Zum Inhalt springen
Selector7
8 Min. Lesezeit von Selector7-Team

Was Cloudflare DMARC Management nicht kann (und wann das zählt)

Cloudflare DMARC Management ist kostenlos und solide für Basis-Reporting. Wo die Grenzen liegen — und ab wann ein spezialisiertes Werkzeug nötig wird.

#dmarc #cloudflare #vergleich

Cloudflare bietet seit einiger Zeit ein eigenes DMARC Management an — kostenlos, direkt im Dashboard, mit einem aufgeräumten Bericht über die Quellen, die unter Ihrer Domain versenden. Für viele Unternehmen ist das ein guter Einstieg, und wir sehen keinen Grund, das schlechtzureden.

Dieser Artikel macht etwas anderes: Er zieht eine sachliche Grenze. Wofür reicht Cloudflare DMARC, und ab welchem Punkt stößt es an strukturelle Grenzen, die nicht mit einem Update verschwinden? Wenn Sie diese Grenzen kennen, können Sie selbst entscheiden, ob das kostenlose Angebot für Ihre Situation genügt.

Was Cloudflare DMARC gut macht

Fangen wir mit dem an, was funktioniert. Cloudflare DMARC Management:

  • nimmt Ihre DMARC-Aggregate-Reports (rua) entgegen und wertet sie aus,
  • zeigt Ihnen, von welchen IP-Adressen und Sendequellen unter Ihrer Domain versendet wird,
  • markiert, ob SPF und DKIM für diese Quellen bestehen,
  • ist kostenlos und ohne separaten Vertrag nutzbar, wenn Sie ohnehin Cloudflare-Kunde sind.

Für eine einzelne Domain, die ihr DNS bereits bei Cloudflare verwaltet und die vor allem einen ersten Überblick will, ist das ein vernünftiger Ausgangspunkt. Wer von “gar kein Reporting” auf “ich sehe meine Sendequellen” wechselt, hat einen echten Schritt nach vorne gemacht.

Wo die Grenzen liegen

Die folgenden Punkte sind keine Bugs. Sie ergeben sich aus dem Zuschnitt des Angebots: Cloudflare DMARC ist ein nützliches Zusatzfeature einer DNS- und CDN-Plattform — kein spezialisiertes Compliance-Werkzeug.

Es funktioniert nur mit Cloudflare-DNS

Das DMARC Management ist Teil der Cloudflare-DNS-Verwaltung. Es setzt voraus, dass Ihre Domain bei Cloudflare gehostet wird. Wer sein DNS bei einem anderen Anbieter betreibt — bei einem deutschen Hoster, bei der eigenen IT, bei einem Microsoft-365-verwalteten DNS — kann das Feature nicht ohne Weiteres nutzen. Für Unternehmen mit mehreren Domains bei unterschiedlichen Registraren wird daraus schnell ein Flickenteppich.

Sender werden als IPs gezeigt, nicht klassifiziert

Cloudflare zeigt Ihnen die sendenden IP-Adressen und in vielen Fällen den zugehörigen Reverse-DNS-Namen. Was es nicht tut: die Quelle benennen. Eine Zeile wie 40.92.0.0/15 sagt einem IT-Leiter wenig. Dass dahinter Microsoft 365 steht, muss man selbst recherchieren — und bei einem unbekannten Dienstleister, einem Newsletter-Tool oder einem CRM-Anbieter wird das mühsam.

Genau hier setzt eine Sender-Klassifizierung an: Sie ordnet IP-Bereiche bekannten Providern zu und zeigt statt einer rohen IP einen Namen wie “Microsoft 365”, “Brevo” oder “Salesforce”. Das ist der Unterschied zwischen einer Liste von Zahlen und einer Liste, mit der man arbeiten kann. Selector7 pflegt dafür eine Provider-Datenbank; Cloudflare liefert die IPs, aber nicht diese Einordnung.

Kein Compliance- oder NIS2-Report

Cloudflare DMARC erzeugt keinen Bericht, den Sie einem Auditor, einem Aufsichtsrat oder im Rahmen einer NIS2-Dokumentation vorlegen können. Es gibt eine Dashboard-Ansicht, aber kein datiertes, exportierbares Dokument in deutscher Sprache, das den Stand Ihrer E-Mail-Authentifizierung als fortlaufenden Nachweis festhält. Für die Sorgfaltspflicht der Geschäftsleitung nach dem NIS2UmsuCG (insbesondere § 38) ist genau ein solcher Nachweis relevant — ein Screenshot ist kein Audit-Trail.

Keine Begleitung beim Weg zu p=reject

Cloudflare zeigt Ihnen den Ist-Zustand. Es führt Sie aber nicht durch den Weg von p=none über quarantine zu p=reject. Es gibt keinen Mechanismus, der bewertet, ob alle legitimen Sender freigegeben sind und ob die Pass-Rate hoch genug ist, um die nächste Stufe sicher zu schalten. Diese Entscheidung — die in der Praxis der heikelste Teil eines DMARC-Projekts ist — bleibt vollständig bei Ihnen. Ein Guided Enforcement mit Risk-Score, das diese Schwellen prüft, ist nicht Teil des Angebots.

