DMARC-Record Syntax:
Alle Tags im Überblick
Ein DMARC-Record besteht aus Tag-Wert-Paaren, getrennt durch Semikolon. Zwei Tags sind Pflicht, alle anderen optional. Diese Seite erklärt jeden Tag nach RFC 9989 (DMARCbis) – dem aktuellen DMARC-Standard, der RFC 7489 ersetzt hat.
Tags
v Versionp Policysp Subpolicynp Non-exist.t Testingrua RUAruf RUFadkim DKIMaspf SPFfo Forensicpsd PSDpct ⚠ veraltetri ⚠ veraltetrf ⚠ veraltetDMARC1Der Versions-Tag kennzeichnet den DNS-TXT-Eintrag als DMARC-Record. Ohne diesen Tag erkennen empfangende Mailserver den Eintrag nicht als DMARC und ignorieren ihn vollständig.
v=DMARC1Der wichtigste Tag im DMARC-Record. Er legt fest, was empfangende Mailserver tun sollen, wenn eine E-Mail den DMARC-Check nicht besteht – also weder über SPF noch über DKIM korrekt aligned ist.
| Wert | Verhalten |
|---|---|
| none | E-Mails werden normal zugestellt, unabhängig vom DMARC-Ergebnis. Bietet keinen Spoofing-Schutz. ⚠ Nur für Monitoring-Phase |
| quarantine | Nicht-authentifizierte E-Mails werden in den Spam-Ordner verschoben. |
| reject | Nicht-authentifizierte E-Mails werden vollständig abgelehnt und kommen nicht an. Maximaler Schutz. |
p=quarantinesp gilt die Hauptpolicy p auch für SubdomainsErlaubt es, Subdomains strenger oder lockerer zu behandelnLegt fest, was mit E-Mails von Subdomains passieren soll, die keinen eigenen DMARC-Record haben. Nützlich, wenn Subdomains von Drittanbietern verwendet werden, die noch nicht vollständig konfiguriert sind.
| Wert | Verhalten |
|---|---|
| none | Keine Aktion bei Subdomain-Mails, die den Check nicht bestehen. |
| quarantine | Nicht-authentifizierte Subdomain-Mails landen im Spam. |
| reject | Nicht-authentifizierte Subdomain-Mails werden abgelehnt. |
sp=rejectsp für nicht-existierende SubdomainsOhne np: es gilt zunächst sp, sonst pnp-Tag adressiert einen Missbrauchsvektor, den RFC 7489 nicht abdeckte: E-Mails von Subdomains, die überhaupt nicht existieren (z. B. xyz123.beispiel.de). Solche Domains werden häufig für Phishing genutzt, da ein fehlender DNS-Eintrag keine DMARC-Prüfung auslöst. np schließt diese Lücke.Legt die Policy für E-Mails von Subdomains fest, die keinen DNS-Eintrag haben. Der Unterschied zu sp: sp gilt für existierende Subdomains ohne eigenen DMARC-Record, np gilt für nicht-existierende Subdomains (NXDOMAIN). Für maximalen Schutz empfiehlt sich np=reject.
| Wert | Verhalten |
|---|---|
| none | Keine Aktion bei Mails von nicht-existierenden Subdomains. |
| quarantine | Mails von nicht-existierenden Subdomains landen im Spam. |
| reject | Mails von nicht-existierenden Subdomains werden abgelehnt. Empfohlen. |
np=rejectpct-TagStandard: kein Testing-Modus (Policy wird vollständig angewendet)t-Tag ist der saubere Ersatz für pct. Statt eines Prozentsatzes gibt es nur noch ein binäres Flag: entweder ist die Policy aktiv (t=n, Standardverhalten) oder der Record befindet sich explizit im Testing-Modus (t=y) – dann werden Mails zugestellt, aber Berichte weiterhin gesendet.Erlaubt es, einen DMARC-Record zu aktivieren, ohne dass die Policy sofort durchgesetzt wird. Im Testing-Modus werden alle Mails normal zugestellt – unabhängig von der konfigurierten Policy. Reports laufen aber weiterhin ein, sodass die Konfiguration beobachtet werden kann, bevor die Durchsetzung aktiviert wird.
| Wert | Verhalten |
|---|---|
| y | Testing aktiv: Policy wird nicht durchgesetzt. Mails werden normal zugestellt, Reports weiterhin versendet. Entspricht dem alten pct=0. |
| n | Testing inaktiv (Standardverhalten): Policy wird vollständig durchgesetzt. |
t=yrua erhältst du keine DMARC-ReportsMehrere Adressen durch Komma getrennt, maximal 2 empfohlenNur mailto:-URIs werden garantiert verarbeitetAn die angegebene Adresse senden Mailbox-Provider täglich Aggregate-Reports im XML-Format. Diese enthalten statistische Daten: IP-Adressen sendender Server, Volumen, SPF- und DKIM-Ergebnisse. Ohne RUA-Adresse bist du blind für den E-Mail-Verkehr unter deiner Domain.
deindomain.de._report._dmarc.fremddomain.de mit Wert v=DMARC1.rua=mailto:dmarc@beispiel.demailto:-URIs; Fremddomain-Regelung wie bei RUAForensic-Reports enthalten Details zur einzelnen E-Mail, die den DMARC-Check nicht bestanden hat – teilweise inklusive Header und Betreff. Da diese Berichte personenbezogene Daten enthalten können, haben viele große Mailbox-Provider deren Versand eingestellt. In der Praxis kommen RUF-Reports heute selten an.
