E-Mail-Authentifizierung
DMARC-Analyzer
Prüft DMARC-Record, Policy, Alignment, Reports und Konfigurationshinweise.
So nutzen Sie das Tool
- Geben Sie die sendende Domain ein, die Empfänger im From-Header sehen, z. B. example.com, ohne Protokoll, Pfad oder Mailbox-Präfix. DN01 normalisiert den Namen, lehnt fehlerhafte oder eingeschränkte Hosts ab und nutzt die registrierbare Domain als Lookup-Ziel. Sendet ein Subdomain mit eigener Infrastruktur, führen Sie eine separate Prüfung aus: DMARC wird auf der organisationalen Domain veröffentlicht, die sichtbar ist.
- DN01 führt einen Live-DNS-TXT-Lookup auf `_dmarc.<domain>` mit fünf Sekunden Resolver-Timeout aus und protokolliert die Dauer. Das Backend wählt den ersten TXT-String mit `v=DMARC1`, teilt semikolongetrennte Tags und mappt `p`, `sp`, `pct`, `rua`, `ruf`, `adkim` und `aspf` in strukturierte Felder. Fehlender Record oder DNS-Fehler wird als Diagnose zurückgegeben, nicht als HTTP-Fehler — Sie erhalten immer einen lesbaren Bericht.
- Prüfen Sie die geparste Policy (`none`, `quarantine` oder `reject`), Subdomain-Policy, Prozentsatz `pct`, Aggregate-Report-URIs `rua`, Forensik-URIs `ruf`, DKIM- und SPF-Alignment-Modi, Tag-Inventar und den rohen TXT genau wie Resolver ihn sehen. Achten Sie auf `found` und `valid`: Ein Record kann vorhanden, aber ungültig sein bei fehlenden Pflicht-Tags, unbekannter Policy, `pct` außerhalb des Bereichs oder doppelten Tag-Namen.
- Nutzen Sie Fehler, Warnungen und Empfehlungen für die nächste DNS-Änderung. DN01 warnt bei Monitoring-only `p=none`, partieller Anwendung bei `pct` unter 100, fehlendem `rua` und relaxed Alignment als Default. Öffnen Sie bei unvollständigem Bild DKIM Validator und DNS Checker für dieselbe Domain, bevor Sie `quarantine` oder `reject` setzen.
Was das Ergebnis zeigt
Das Ergebnis trennt die Signale, die für diese Prüfung wichtig sind.
| Feld | Zweck | Beispiel |
|---|---|---|
| Domain | Normalisierte registrierbare Domain für den Analyzer. | example.com |
| Abfragename | Exakter DNS-TXT-Name, den der Resolver abfragt. | _dmarc.example.com |
| Found | Ob ein TXT mit v=DMARC1 zurückkam. | true |
| Valid | Ob der Record ohne blockierende Syntaxfehler geparst wurde. | false |
| p= | Organisations-Policy für DMARC-fehlgeschlagene Mail. | quarantine |
| sp= | Policy für Subdomains, wenn anders als p=. | reject |
| pct= | Prozentsatz fehlgeschlagener Nachrichten unter Policy. | 100 |
| rua= | Kommagetrennte Ziele für Aggregate Reports. | mailto:[email protected] |
| ruf= | Ziele für Forensik-Reports, falls veröffentlicht. | mailto:[email protected] |
| adkim= / aspf= | Striktes (s) oder relaxed (r) Alignment für DKIM und SPF. | adkim=r; aspf=s |
| Roh-Record | Unveränderter TXT-String aus DNS. | v=DMARC1; p=none; rua=mailto:[email protected] |
| Errors / Warnings / Recommendations | Umsetzbare Diagnostik aus Tag-Werten. | rua fehlt; nach Reports zu quarantine wechseln |
Wann diese Prüfung hilft
Sie bereiten den Übergang von Monitoring zu Enforcement vor und müssen wissen, ob der veröffentlichte Record Receiver-Prüfung standhält. Marketing sendet über CRM, Produkt über Transactional-Provider, Finanzen über lokalen Relay. Bevor Sie `p` von `none` auf `quarantine` erhöhen, zeigt DN01, ob der TXT unter `_dmarc.example.com` syntaktisch gültig ist, ob doppelte Tags den Record invalidieren und ob `pct` Enforcement bereits begrenzt. Diese eine DNS-Veröffentlichung bewerten Milliarden Postfächer; ein Tippfehler in `p=` oder ein zweiter DMARC-TXT kann den Schutz aller Kanäle schwächen. Halten Sie den DN01-Bericht als Vorher-Nachher-Snapshot für Change Requests bereit.
