DMARC einfach erklärt: Alles was Unternehmen wissen müssen

Blogbeitrag - 08. Mai 25
Marissa Neureiter

Von Marissa Neureiter

Marissa ist Managerin Unternehmenskommunikation und lebt bei news aktuell ihre Begeisterung fürs Texten täglich aufs Neue aus. 

Zum Profil

Haben Sie schon einmal eine E-Mail erhalten, die angeblich von Ihrer Bank stammt? Oder der Zustellversuch Ihres angeblichen Pakets ist gescheitert? Bei genauerem Hinsehen hat sich dann herausgestellt: In Wirklichkeit stammte die Mail von Betrügern. 

Genau hier setzt DMARC an. Die DMARC-Richtlinie („Domain-based Message Authentication, Reporting and Conformance“) ist ein Sicherheitsstandard, der entwickelt wurde, um E-Mails sicherer zu machen und deren Missbrauch durch Cyberkriminelle zu verhindern. 

Doch was genau verbirgt sich dahinter und was sollten Unternehmen als Kunden von E-Mail-Dienstleistern über DMARC wissen? Wir geben einen Überblick und konkrete Handlungsempfehlungen. 
 

DMARC: Einfach erklärt 

DMARC steht für „Domain-based Message Authentication, Reporting, and Conformance“. Es handelt sich dabei um einen Sicherheitsstandard bzw. ein Protokoll, das entwickelt wurde, um vor Cyberangriffen zu schützen und den Missbrauch von E-Mails zu verhindern. Die Richtlinie entstand unter anderem auf Initiative von Google, Yahoo und Microsoft sowie anderen großen Technologieunternehmen und E-Mail-Anbietern. 

Die Implementierung von DMARC hat zum Beispiel das Ziel, vor E-Mail-Spoofing zu schützen. Zur Einordnung: Spoofing bedeutet, dass Kriminelle gefälschte E-Mails versenden, die so aussehen, als kämen sie von einer vertrauenswürdigen Quelle, z.B. von unserer Bank, dem Paketdienst unseres Vertrauens oder auch von unserem Geschäftsführer oder Abteilungsleiter. 

Mit DMARC können Unternehmen sicherstellen, dass ihre E-Mails authentisch sind und nicht von Betrügern missbraucht werden. Damit wird also die Sicherheit bei der E-Mail-Übertragung erhöht. 

Darüber hinaus müssen seit Februar 2024 Unternehmen bzw. Absenderdomains, die täglich mehr als 5.000 E-Mails an Yahoo- und Google-Adressen versenden, eine DMARC-Pflicht berücksichtigen. Sprich: Betroffene Unternehmen sollten spätestens seit diesem Datum sicherstellen, dass die richtigen Einstellungen vorhanden sind – sonst könnten Mails blockiert oder als Spam eingestuft werden.

1. Wie funktioniert DMARC? 

DMARC funktioniert über so genannte DNS-Einträge („Domain Name System“) und ist direkt mit der Domain verbunden, von der aus E-Mails versendet werden. 

Ein DNS-Eintrag, also ein bestimmtes Stück Text, sagt unserem Computer, welche IP-Adresse zu einer bestimmten Domain gehört. Ein DNS-Text kann aber noch mehr – zum Beispiel Regeln für E-Mails festlegen. DMARC nutzt genau diese Funktion: Es wird als spezieller TXT-Eintrag („TeXT“) im DNS einer Domain hinterlegt. Dieser Eintrag sagt den empfangenden E-Mail-Servern: 

  1. Wie sollen E-Mails von dieser Domain geprüft werden? (Über SPF & DKIM) 
  2. Was soll passieren, wenn eine E-Mail die Prüfung nicht besteht? (Zustellen, als Spam markieren oder ablehnen?) 
  3. Wohin sollen Berichte über E-Mail-Versuche gesendet werden? (Damit der Domaininhaber sieht, ob jemand seine Adresse missbraucht)

Ohne diesen DNS-Eintrag gibt es keine DMARC-Richtlinie, und E-Mail-Server wüssten nicht, wie sie im Zweifelsfall mit verdächtigen E-Mails umgehen sollen. 

