihnen gleich mehrere Vorteile.
Sie erhöhen damit den Schutz vor Angriffen oder Spam für Ihre Empfänger.
Sie schützen Ihre eigene Domain besser vor Attacken wie Spoofing oder Phishing.
Sie verbessern ebenfalls die Vertrauensbewertung Ihrer Domain, was Ihre Zustellbarkeitsrate erhöht.
Wenn Sie als Domain-Inhaber einen DMARC-Eintrag in Ihrem DNS-Eintrag einrichten, erhalten Sie außerdem einen Überblick darüber, wer E-Mails im Namen Ihrer Domain versendet. Das bedeutet, dass niemand in der Lage sein wird, Ihre Domain zu missbrauchen.
DMARC funktioniert wie ein persönlicher Bodyguard für Ihre Domain. Mit einem DMARC-Protokoll zeigen Sie Yahoo, Google und anderen Anbietern, dass Sie ein legitimer Absender sind. Und: Sie können damit auch die Kontrolle darüber behalten, was mit einer E-Mail passiert, die die Authentifizierungsprüfung nicht besteht.
Die Vorteile von DMARC.
Übrigens: Mit BIMI (Brand Indicators for Message Identification) gibt es seit Neuestem auch einen weiteren Sicherheitsstandard. BIMI erlaubt es Unternehmen, das eigene Logo neben dem Namen in der E-Mail mitzuverschicken.
Verschicken Sie E-Mails mit BIMI-Logos.
Das BIMI-Logo können Sie aber nur dann verschicken, wenn Sie SPF und DKIM eingerichtet haben und Ihre DMARC-Einstellungen auf die strikten Optionen „p=quarantine“ (Quarantäne) oder „p=reject“ (zurückweisen) gesetzt haben.
Wie andere Tipps und Tricks aussehen, um Ihre Zustellbarkeit zu verbessern, erfahren Sie im großen E-Mail-Zustellbarkeit-Guide.
Wie funktioniert die DMARC-Authentifizierung?
Die DMARC-Validierung von E-Mails läuft folgendermaßen ab:
Der Domain-Besitzer setzt seine DMARC-Richtlinie (DMRAC policy) auf. Dazu wählt er eine der drei Optionen aus, die den empfangenden Servern sagen, was sie mit einer E-Mail machen sollen, die die Authentifizierungsmethoden per SPF und DKIM nicht bestanden hat. Das wird dann Teil des DNS-Eintrags der Domain.
Wenn ein Mailbox-Anbieter wie Google oder Yahoo eine E-Mail von Ihrer Domain bekommen, sucht dieser Anbieter nach der DMARC-Richtlinie der Absender-Domain. Diese erscheint in der Kopfzeile dieser E-Mail. Der Anbieter bewertet die Nachricht dann nach folgenden Faktoren:
Ist die DKIM-Signatur korrekt?
Ist die Sender-IP in Ihrem SPF-Eintrag?
Zeigen die Kopfzeilen in der Nachricht das korrekte Domain Alignment?
Sobald all diese Informationen zusammengetragen wurden, entscheidet der E-Mail-Anbieter nach Ihren DMARC-Richtlinien, was mit der Nachricht passiert.
Sie bekommen dann einen DMARC-Bericht (wenn Sie dies aktiviert haben), um Sie als Domain-Besitzer über den Versand zu informieren.
DMARC-Berichte
Sobald DMARC sicher eingerichtet ist, werden nach und nach Berichte in Ihrem Posteingang eintrudeln. Diese Berichte informieren Sie über Folgendes:
Welche Server oder Dritte von Ihrer Domain aus E-Mails versenden und ob diese die Authentifizierung bestehen
Wie der jeweilige Eingangsserver auf nicht authentifizierte E-Mails reagiert
Wie hoch der Gesamtprozentsatz der DMARC-Erfolgsquote ist.
Das optionale Berichts-Tag ruf= teilt ISPs mit, wohin sie Fehlerberichte (auch forensische Berichte genannt) schicken sollen. Dieses Tag wird zwar aus Datenschutzgründen nicht von allen E-Mail-Anbietern unterstützt (z. B. Gmail), doch es ermöglicht Ihnen mehr Einblicke in die abgelehnten E-Mail-Inhalte als ein aggregierter Standardbericht.
Berichte haben zwei verschiedene Typen: aggregiert und forensisch: Diese Berichte unterstützen Sie dabei, sicherzustellen, dass Sie Ihre ausgehenden E-Mails ordnungsgemäß authentifizieren.
Aggregierte Berichte
Bei aggregierten Berichten handelt es sich um XML-Dokumente, die Daten über die empfangenen Nachrichten anzeigen, die angeblich aus einer bestimmten Domain stammen. Diese Berichte im XML-Rohformat sind maschinenlesbar.
Forensische Berichte
Forensische Berichte beinhalten einzelne Kopien von Nachrichten, bei denen die Authentifizierung fehlgeschlagen ist, die jeweils in einer vollständigen E-Mail-Nachricht mit einem speziellen Format namens AFRF enthalten sind.
Die Informationen, die diese Berichte enthalten könnten, sind:
Betreffzeile
Uhrzeit, zu der die Nachricht empfangen wurde
IP-Informationen
Authentifizierungsergebnisse
SPF-Ergebnis
DKIM-Ergebnis
DMARC-Ergebnis
Domain-Informationen
Von dieser Absender-Adresse
E-Mail von dieser Adresse
DKIM von dieser Adresse
Nachrichten-ID
URLs
Ergebnis der Zustellbarkeit
Angewandte Richtlinie
ISP-Informationen
Die Ergebnisse dieser Berichte helfen Ihnen bei der Ausrichtung Ihrer DMARC-Richtlinien. Wenn beispielsweise die meisten Nachrichten die Mailserver des Empfängers passieren, benötigen Sie striktere Richtlinien, um Spoofing-E-Mails abzufangen. Analysieren Sie ihre Berichte regelmäßig, um Probleme zu beheben.
Fazit zu DMARC
Das DMARC-Protokoll macht den E-Mail-Versand sowohl für Unternehmen als auch für Empfänger sicherer.
Denn mit diesem E-Mail-Authentifizierungsprozess wird niemand mehr Ihre E-Mail-Domain spoofen können. Das heißt: Nutzer bekommen weniger betrügerische Nachrichten und Ihr Ruf wird nicht missbraucht.
Das führt unterm Strich zu einem besseren Image und höherer Zustellbarkeit.
Verwandte Lektüre
Beliebte Beiträge
Deliverability
17 min
How to avoid email spam filters
Mehr lesen
Deliverability
7 min
Noreply email address: Best practices for your email strategy
Mehr lesen
Email best practices
6 min
What is an SMTP relay and why do we use it?
Mehr lesen