Was Cloudflare DMARC Management nicht kann (und wann das zählt)
Cloudflare DMARC Management ist kostenlos und solide für Basis-Reporting. Wo die Grenzen liegen — und ab wann ein spezialisiertes Werkzeug nötig wird.
Cloudflare bietet seit einiger Zeit ein eigenes DMARC Management an — kostenlos, direkt im Dashboard, mit einem aufgeräumten Bericht über die Quellen, die unter Ihrer Domain versenden. Für viele Unternehmen ist das ein guter Einstieg, und wir sehen keinen Grund, das schlechtzureden.
Dieser Artikel macht etwas anderes: Er zieht eine sachliche Grenze. Wofür reicht Cloudflare DMARC, und ab welchem Punkt stößt es an strukturelle Grenzen, die nicht mit einem Update verschwinden? Wenn Sie diese Grenzen kennen, können Sie selbst entscheiden, ob das kostenlose Angebot für Ihre Situation genügt.
Was Cloudflare DMARC gut macht
Fangen wir mit dem an, was funktioniert. Cloudflare DMARC Management:
- nimmt Ihre DMARC-Aggregate-Reports (
rua) entgegen und wertet sie aus, - zeigt Ihnen, von welchen IP-Adressen und Sendequellen unter Ihrer Domain versendet wird,
- markiert, ob SPF und DKIM für diese Quellen bestehen,
- ist kostenlos und ohne separaten Vertrag nutzbar, wenn Sie ohnehin Cloudflare-Kunde sind.
Für eine einzelne Domain, die ihr DNS bereits bei Cloudflare verwaltet und die vor allem einen ersten Überblick will, ist das ein vernünftiger Ausgangspunkt. Wer von “gar kein Reporting” auf “ich sehe meine Sendequellen” wechselt, hat einen echten Schritt nach vorne gemacht.
Wo die Grenzen liegen
Die folgenden Punkte sind keine Bugs. Sie ergeben sich aus dem Zuschnitt des Angebots: Cloudflare DMARC ist ein nützliches Zusatzfeature einer DNS- und CDN-Plattform — kein spezialisiertes Compliance-Werkzeug.
Es funktioniert nur mit Cloudflare-DNS
Das DMARC Management ist Teil der Cloudflare-DNS-Verwaltung. Es setzt voraus, dass Ihre Domain bei Cloudflare gehostet wird. Wer sein DNS bei einem anderen Anbieter betreibt — bei einem deutschen Hoster, bei der eigenen IT, bei einem Microsoft-365-verwalteten DNS — kann das Feature nicht ohne Weiteres nutzen. Für Unternehmen mit mehreren Domains bei unterschiedlichen Registraren wird daraus schnell ein Flickenteppich.
Sender werden als IPs gezeigt, nicht klassifiziert
Cloudflare zeigt Ihnen die sendenden IP-Adressen und in vielen Fällen den zugehörigen
Reverse-DNS-Namen. Was es nicht tut: die Quelle benennen. Eine Zeile wie
40.92.0.0/15 sagt einem IT-Leiter wenig. Dass dahinter Microsoft 365 steht, muss man
selbst recherchieren — und bei einem unbekannten Dienstleister, einem Newsletter-Tool oder
einem CRM-Anbieter wird das mühsam.
Genau hier setzt eine Sender-Klassifizierung an: Sie ordnet IP-Bereiche bekannten Providern zu und zeigt statt einer rohen IP einen Namen wie “Microsoft 365”, “Brevo” oder “Salesforce”. Das ist der Unterschied zwischen einer Liste von Zahlen und einer Liste, mit der man arbeiten kann. Selector7 pflegt dafür eine Provider-Datenbank; Cloudflare liefert die IPs, aber nicht diese Einordnung.
Kein Compliance- oder NIS2-Report
Cloudflare DMARC erzeugt keinen Bericht, den Sie einem Auditor, einem Aufsichtsrat oder im Rahmen einer NIS2-Dokumentation vorlegen können. Es gibt eine Dashboard-Ansicht, aber kein datiertes, exportierbares Dokument in deutscher Sprache, das den Stand Ihrer E-Mail-Authentifizierung als fortlaufenden Nachweis festhält. Für die Sorgfaltspflicht der Geschäftsleitung nach dem NIS2UmsuCG (insbesondere § 38) ist genau ein solcher Nachweis relevant — ein Screenshot ist kein Audit-Trail.