Kurz gesagt: DMARC ist eine Regel, die in den DNS-Einträgen einer Domain gespeichert wird, damit E-Mail-Server wissen, wie sie mit E-Mails von dieser Domain umgehen sollen. 

Im Detail basiert DMARC dabei auf zwei etablierten Sicherheitsprotokollen: 

  • SPF (Sender Policy Framework): Überprüft, ob die E-Mail von einem autorisierten Server gesendet wurde. 
  • DKIM (DomainKeys Identified Mail): Stellt sicher, dass die E-Mail auf dem Weg zum Empfangenden nicht manipuliert wurde. 

DMARC kombiniert diese beiden Technologien und bietet eine weitere Kontrolle: Es prüft, ob die Absenderadresse (im Feld „Von“) mit der tatsächlichen Domain des Absendenden übereinstimmt. 

Wenn eine E-Mail diese Kontrolle nicht besteht, empfiehlt der DMARC-Eintrag dem empfangenden Mailserver, wie er mit Mails umgehen soll, die gegen SPF und DKIM verstoßen. Dieser Eintrag wird vom Inhaber einer E-Mail-Domain festgelegt. Es gibt drei Möglichkeiten: 

  1. none (keine Aktion): Die E-Mail wird normal zugestellt, aber es werden Berichte erstellt. Dies ist hilfreich, um zunächst zu überwachen, wie viele E-Mails nicht zugestellt werden. 
  2. quarantine (Quarantäne): Verdächtige E-Mails werden automatisch in den Spam-Ordner verschoben. 
  3. reject (ablehnen/zurückweisen): Verdächtige E-Mails werden komplett abgelehnt und gar nicht zugestellt. 

2. Warum ist DMARC für Unternehmen wichtig? 

Die Implementierung der DMARC-Richtlinie ist für Unternehmen wichtig, um sich vor E-Mail-Betrug und Identitätsdiebstahl zu schützen. 

Die 4 wichtigsten Vorteile sind: 
 

  1. Schutz vor Betrug: DMARC verhindert, dass Ihre Domain für betrügerische E-Mails missbraucht wird – Stichwort: Spoofing und Phishing. DMARC verhindert dies, indem es sicherstellt, dass nur autorisierte Server E-Mails im Namen der Unternehmensdomain versenden dürfen. Das schützt Ihr Unternehmen und Ihre Kundinnen und Kunden. 
  2. Mehr Vertrauen: DMARC hilft Unternehmen, die Authentizität ihrer E-Mails nachzuweisen und das Betrugsrisiko zu reduzieren. Kunden und Partner können sich darauf verlassen, dass E-Mails von Ihrer Domain echt sind, was das Vertrauen in Ihr Unternehmen stärkt.  
  3. Verbesserte E-Mail-Zustellung: Die großen E-Mail-Anbieter bevorzugen sichere Absender. Unternehmen, die DMARC implementieren, haben eine höhere Chance, dass ihre E-Mails nicht im Spam-Ordner landen, sondern direkt beim Empfänger ankommen. So werden mit DMARC auch echte E-Mails seltener als Spam markiert und Ihre Zustellrate kann sich verbessern. 
  4. Berichte über Missbrauch: Neben dem Schutz bietet DMARC wertvolle Einblicke, wie Ihre Domain genutzt wird und ob es Missbrauchsversuche gibt. So schafft DMARC nicht nur mehr Transparenz für Sie, sondern führt auch zu mehr Kontrolle über die E-Mail-Prozesse. 

DMARC kann Ihrem Unternehmen also helfen, Ihre Kommunikation zu schützen, das Vertrauen zu stärken und die Zustellbarkeit Ihrer E-Mails zu verbessern. DMARC wird damit nicht nur zu einem wichtigen Baustein für Ihre Cybersecurity, sondern auch für Ihr Image.

DMARC und E-Mail-Dienstleister 

DMARC betrifft im weitesten Sinn aber nicht nur Unternehmen, sondern alle, die E-Mails senden und empfangen. Während private Nutzende in der Regel von den Sicherheitsmaßnahmen der großen Provider und kommerziellen Anbieter profitieren, müssen Unternehmen mit eigener Domain selbst aktiv werden. 

