Zum Inhalt springen
Selector7
Kostenlos testen
DMARC-Check

DMARC prüfen, verstehen, verbessern.

Wir lesen Ihren DMARC-Record live aus dem DNS, parsen jeden Tag und sagen Ihnen klar, was er bedeutet. Inklusive Empfehlungen für den Weg zu p=reject.

Live DMARC-Check

Geben Sie eine Domain ein. Wir holen den TXT-Record unter _dmarc und parsen jeden Tag.

Domains werden gehasht gespeichert · IPs nicht protokolliert · 10 Checks/Stunde

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) ist die Klammer um SPF und DKIM. Es sagt empfangenden Mailservern dreierlei: Was sollen sie tun, wenn weder SPF noch DKIM aligned passen, wie streng sollen sie sein, und wohin sollen Reports geschickt werden.

Ohne DMARC kann jeder Spammer im Namen Ihrer Domain mailen. Mit DMARC auf p=reject kann Ihre Domain nicht mehr gespooft werden — vorausgesetzt, SPF/DKIM sind sauber konfiguriert.

Anatomie eines DMARC-Records

Ein typischer Record sieht so aus: 

v=DMARC1; p=reject; sp=reject; pct=100; rua=mailto:reports@selector7.com; aspf=s; adkim=s
v=DMARC1
Versions-Indikator. Muss immer als erster Tag stehen.
p=
Policy für die Hauptdomain: none (nur Reporting), quarantine (Spam-Ordner), reject (Abweisen).
sp=
Policy für Subdomains. Wird sp nicht gesetzt, gilt p auch für alle Subdomains.
pct=
Prozentsatz der Mails, auf die p angewendet wird. Default 100. Wird oft für schrittweisen Rollout genutzt.
rua=
Adresse(n), an die Aggregate-Reports (XML, täglich) gehen. Format: mailto:reports@…
ruf=
Adresse(n), an die Forensic-Reports (pro Einzelfall) gehen. DSGVO-kritisch, nur mit Bedacht aktivieren.
aspf=
SPF-Alignment-Modus: r (relaxed, default) oder s (strict).
adkim=
DKIM-Alignment-Modus: r (relaxed, default) oder s (strict).

Vier Fehler, die wir ständig sehen

Aus Tausenden Live-Checks: hier die wiederkehrenden Stolpersteine.

p=none läuft seit Monaten — und nichts passiert

p=none ist nur die erste Stufe. Wer dort stehen bleibt, hat formal DMARC, aber keine Schutzwirkung. Ziel ist p=reject, gestaffelt über 4–8 Wochen mit pct-Rampe.

Keine rua-Adresse hinterlegt

Ohne rua bekommen Sie keine Reports und sehen nicht, was die Welt über Ihre Domain sieht. Ein DMARC-Record ohne rua ist halbblind.

sp= fehlt, p=reject auf der Hauptdomain

Ohne sp= erbt jede Subdomain die strengere Policy. Wer eine alte Marketing-Subdomain mit kaputtem SPF hat, sperrt sich damit selbst aus.

ruf= aktiv ohne TLS-Empfänger

Forensic-Reports enthalten Header-Daten und teils Inhalt. Werden sie an einen Empfänger ohne TLS gesendet, ist das ein DSGVO-Verstoss.

Weitere Tools

Eine Domain hat sieben Auth-Layer — prüfen Sie auch die anderen.

SPF

SPF-Check

Tool öffnen DKIM

DKIM-Check

Tool öffnen BIMI

BIMI-Check

Tool öffnen MTA-STS

MTA-STS-Check

Tool öffnen

Bereit für sichere E-Mail-Kommunikation?

14 Tage kostenlos testen. Keine Kreditkarte. Volle Funktionalität. Daten bleiben in Frankfurt, AVV nach deutschem Recht inklusive.

14 Tage kostenlos testen Demo buchen