E-Mail-Authentifizierung – DMARC

  1. Überblick
  2. E-Mail
  3. LC E-Mail
  4. E-Mail-Authentifizierung – DMARC

Ab Februar 2024 verlangen Gmail und Yahoo DKIM- und DMARC-Authentifizierung für E-Mails. Wir empfehlen allen Absendern dringend, DKIM und DMARC einzurichten.

Weitere Details findest du in unserem Blogbeitrag zu den Änderungen der Authentifizierung bei Google und Yahoo im Jahr 2024.

INHALTSVERZEICHNIS

  • Was ist DMARC?

  • Was ist ein DMARC-Record?

  • Wie funktioniert DMARC?

  • Beheben von DMARC-E-Mail-Fehlern für Benutzer von LC Email Shared Domains

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein technisches Werkzeug, das E-Mails mithilfe von SPF- und DKIM-Methoden überprüft. Es ist kostenlos nutzbar und hilft, E-Mail-Betrug wie Phishing zu verhindern. DMARC wurde 2012 eingeführt und ermöglicht Domain-Inhabern, festzulegen, wie nicht autorisierte Nutzung ihrer E-Mail-Domains über eine Richtlinie im DMARC-Record (p=) behandelt werden soll.

Richtlinienoptionen:

  • p = none
    Überwacht den E-Mail-Verkehr, ohne weitere Maßnahmen zu ergreifen.

  • p = quarantine
    Sendet nicht autorisierte E-Mails in den Spam-Ordner.

  • p = reject
    Endgültige Richtlinie: E-Mails, die die DMARC-Prüfung nicht bestehen, werden nicht zugestellt.

Was ist ein DMARC-Record?

Ein DMARC-Record wird als TXT-Eintrag im DNS unter _dmarc gespeichert und legt Richtlinien und Präferenzen für E-Mail-Server fest. Er besteht aus Tags mit Werten, getrennt durch Semikolons.

Beispiel eines einfachen DMARC-Records:

v=DMARC1; p=none;

Wichtige Tags:

  • v (Version): Muss immer auf DMARC1 gesetzt sein.

  • p (Policy/Richtlinie): none, quarantine oder reject.

  • adkim (DKIM Alignment Mode): r (relaxed) oder s (strict).

  • aspf (SPF Alignment Mode): r (relaxed) oder s (strict).

  • sp (Subdomain Policy): Richtlinie für Subdomains.

  • fo (Forensic Reporting Options): Legt fest, wann forensische Berichte generiert werden.

  • ruf: Empfänger für forensische Berichte.

  • rua: Empfänger für aggregierte XML-Reports.

  • rf: Format für forensische Berichte.

  • pct: Prozentsatz der E-Mails, auf die die Richtlinie angewendet wird.

  • ri: Intervall für aggregierte Reports in Sekunden.

Wie funktioniert DMARC?

Authentifizierung:

  1. SPF/DKIM-Prüfung: Empfänger-Server überprüfen die SPF- oder DKIM-Methoden.

  2. Domain Alignment: Prüft, ob die SPF-Domain (Return-Path) oder DKIM-Domain (d=) mit der From-Domain übereinstimmt.

  3. DMARC-Richtlinie: Richtlinie aus dem DNS-Record der From-Domain wird extrahiert und angewendet.

Beispielkonfigurationen:

  • SPF passt und stimmt mit der From-Domain überein → DMARC bestanden:

v=DMARC1; p=none; aspf=r;

  • DKIM passt und stimmt mit der From-Domain überein → DMARC bestanden:

v=DMARC1; p=none; adkim=s;

  • SPF und DKIM schlagen fehl → DMARC nicht bestanden:

v=DMARC1; p=reject;

Alignment-Modi:

  • Relaxed (r): Subdomains werden als passend betrachtet.

  • Strict (s): Exakte Übereinstimmung mit der From-Domain erforderlich.

Reporting:

  • Aggregierte Berichte: Zusammenfassende Pass/Fail-Ergebnisse über rua.

  • Forensische Berichte: Detaillierte Fehlermeldungen über ruf (nicht immer verwendet).

  • Reporting-Intervall (ri): Frequenz der Berichte.

Beispiel für aggregierte Reports alle 24 Stunden:

v=DMARC1; p=none; rua=mailto:postmaster@mydomain.com; ri=86400;

Beispiel für forensische Reports alle 7 Tage:

v=DMARC1; p=none; ruf=mailto:postmaster@mydomain.com; ri=604800;

Prozentsatz-Richtlinie testen:

v=DMARC1; p=quarantine; pct=50;

Später vollständige Durchsetzung:

v=DMARC1; p=reject;

Beheben von DMARC-Fehlern für Benutzer von LC Email Shared Domains

DMARC ist nicht erforderlich, um E-Mails von Shared Domains im LeadConnector-E-Mail-System zu senden.

Wenn du zum LC E-Mail-System gewechselt bist oder kein eigenes Mailgun/SMTP konfiguriert hast, werden alle E-Mails über die LC Shared Domain gesendet.

Fehlermeldung:

"The domain in your from address (kate@gohighlevel.com) has a p=reject DMARC policy. Without a dedicated sending domain configured, most inbox providers will reject your messages, resulting in elevated bounces. To avoid elevated bounces, use company emails."

Lösung:

  • Temporär die DMARC-Richtlinie im DNS auf p=none ändern, um Zustellprobleme zu vermeiden.

  • Die Änderung sollte nur vorübergehend sein; eine dauerhafte, entspannte Richtlinie wird nicht empfohlen.

Weitere Ressourcen:

  • Achieving Compliance: Meeting Google and Yahoo's Email Sender Requirements in 2024

  • Email Sending Guide: Email Best Practices & Email Warm Up

Letztes Update 24. Januar 2026
War dieser Artikel hilfreich?