Wenn auch Ihr Unternehmen bereits mit externen Mailing-Dienstleistern zusammenarbeitet, die im Namen Ihres Unternehmens E-Mails versenden, sollten Sie jetzt handeln. 

DMARC im Unternehmenskontext: Mailingtools externer Dienstleister 

Viele Unternehmen nutzen für ihre Kommunikations- und Marketingaktivitäten externe E-Mail-Dienstleister wie news aktuell, um Pressemitteilungen oder Newsletter zu versenden. Die PR-Software zimpel etwa versendet E-Mails im Namen Ihrer Unternehmensdomain an Kontakte aus Ihrem individuellen Verteiler. 

Die Vorteile von zimpel auf einen Blick:  

  • Einfache Kontaktrecherche 
  • Individuelle Presseverteiler 
  • zimpel bietet über 612.000 DSGVO-konforme Datensätze weltweit 
  • Erfolgsmessung: Zustell- und Öffnungsraten sind leicht einsehbar 
  • Einfache Handhabung 
  • Kostenloser Support für alle Fragen 

zimpel: Das Medienverzeichnis für Ihre Presseverteiler
Mit zimpel erstellen Sie im Handumdrehen individuelle Presseverteiler und erreichen weltweit über 612.000 Medienschaffende, Blogs, Podcasts und Influencende. Unser PR-Werkzeug bietet DSGVO-konforme Datensätze, die laufend aktualisiert werden und erleichtert Ihre Kontaktrecherche erheblich. Nutzen Sie das intuitive Mailing-Tool für eine zeitsparende Kommunikation.

Mehr über zimpel erfahren

Ohne die richtigen DNS-Einstellungen Ihrer Unternehmensdomain können E-Mails, die Sie über einen externen Dienstleister versenden, jedoch von DMARC blockiert werden. Aber keine Sorge: Alle notwendigen Einstellungen kann Ihr Netzwerkadministrator problemlos vornehmen. Im Folgenden erklären wir Ihnen, was zu beachten ist, wenn ein externer Dienstleister wie news aktuell E-Mails im Namen Ihres Unternehmens versendet. 

DMARC für den E-Mail-Versand über externen Dienstleister einrichten 

Damit Ihre E-Mails auch weiterhin problemlos über einen externen Dienstleister zugestellt werden können, müssen einige technische Einstellungen vorgenommen werden. Mit den richtigen Anpassungen in den DNS-Einträgen stellen Sie sicher, dass Ihre E-Mails nicht im Spam landen oder durch DMARC blockiert werden und somit nach wie vor die richtigen Kontakte erreichen. 

Fünf Schritte für Unternehmen 

Hier sind die wichtigsten 5 Schritte, die Ihr Unternehmen beachten sollte: 

Schritt 1: SPF-Eintrag anpassen 

Wie bereits erwähnt, zeigt der SPF-Eintrag dem empfangenden Mailserver an, dass ein externer Server von Ihrer Domain aus versenden darf. Wenn Sie bereits einen SPF-Eintrag verwenden, müssen Sie diesen um den vorgefertigten Eintrag des Dienstleisters als autorisierten Absender erweitern. Alternativ erstellen Sie einen neuen SPF-Eintrag, der bereits den entsprechenden TXT-Eintrag des Dienstleisters enthält. 

Schritt 2: DKIM-Schlüssel einrichten 

Mit DKIM können Ihre Empfänger überprüfen, ob eine E-Mail wirklich von Ihnen stammt und ob der Inhalt nicht nachträglich verändert wurde. In den meisten Fällen stellt Ihnen Ihr Dienstleister einen eigenen DKIM-Schlüssel zur Verfügung, den Sie in Ihren DNS-Einstellungen hinterlegen müssen, um DKIM zu aktivieren. 

Schritt 3: DMARC-Richtlinie erstellen und testen 

Der entsprechende DMARC-Eintrag empfiehlt Ihrem empfangenden Mailserver, wie er mit E-Mails umgehen soll, die gegen die Sicherheitsprotokolle SPF und DKIM verstoßen. Erstellen Sie daher zunächst eine solche Richtlinie und testen Sie, ob alle legitimen E-Mails korrekt zugestellt werden. Es wird empfohlen, mit einer „none“-Richtlinie zu beginnen, um zu sehen, was passiert. 

