Was ist das?
DMARC (Domain-based Message Authentication, Reporting & Conformance, RFC 7489) ist die Klammer um SPF und DKIM. Es sagt Empfangs-Mailservern, was sie tun sollen, wenn eine Mail vorgibt, von Ihrer Domain zu kommen, aber weder SPF noch DKIM dies bestätigen: durchlassen, in den Spam-Ordner verschieben oder ganz ablehnen.
Zusätzlich verlangt DMARC, dass die signierende Domain mit der sichtbaren Absender- Domain übereinstimmt (Alignment). Das schließt eine ganze Klasse von Phishing-Tricks aus, bei denen Angreifer eine eigene Domain signieren und die From-Zeile gefälscht zeigen.
Wann brauche ich das?
Sobald Sie überhaupt Mails versenden - das gilt für jede Firma mit eigener Domain, vom Ein-Mann-Betrieb bis zur GmbH. Ohne DMARC kann jeder mit Ihrer Domain als Absender Phishing-Mails verschicken, und Ihre Empfänger haben keinen Hinweis darauf, dass das nicht von Ihnen kommt.
Die Einführung läuft in drei Stufen, jeweils 4-8 Wochen: p=none (nur beobachten, keine Sperre), p=quarantine (in den Spam-Ordner), p=reject (komplett blockieren). Wechsel nur, wenn die Reports zeigen, dass alle eigenen Sendequellen sauber signieren.
Sollte vorher schon vorhanden sein
- SPF-Record veröffentlicht
- DKIM beim Mailprovider aktiviert (typisch ein Klick im Provider-Dashboard)