DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist ein E-Mail-Authentifizierungsprotokoll, das auf zwei früheren Standards aufbaut: SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail). Während SPF den sendenden Server verifiziert und DKIM die Nachrichtenintegrität prüft, verbindet DMARC beide, indem es Domainbesitzern ermöglicht, einen DNS-Eintrag zu veröffentlichen, der empfangende Mailserver anweist, was zu tun ist, wenn eine Nachricht eine oder beide Prüfungen nicht besteht. DMARC führt zudem einen Berichtsmechanismus ein, der XML-Berichte an Domainbesitzer sendet, damit diese die unbefugte Nutzung ihrer Domain in E-Mail-Headern überwachen können.

E-Mail bleibt der primäre Kanal zum Teilen von Publikationslinks, zur Zustellung von Lead-Benachrichtigungen und zum Versand transaktionaler Nachrichten. Ohne DMARC können Angreifer deinen Domainnamen im „Von"-Feld von Phishing-E-Mails fälschen und betrügerische Nachrichten so aussehen lassen, als kämen sie von deiner Organisation. Das schadet dem Markenvertrauen und gefährdet deine Kontakte. Eine korrekt konfigurierte DMARC-Richtlinie weist empfangende Server an, nicht authentifizierte Nachrichten unter Quarantäne zu stellen oder abzulehnen und gefälschte E-Mails zu blockieren, bevor sie die Posteingänge erreichen. Für Verleger, die [Flipbook](/glossary/flipbook)-Links per E-Mail verteilen, verbessert DMARC auch die Zustellbarkeit — E-Mail-Anbieter wie Gmail und Outlook bevorzugen Domains mit gültigen DMARC-Einträgen.

FlipLinks E-Mail-Infrastruktur ist so konzipiert, dass sie die DMARC-Validierung standardmäßig besteht. Wenn FlipLink Lead-Benachrichtigungen, Publikations-Freigabelinks oder Nachrichten über [E-Mail-Vorlagen](/features/email-templates) sendet, sind diese E-Mails sowohl mit SPF- als auch DKIM-Anforderungen konform. Wenn du eine benutzerdefinierte Sendedomain verwendest, veröffentliche einen DMARC-Eintrag in deinem DNS, der deine Richtlinie und eine Berichtsadresse definiert. FlipLinks Sendepraktiken entsprechen deiner DMARC-Richtlinie, sodass legitime E-Mails die Validierung bestehen, während betrügerische von empfangenden Servern abgefangen werden. Das bedeutet, dass deine Flipbook-Freigabe-E-Mails, Lead-Benachrichtigungen und automatisierten Nachrichten zuverlässig bei den Empfängern ankommen, ohne als Spam markiert oder abgelehnt zu werden.

Ein DMARC-Eintrag ist ein TXT-Eintrag im DNS deiner Domain. Die wichtigsten Tags umfassen: `v=DMARC1` (Version), `p=` (Richtlinie: none, quarantine oder reject), `rua=` (Adresse für aggregierte Berichte), `ruf=` (Adresse für forensische Berichte), `pct=` (Prozentsatz der Nachrichten, für die die Richtlinie gilt) und `adkim=`/`aspf=` (Ausrichtungsmodus, strict oder relaxed). Ausrichtung ist das zentrale Konzept — DMARC prüft, ob die Domain im „Von"-Header mit der durch SPF authentifizierten Domain (dem Envelope-Absender) und der durch DKIM authentifizierten Domain (der Signaturdomain) übereinstimmt. Relaxed Alignment erlaubt Subdomains, mit der Organisationsdomain übereinzustimmen, während Strict Alignment eine exakte Übereinstimmung erfordert. Die meisten Verleger beginnen mit Relaxed Alignment, um zu vermeiden, dass legitime E-Mails von Subdomains oder Drittanbietern wie FlipLink blockiert werden.

1. **Zuerst SPF verifizieren** — bestätige, dass du einen gültigen SPF-Eintrag hast, der alle autorisierten Sendeserver einschließt (deinen E-Mail-Anbieter, FlipLink, alle Marketing-Tools). 2. **DKIM-Signierung einrichten** — konfiguriere DKIM-Schlüssel in deinem DNS und stelle sicher, dass dein E-Mail-Anbieter ausgehende Nachrichten signiert. 3. **Mit p=none beginnen** — veröffentliche einen DMARC-Eintrag mit `p=none`, um Berichte zu sammeln, ohne die Zustellung zu beeinflussen: `v=DMARC1; p=none; rua=mailto:dmarc-reports@ihredomain.de` 4. **Berichte zwei bis vier Wochen lang analysieren** — nutze die aggregierten Berichte, um alle legitimen Absender zu identifizieren und eine unbefugte Nutzung deiner Domain aufzudecken. 5. **Auf p=quarantine wechseln** — sobald du sicher bist, dass alle legitimen Absender die Authentifizierung bestehen, ändere die Richtlinie auf quarantine, um fehlschlagende Nachrichten in den Spam-Ordner zu leiten. 6. **Auf p=reject vorrücken** — nachdem du bestätigt hast, dass keine legitime E-Mail unter Quarantäne gestellt wird, setze die Richtlinie auf reject für maximalen Schutz. 7. **Fortlaufend überwachen** — überprüfe weiterhin regelmäßig die DMARC-Berichte, um neue Absender oder Konfigurationsabweichungen zu erkennen.

**Kann man DMARC ohne SPF und DKIM einrichten?** Technisch kannst du einen DMARC-Eintrag ohne diese veröffentlichen, aber er hat keinen praktischen Effekt. DMARC basiert auf SPF- und DKIM-Ergebnissen für seine Bestanden/Nicht-bestanden-Bewertung. Ohne mindestens einen der beiden wird jede Nachricht die DMARC-Prüfungen nicht bestehen. **Wird DMARC meine E-Mail-Zustellung unterbrechen?** Nicht, wenn du den schrittweisen Ansatz verfolgst. Beginnend mit `p=none` kannst du beobachten, welche E-Mails bestehen und welche durchfallen, ohne etwas zu blockieren. Wechsle erst zu quarantine oder reject, nachdem du bestätigt hast, dass alle legitimen E-Mail-Quellen korrekt authentifiziert sind. **Wie lange dauert es, bis DMARC wirksam wird?** DNS-Änderungen verbreiten sich typischerweise innerhalb weniger Stunden, obwohl einige Anbieter bis zu 48 Stunden benötigen können. Nach der Verbreitung beginnen empfangende Server sofort mit der Anwendung deiner Richtlinie, und aggregierte Berichte treffen innerhalb von 24 Stunden ein.

DMARC vervollständigt den E-Mail-Authentifizierungs-Stack, indem es Domainbesitzern Kontrolle darüber gibt, was passiert, wenn SPF- oder DKIM-Prüfungen fehlschlagen — es schützt deine Marke vor Spoofing, verbessert die E-Mail-Zustellbarkeit und bietet Transparenz darüber, wer E-Mails in deinem Namen sendet.