Zum Inhalt springen
Selector7
8 Min. Lesezeit von Selector7-Team

Von p=none zu p=reject: Der sichere DMARC-Fahrplan in 30 Tagen

Warum p=none allein nicht schützt und wie Sie in vier Stufen über quarantine sicher auf p=reject kommen — mit Pass-Rate-Schwellen und DNS-Beispielen.

#dmarc #enforcement #anleitung

Viele Domains stehen seit Jahren auf p=none — und ihre Betreiber glauben, sie seien geschützt. Das sind sie nicht. p=none ist eine reine Beobachtungsstufe. Sie sammelt Berichte, weist aber keine einzige gefälschte Mail ab. Spoofing Ihrer Domain funktioniert unter p=none genauso wie ganz ohne DMARC.

Dieser Artikel beschreibt den Weg von p=none zu p=reject in vier kontrollierten Stufen. Mit etwas Disziplin lässt er sich in rund 30 Tagen gehen, ohne dass legitime Mails verloren gehen.

Warum p=none allein nicht reicht

DMARC (RFC 7489) kennt drei Policies: none, quarantine und reject. Die Policy steht im p=-Tag und sagt dem empfangenden Server, was er mit Mails tun soll, die die DMARC-Prüfung nicht bestehen.

  • p=none — nichts tun, nur berichten.
  • p=quarantine — als verdächtig behandeln (typischerweise in den Spam-Ordner).
  • p=reject — abweisen.

Eine DMARC-Prüfung gilt als bestanden, wenn mindestens ein aligned-Mechanismus — DKIM oder SPF — passt (RFC 7489, § 6.6.2). Wichtig ist das Wort aligned: Die authentifizierte Domain muss zur Absenderdomain im sichtbaren From passen. Ein technischer SPF-Pass auf einer fremden Bounce-Domain reicht nicht.

Nur unter quarantine oder reject hat diese Prüfung eine Konsequenz. p=none ist der Ausgangspunkt — nicht das Ziel.

Die vier Stufen

Der Fahrplan führt schrittweise von reiner Beobachtung zu vollständiger Durchsetzung. Jede Stufe hat eine Eintrittsbedingung. Überspringen Sie keine.

Stufe 1 — Monitoring (p=none)

Sie starten mit p=none und aktivem rua-Reporting. Ziel dieser Stufe ist ausschließlich, ein vollständiges Bild aller versendenden Quellen zu bekommen.

_dmarc.ihre-domain.de.  IN  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@ihre-domain.de; ruf=mailto:dmarc@ihre-domain.de; fo=1"

Lassen Sie diese Stufe mindestens zwei Wochen laufen. In dieser Zeit identifizieren Sie jede legitime Quelle: eigener Mailserver, Microsoft 365 oder Google Workspace, Newsletter-Tool, CRM, Ticketsystem, Rechnungs- und Mahnversand, Monitoring-Systeme. Jede dieser Quellen muss anschließend sauber über SPF und/oder DKIM authentifiziert und aligned sein.

Eintrittsbedingung für Stufe 2: Sie haben alle legitimen Sender identifiziert und für jeden die Authentifizierung eingerichtet. Es gibt kein Sender-Loch.

Stufe 2 — Sanfter Einstieg (quarantine, pct=25)

Jetzt schalten Sie auf quarantine, aber nur für ein Viertel der nicht bestehenden Mails. Das pct-Tag begrenzt die Anzahl der Nachrichten, auf die die verschärfte Policy angewendet wird.

_dmarc.ihre-domain.de.  IN  TXT  "v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@ihre-domain.de; sp=quarantine; fo=1"

Mit pct=25 testen Sie die Auswirkung im kleinen Rahmen. Beobachten Sie die Reports und Ihr Support-Postfach: Beschwert sich jemand über fehlende Mails? Tauchen plötzlich legitime Quellen als Fehlschlag auf, die Sie übersehen hatten?

