Häufige Fragen zu DMARC.

DMARC steht für Domain-based Message Authentication, Reporting & Conformance. Es ist ein E-Mail-Authentifizierungsprotokoll, das festlegt, was mit E-Mails passiert, die behaupten von deiner Domain zu kommen – aber es nicht nachweislich sind. DMARC baut auf SPF und DKIM auf und fügt eine Policy-Ebene hinzu: Zustellen, in Spam verschieben oder ablehnen.

Die drei DMARC-Policy-Stufen legen fest, was mit nicht-authentifizierten E-Mails passiert. p=none bedeutet: nichts wird blockiert, du bekommst nur Reports. p=quarantine bedeutet: verdächtige E-Mails landen im Spam-Ordner. p=reject bedeutet: verdächtige E-Mails werden vollständig abgelehnt und kommen nie an.

Ja — und am besten beide. DMARC braucht mindestens einen der beiden Mechanismen (SPF oder DKIM) korrekt konfiguriert und auf eure Absenderdomain ausgerichtet.

Alignment bedeutet, dass die Domain im From-Header einer E-Mail mit der Domain übereinstimmt, die SPF oder DKIM authentifiziert haben. Nur wenn dieses Alignment stimmt, gilt eine E-Mail als DMARC-konform. Es gibt zwei Modi: relaxed und strict.

RUA steht für Reporting URI for Aggregate reports. Das ist die E-Mail-Adresse, an die Mailbox-Provider täglich ihre DMARC-Aggregate-Reports senden. Ohne eine RUA-Adresse bekommst du keine Reports.

DMARC Monitoring bedeutet, dass DMARC-Reports automatisch empfangen, verarbeitet und visualisiert werden. Statt XML-Rohdaten manuell auszuwerten, siehst du in einem Dashboard, wer E-Mails in deinem Namen sendet – legitim oder missbräuchlich.

Ja. Das nicmanager Monitoring ist Multi-Domain-fähig und eignet sich sowohl für einzelne Domains als auch für komplexe Domain-Portfolios.

Nein. nicmanager stellt eine eigene RUA-Adresse bereit, die direkt in deinen DMARC-Record eingetragen wird. Reports laufen automatisch ein.

Die Taskforce ist ein Managed Service, bei dem das nicmanager-Team die vollständige DMARC-Implementierung übernimmt – von der Bestandsaufnahme über SPF- und DKIM-Konfiguration bis zum sicheren Wechsel auf p=reject. Mit Score-80-Garantie.

Typischerweise 3–4 Wochen. Abhängig von der Anzahl der Domains und der Komplexität der eingesetzten Drittanbieter-Dienste.

Der DomainSecurity Score misst den Reifegrad eurer E-Mail-Sicherheitskonfiguration auf einer Skala von 0 bis 100. Die Taskforce arbeitet, bis Score 80 oder höher erreicht ist. Wird dieses Ergebnis am Projektende nicht erreicht, erstatten wir das Honorar vollständig zurück.

Alle Daten werden ausschließlich auf Servern in der EU gespeichert und verarbeitet. nicmanager betreibt EU-basiertes Hosting und ist vollständig DSGVO-konform.

Ja. nicmanager ist ISO 27001 und ISO 9001 zertifiziert. Zusätzlich ist nicmanager Partner der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Ja. Für alle Kunden, die DMARC-Reports über nicmanager verarbeiten lassen, steht ein standardisierter AVV bereit.

Weil DMARC auf p=none steht und noch nichts blockiert – oder weil p=quarantine oder p=reject gesetzt ist, aber nicht alle Empfänger DMARC durchsetzen. Außerdem schützt DMARC nur die eigene Domain im From-Header – nicht Look-alike-Domains oder Display-Name-Spoofing.

Das deutet auf ein SPF- oder DKIM-Alignment-Problem hin. Ein sendender Dienst – häufig ein Newsletter-Tool oder CRM – ist nicht korrekt konfiguriert und besteht den DMARC-Check nicht.

Häufige Ursachen: fehlendes v=DMARC1 am Anfang, falsche Syntax bei der RUA-Adresse, fehlende Semikolons zwischen den Tags, oder der Record steht nicht an der richtigen Stelle im DNS.

SPF erlaubt maximal 10 DNS-Lookups pro Prüfung. Wer viele Drittanbieter-Dienste eingebunden hat, überschreitet dieses Limit schnell – und SPF schlägt fehl. Das nennt sich SPF Permerror.

Das kann zwei Ursachen haben. Erstens: ein Drittanbieter-Dienst, der im Namen eurer Domain sendet und den ihr nicht explizit eingerichtet habt. Zweitens: ein Spoofing-Versuch. Das Monitoring zeigt für jeden Absender Volumen, IP-Adresse und SPF/DKIM-Ergebnis.