Kein Lookalike-Domain-Monitoring

DMARC-Reporting deckt Missbrauch Ihrer eigenen Domain auf. Es sieht aber nicht, wenn jemand eine ähnlich geschriebene Domain registriert — ihre-firma-gmbh.de statt ihre-firma.de, oder eine Variante mit vertauschten Buchstaben — um damit Ihre Kunden oder Mitarbeiter zu täuschen. Solche Lookalike-Domains sind ein verbreiteter Phishing-Vektor, und sie liegen außerhalb dessen, was ein reines DMARC-Report-Tool wie Cloudflare leisten kann.

Keine Multi-Tenant- oder MSP-Sicht

Wer als IT-Dienstleister die Domains mehrerer Kunden betreut, braucht eine Mandantenansicht: getrennte Mandanten, eine Übersicht über alle Kunden, abgegrenzte Rechte. Cloudflare DMARC ist auf den einzelnen Account und dessen Domains zugeschnitten. Für die Arbeit eines MSP, der zehn oder fünfzig Kundendomains überwacht, ist das keine praktikable Grundlage.

Kein Hosted SPF/DKIM gegen das 10-Lookup-Limit

SPF nach RFC 7208 erlaubt maximal zehn DNS-Lookups bei der Auswertung eines Records. Unternehmen, die viele Drittdienste einbinden — Microsoft 365, ein Newsletter-Tool, ein CRM, ein Ticketsystem, einen Rechnungsversender — überschreiten dieses Limit schnell. Das Ergebnis ist ein permerror, der die gesamte SPF-Prüfung scheitern lässt. Cloudflare DMARC macht dieses Problem sichtbar, löst es aber nicht. Ein Hosted-SPF-Ansatz fasst die Includes zu einem einzigen, flach gehaltenen Record zusammen und bleibt damit unter dem Limit. Dasselbe gilt für gehostete DKIM-Schlüsselverwaltung. Beides bietet Cloudflare DMARC nicht.

Wann Cloudflare reicht — und wann nicht

Es gibt klare Fälle, in denen das kostenlose Cloudflare-Angebot die richtige Wahl ist:

  • Sie verwalten eine oder wenige Domains, alle bei Cloudflare.
  • Sie wollen vor allem einen ersten Überblick über Ihre Sendequellen.
  • Sie haben keine formale Compliance-Pflicht, die einen exportierbaren Nachweis verlangt.
  • Sie sind technisch versiert genug, um IPs selbst einzuordnen und den Weg zu p=reject eigenständig zu gehen.

In diesen Fällen spricht wenig dagegen, mit Cloudflare zu starten — und das ist ein ehrlicher Rat, kein Marketing-Trick.

Anders sieht es aus, wenn einer der folgenden Punkte auf Sie zutrifft:

  • Ihr DNS liegt nicht (vollständig) bei Cloudflare.
  • Sie betreuen mehrere Mandanten oder arbeiten als MSP.
  • Sie brauchen einen NIS2- oder Compliance-Nachweis als Dokument.
  • Sie wollen beim Weg zu p=reject geführt werden, statt allein zu entscheiden.
  • Sie kämpfen mit dem 10-Lookup-Limit und brauchen Hosted SPF/DKIM.
  • Sie wollen Lookalike-Domains im Blick behalten.

Sobald einer dieser Punkte zutrifft, stoßen Sie nicht an eine Einstellung, die man nachjustiert, sondern an die Reichweite des Angebots.

Fazit

Cloudflare DMARC Management ist ein solides, kostenloses Werkzeug für Basis-Reporting, wenn Sie ohnehin auf Cloudflare-DNS setzen. Es ersetzt aber kein spezialisiertes Authentifizierungs- und Compliance-Werkzeug, sobald mehrere Domains, Mandanten, ein Compliance-Nachweis oder die geführte Durchsetzung ins Spiel kommen.

Selector7 setzt genau an diesen Grenzen an: Sender-Klassifizierung statt roher IPs, NIS2-PDF-Report als Nachweis, Guided Enforcement mit Risk-Score, Lookalike-Monitoring und Hosted SPF/DKIM. Eine Punkt-für-Punkt-Gegenüberstellung finden Sie unter vs. Cloudflare. Und wenn Sie zunächst nur sehen wollen, wo Ihre Domain heute steht: Domain kostenlos prüfen.

Bereit für sichere E-Mail-Kommunikation?

14 Tage kostenlos testen. Keine Kreditkarte. Volle Funktionalität. Daten bleiben in der EU (Finnland), AVV nach deutschem Recht inklusive.