Eintrittsbedingung für Stufe 3: Die Pass-Rate Ihrer legitimen Mails liegt stabil bei über 98 bis 99 %, und über mehrere Tage gibt es keine neuen, unerwarteten legitimen Quellen in den Reports.

Stufe 3 — Voller Quarantine (quarantine, pct=100)

Sie entfernen die Begrenzung. Jetzt gilt quarantine für alle nicht bestehenden Mails.

_dmarc.ihre-domain.de.  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@ihre-domain.de; sp=quarantine; fo=1"

Auf dieser Stufe landen gefälschte Mails zuverlässig im Spam, legitime Mails kommen weiterhin an. Lassen Sie diese Stufe rund eine Woche laufen und prüfen Sie die Reports ein letztes Mal gründlich.

Eintrittsbedingung für Stufe 4: Die Pass-Rate ist seit Tagen stabil hoch, es gibt keine ungeklärten Fehlschläge legitimer Quellen, und Sie haben das Forwarding-Verhalten geprüft (siehe unten).

Stufe 4 — Durchsetzung (p=reject)

Die Zieleinstellung. Mails, die die DMARC-Prüfung nicht bestehen, werden abgewiesen.

_dmarc.ihre-domain.de.  IN  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc@ihre-domain.de; sp=reject; fo=1"

Ab hier ist Ihre Domain gegen direktes Spoofing geschützt. Behalten Sie das Reporting dauerhaft aktiv — neue Dienste, gewechselte Anbieter oder ein neues Tool im Marketing können jederzeit ein neues Sender-Loch aufreißen.

Häufige Fehler

Zu früh auf reject. Der häufigste und teuerste Fehler. Wer von p=none direkt auf p=reject springt, ohne alle Sender freigegeben zu haben, blockiert legitime Mails — zum Beispiel den Rechnungsversand oder das Newsletter-Tool. Halten Sie sich an die Stufen.

Subdomain-Policy vergessen. Ohne sp=-Tag erbt jede Subdomain die Policy der Hauptdomain — aber sobald Sie eine eigene Subdomain-Policy brauchen, oder wenn Angreifer gezielt nicht existierende Subdomains nutzen, wird sp= relevant. Setzen Sie sp= von Anfang an konsistent zur jeweiligen Stufe (sp=quarantine, später sp=reject).

Forwarding und ARC unterschätzt. Wird eine Mail weitergeleitet (etwa über eine Mailingliste oder eine automatische Weiterleitung), bricht SPF, weil der weiterleitende Server eine andere IP nutzt. DKIM überlebt das oft, aber nicht immer. ARC (RFC 8617) erhält die ursprüngliche Authentifizierungskette über Zwischenstationen hinweg — sofern beide Seiten es unterstützen. Prüfen Sie vor p=reject, ob legitimer Mailverkehr über Weiterleitungen läuft, und ob er DKIM-aligned bleibt. Sonst weisen Sie versehentlich echte Mails ab.

Reporting nach reject abschalten. DMARC ist kein Projekt mit Enddatum. Ohne laufendes rua-Reporting merken Sie nicht, wenn ein neuer Dienst aus dem Raster fällt.

Wo Selector7 hilft

Den oben beschriebenen Weg muss niemand allein im Blindflug gehen. Das Guided Enforcement von Selector7 führt anhand eines Risk-Score durch genau diese Stufen — von p=none bis p=reject — und zeigt Ihnen, welche Sender noch freigegeben werden müssen, bevor die nächste Stufe sicher ist.

Wenn Sie zunächst nur wissen wollen, wo Ihre Domain heute steht: Domain kostenlos prüfen. Oder fragen Sie eine Demo an.

Bereit für sichere E-Mail-Kommunikation?

14 Tage kostenlos testen. Keine Kreditkarte. Volle Funktionalität. Daten bleiben in der EU (Finnland), AVV nach deutschem Recht inklusive.