ruf=mailto:forensic@beispiel.der (relaxed)Bestimmt, wie streng die DKIM-Signatur-Domain mit der From-Header-Domain übereinstimmen mussDKIM-Alignment prüft, ob die Domain der DKIM-Signatur mit der Domain im From-Header übereinstimmt. Im relaxed-Modus reicht es, wenn beide zur selben Organisationsdomain gehören (Subdomains erlaubt). Im strict-Modus müssen sie exakt übereinstimmen.
| Wert | Verhalten |
|---|---|
| r | Relaxed: DKIM-Signaturdomain und From-Domain müssen zur gleichen Organisationsdomain gehören. Subdomains sind erlaubt (z. B. mail.beispiel.de für beispiel.de). |
| s | Strict: DKIM-Signaturdomain und From-Domain müssen exakt identisch sein. Subdomains sind nicht erlaubt. |
adkim=rr (relaxed)Bestimmt, wie streng die SPF-Domain mit der From-Header-Domain übereinstimmen mussSPF-Alignment prüft, ob die Domain, die SPF authentifiziert hat (Return-Path / MAIL FROM), mit der From-Header-Domain übereinstimmt. Im relaxed-Modus genügt die gleiche Organisationsdomain. Im strict-Modus muss sie exakt übereinstimmen. Weiterleitungen können den SPF-Check aufbrechen – DKIM ist dabei stabiler.
MAIL FROM-Pfad aus. Der früher mögliche Fallback auf HELO/EHLO ist in DMARCbis explizit nicht mehr vorgesehen.| Wert | Verhalten |
|---|---|
| r | Relaxed: SPF-authentifizierte Domain und From-Domain müssen zur gleichen Organisationsdomain gehören. Subdomains erlaubt. |
| s | Strict: SPF-authentifizierte Domain und From-Domain müssen exakt identisch sein. Keine Subdomains. |
aspf=spsd-Tag erlaubt es Registries (z. B. Betreibern von .co.uk, .com.br), ihren DMARC-Record explizit als Public Suffix Domain zu deklarieren.Deklariert eine Domain als Public Suffix Domain. Damit kann auch auf Ebene von Top-Level-Domains oder Country-Code-Domains eine DMARC-Policy hinterlegt werden. Für Standard-Unternehmensdomains (z. B. beispiel.de) ist dieser Tag nicht relevant.
| Wert | Verhalten |
|---|---|
| y | Diese Domain ist eine Public Suffix Domain. DMARC behandelt sie entsprechend. |
| n | Diese Domain ist keine Public Suffix Domain (Standardverhalten). |
psd=ypct-Tag wurde aus dem Standard gestrichen. Sein Zweck (kontrollierter Rollout ohne vollständige Durchsetzung) übernimmt der neue t=y-Tag. In bestehenden Records wird pct von RFC-9989-konformen Empfängern ignoriert.t=y für Testing-ModusErlaubte es früher, die DMARC-Policy schrittweise zu aktivieren. Ein Wert von 50 bedeutete: Die Policy wurde nur auf die Hälfte der betroffenen Mails angewendet. In der Praxis war das unpräzise und wurde häufig missbraucht. RFC 9989 hat diesen Tag zugunsten des klareren t-Tags entfernt.
pct=100→ heute: t=n (Standard) oder weglassen0Mehrere Optionen durch Doppelpunkt (:) getrenntNur wirksam, wenn ein ruf-Tag definiert istBestimmt, unter welchen Bedingungen Forensic-Reports erzeugt werden. Da viele Mailbox-Provider RUF-Berichte nicht mehr versenden, hat dieser Tag in der Praxis wenig Bedeutung.
| Wert | Bedingung |
|---|---|
| 0 | Fehlerbericht, wenn sowohl DKIM als auch SPF kein pass liefern. |
| 1 | Fehlerbericht, wenn DKIM oder SPF kein pass liefern. |
| d | DKIM-Fehlerbericht, unabhängig vom Alignment-Ergebnis. |
| s | SPF-Fehlerbericht, unabhängig vom Alignment-Ergebnis. |
fo=1:dri-Tag wurde entfernt, weil er in der Praxis wirkungslos war – kein Mailbox-Provider hat ein anderes Intervall als 24 Stunden geliefert. Das Berichtsintervall ist damit nicht mehr konfigurierbar.Gab früher den gewünschten Berichts-Intervall für Aggregate-Reports in Sekunden an. In der Praxis haben alle Mailbox-Provider grundsätzlich einmal täglich gesendet, unabhängig vom konfigurierten Wert. RFC 9989 hat den Tag daher schlicht entfernt.
ri=86400rf-Tag wurde entfernt, weil afrf das einzig jemals implementierte Format war und keine echte Auswahl bestand. RFC 9989 hat das Format im zugehörigen RFC 9991 (Failure Reporting) fest verankert.Legte früher das Format für Forensic-Reports fest. Da ausschließlich afrf (Authentication Failure Reporting Format) jemals implementiert wurde, war der Tag bedeutungslos. RFC 9989 hat ihn entsprechend aus dem Standard entfernt.
rf=afrfDu willst wissen, ob dein aktueller DMARC-Record korrekt konfiguriert ist? Der Analyser überprüft Syntax, Policy und Alignment direkt im Browser.
DMARC Record Analyser Record Generator