Schritt 4: MX-Eintrag überprüfen 

Ohne MX-Eintrag („Mail Exchanger Record“) können unter einer Domain keine E-Mails gesendet oder empfangen werden. Dabei handelt es sich um einen speziellen DNS-Eintrag, der festlegt, welche Mailserver für eine bestimmte Domain E-Mails empfangen dürfen. Um eine Mailadresse zu verifizieren, benötigen Sie also auch einen MX-Eintrag.  

Dieser kommt vor allem dort zum Tragen, wo E-Mail-Adressen genutzt werden, die nur für den Versand vorgesehen sind: Hier teilt der MX-Eintrag dem empfangenden Mailserver mit, welcher Server bzw. welche Mailadresse auf der Empfängerseite Mails empfangen darf. 

Für E-Mail-Adressen, die regulär am Mailverkehr teilnehmen, also auch direkt Mails empfangen, ist der MX-Eintrag in der Regel bereits eingerichtet. 

Schritt 5: Regelmäßig Berichte auswerten 

Ein weiterer Vorteil von DMARC ist, dass Sie regelmäßig Berichte über fehlgeschlagene Versuche erhalten. Nutzen Sie diese Berichte, um Probleme zu erkennen und daraus zu lernen. 

Die DNS-Einstellungen Ihrer Domain finden Sie in der Verwaltungsoberfläche Ihres Domain-Providers. Dort können Sie diese Einträge hinterlegen oder anpassen. 

So finden Sie die DNS-Einstellungen in den meisten Fällen: 

1. Melden Sie sich bei Ihrem Domain-Provider an. 
2. Dort finden Sie häufig den entsprechenden Bereich Domainverwaltung bzw. DNS-Einstellungen. 
3. Hier können Sie TXT-Einträge bearbeiten oder neue hinzufügen, z.B. für SPF. 

Wenn Sie unsicher sind, hilft Ihnen in der Regel Ihr IT-Administrator oder der Support Ihres Providers weiter. 

So profitieren Sie von zimpel

Die Umsetzung von DMARC erfordert zwar ein wenig technisches Know-how – aber keine Sorge: Sie müssen das nicht allein bewältigen. In Kürze stellen wir unseren zimpel-Nutzerinnen und -Nutzern einen automatischen Check sowie eine Schritt-für-Schritt-Anleitung zur Verfügung, mit der sie ihre Absenderadresse ganz einfach optimieren können.

So stellen wir sicher, dass unsere Kundinnen und Kunden für zimpel auch zukünftig alle technischen Voraussetzungen erfüllen, um ihre Botschaften zuverlässig und sicher an ihre Zielgruppen zu übermitteln. Sie brauchen sich also keine Sorgen machen, dass ihre E-Mails im Spam-Ordner landen oder gar nicht erst zugestellt werden. Gemeinsam mit unseren Kundinnen und Kunden sorgen wir dafür, dass ihre E-Mails sicher und zuverlässig versendet werden und arbeiten kontinuierlich an der Einhaltung aktueller Sicherheitsstandards.

Außerdem steht unser Team bei Fragen jederzeit gerne kostenlos zur Verfügung. 

DMARC als wichtiges Instrument zum Schutz vor Betrug 

DMARC ist ein wichtiges Instrument, um E-Mails sicherer zu machen und das Vertrauen Ihrer Kundinnen und Kunden zu stärken. Auch wenn die Einrichtung zunächst komplex erscheint und etwas technische Unterstützung erfordert, lohnt sich der Aufwand, um sich vor Betrug zu schützen.  

Nutzen Sie zimpel und haben noch Fragen oder benötigen Unterstützung bei der Umsetzung in Ihrem Unternehmen? Fragen Sie unser zimpel-Team nach DMARC – wir helfen Ihnen gerne dabei, dass Ihre E-Mails sicher und vertrauenswürdig bleiben. 

Kontakt zum zimpel-Team