DMARC-Policy (p=none, quarantine, reject)

Die Policy im p=-Tag eines DMARC-Records legt fest, wie ein empfangender Server mit Mails umgeht, die die DMARC-Prüfung nicht bestehen. Es gibt drei Stufen:

• p=none — nichts tun, nur berichten. Reine Beobachtungsstufe ohne Schutzwirkung. Spoofing funktioniert hier genauso wie ganz ohne DMARC.
• p=quarantine — nicht bestehende Mails als verdaechtig behandeln, typischerweise in den Spam-Ordner.
• p=reject — nicht bestehende Mails abweisen. Die Zielstufe, die die Domain gegen direktes Spoofing schützt.

Der sichere Weg führt schrittweise: von p=none über p=quarantine (oft erst mit pct=25 für einen Teil der Mails) zu p=reject. Vor jeder Stufe müssen alle legitimen Sender identifiziert und authentifiziert sein, sonst gehen echte Mails verloren.

Ergänzend regelt das sp=-Tag die Policy für Subdomains. Wer nur p= setzt, vererbt die Policy zwar an Subdomains, sollte sp= aber bewusst konsistent setzen.