Keine Begleitung beim Weg zu p=reject
Cloudflare zeigt Ihnen den Ist-Zustand. Es führt Sie aber nicht durch den Weg von p=none
über quarantine zu p=reject. Es gibt keinen Mechanismus, der bewertet, ob alle legitimen
Sender freigegeben sind und ob die Pass-Rate hoch genug ist, um die nächste Stufe sicher zu
schalten. Diese Entscheidung — die in der Praxis der heikelste Teil eines
DMARC-Projekts ist — bleibt vollständig bei Ihnen. Ein Guided Enforcement mit
Risk-Score, das diese Schwellen prüft, ist nicht Teil des Angebots.
Kein Lookalike-Domain-Monitoring
DMARC-Reporting deckt Missbrauch Ihrer eigenen Domain auf. Es sieht aber nicht, wenn
jemand eine ähnlich geschriebene Domain registriert — ihre-firma-gmbh.de statt
ihre-firma.de, oder eine Variante mit vertauschten Buchstaben — um damit Ihre Kunden oder
Mitarbeiter zu täuschen. Solche Lookalike-Domains sind ein verbreiteter Phishing-Vektor, und
sie liegen außerhalb dessen, was ein reines DMARC-Report-Tool wie Cloudflare leisten kann.
Keine Multi-Tenant- oder MSP-Sicht
Wer als IT-Dienstleister die Domains mehrerer Kunden betreut, braucht eine Mandantenansicht: getrennte Mandanten, eine Übersicht über alle Kunden, abgegrenzte Rechte. Cloudflare DMARC ist auf den einzelnen Account und dessen Domains zugeschnitten. Für die Arbeit eines MSP, der zehn oder fünfzig Kundendomains überwacht, ist das keine praktikable Grundlage.
Kein Hosted SPF/DKIM gegen das 10-Lookup-Limit
SPF nach RFC 7208 erlaubt maximal zehn DNS-Lookups bei der Auswertung eines Records.
Unternehmen, die viele Drittdienste einbinden — Microsoft 365, ein Newsletter-Tool, ein
CRM, ein Ticketsystem, einen Rechnungsversender — überschreiten dieses Limit schnell. Das
Ergebnis ist ein permerror, der die gesamte SPF-Prüfung scheitern lässt. Cloudflare DMARC
macht dieses Problem sichtbar, löst es aber nicht. Ein Hosted-SPF-Ansatz fasst die
Includes zu einem einzigen, flach gehaltenen Record zusammen und bleibt damit unter dem
Limit. Dasselbe gilt für gehostete DKIM-Schlüsselverwaltung. Beides bietet Cloudflare DMARC
nicht.
Wann Cloudflare reicht — und wann nicht
Es gibt klare Fälle, in denen das kostenlose Cloudflare-Angebot die richtige Wahl ist:
- Sie verwalten eine oder wenige Domains, alle bei Cloudflare.
- Sie wollen vor allem einen ersten Überblick über Ihre Sendequellen.
- Sie haben keine formale Compliance-Pflicht, die einen exportierbaren Nachweis verlangt.
- Sie sind technisch versiert genug, um IPs selbst einzuordnen und den Weg zu
p=rejecteigenständig zu gehen.
In diesen Fällen spricht wenig dagegen, mit Cloudflare zu starten — und das ist ein ehrlicher Rat, kein Marketing-Trick.
Anders sieht es aus, wenn einer der folgenden Punkte auf Sie zutrifft:
- Ihr DNS liegt nicht (vollständig) bei Cloudflare.
- Sie betreuen mehrere Mandanten oder arbeiten als MSP.
- Sie brauchen einen NIS2- oder Compliance-Nachweis als Dokument.
- Sie wollen beim Weg zu
p=rejectgeführt werden, statt allein zu entscheiden. - Sie kämpfen mit dem 10-Lookup-Limit und brauchen Hosted SPF/DKIM.
- Sie wollen Lookalike-Domains im Blick behalten.
Sobald einer dieser Punkte zutrifft, stoßen Sie nicht an eine Einstellung, die man nachjustiert, sondern an die Reichweite des Angebots.
Fazit
Cloudflare DMARC Management ist ein solides, kostenloses Werkzeug für Basis-Reporting, wenn Sie ohnehin auf Cloudflare-DNS setzen. Es ersetzt aber kein spezialisiertes Authentifizierungs- und Compliance-Werkzeug, sobald mehrere Domains, Mandanten, ein Compliance-Nachweis oder die geführte Durchsetzung ins Spiel kommen.
Selector7 setzt genau an diesen Grenzen an: Sender-Klassifizierung statt roher IPs, NIS2-PDF-Report als Nachweis, Guided Enforcement mit Risk-Score, Lookalike-Monitoring und Hosted SPF/DKIM. Eine Punkt-für-Punkt-Gegenüberstellung finden Sie unter vs. Cloudflare. Und wenn Sie zunächst nur sehen wollen, wo Ihre Domain heute steht: Domain kostenlos prüfen.