Deliverability-Tickets geben DMARC die Schuld, obwohl SPF allein besteht. Eine Nachricht kann gültiges SPF haben und DMARC trotzdem scheitern, wenn Envelope From, Header From und DKIM-Signaturdomain nicht gemäß `aspf` und `adkim` alignen. DN01 zeigt Alignment-Defaults: fehlen Tags, gilt relaxed (`r`), mit Warnung, dass Receiver breitere Domain-Matches akzeptieren können. Kombinieren Sie das Ergebnis mit DKIM Validator und DNS Checker.
Security-Teams nutzen DMARC als Anti-Spoofing für Führungskräfte-Domains, Partnerportale und Look-alike-Marken. Fehlt `_dmarc`, liefert DN01 die klare Diagnose — `no DMARC record found at _dmarc.<domain>` — und empfiehlt `v=DMARC1` mit Start-Policy. Das ist kein Tool-Fehler, sondern der Zustand, den Receiver bei Phishing ohne veröffentlichte Reject-Policy sehen.
MSPs prüfen DMARC über Dutzende Kundenzonen beim Onboarding oder Renewal. Manuelle `dig`-Lookups skalieren nicht, wenn `sp` mit `p` verglichen, Report-Mailboxen geprüft und ungültiges `pct` im Portfolio gefunden werden muss. DN01 liefert konsistente Berichte mit Dauer, Tag-Inventar und Empfehlungen für Tickets.
Subdomain-lastige Architekturen — `news.example.com`, `billing.example.com`, `eu.example.com` — hängen von `sp=` ab, wenn Kindzonen mit eigenem SPF und DKIM senden. Ohne `sp` fallen Receiver auf `p` zurück, was Teams überrascht, die die Zone isoliert glaubten. DN01 zeigt beide Werte und markiert ungültige Subdomain-Policies.
Compliance-Fragebögen verlangen Nachweise für E-Mail-Authentifizierungsreife. Auditoren fragen nach Aggregate Reporting (`rua`), partiellem Enforcement (`pct` unter 100) und heutiger Gültigkeit. DN01 antwortet aus Live-DNS, speichert rohen TXT und trennt harte Fehler von Warnungen. Für ISO- oder SOC-Audits reicht oft ein Link zur Ergebnisseite plus Screenshot der Tag-Tabelle, weil Query-Name und `durationMs` den Prüfzeitpunkt dokumentieren.
Nach Spoofing-Wellen beginnt Incident Response oft mit «DMARC fehlt oder kaputt?». Mehrere TXT unter `_dmarc` mit mehr als einem `v=DMARC1`-Fragment können Receiver zur Invalidierung bringen. DN01 wählt den ersten passenden Record, meldet aber Duplicate-Tag-Fehler innerhalb einer Zeichenkette. Marketing- und Newsletter-Teams wechseln zudem häufig ESPs und vergessen, `rua` umzustellen oder `pct` nach Tests wieder auf 100 zu setzen — DN01 macht solche Zwischenzustände sichtbar. Nach TTL erneut prüfen, Signaturen via DKIM Validator validieren und die Rohzeile mit dem Kunden-DNS-Panel vergleichen.
Was prüfen, wenn das Ergebnis falsch wirkt
Meldet DN01 keinen DMARC-Record, fragen Sie gezielt `_dmarc.ihredomain.tld` ab, nicht den Apex-TXT mit SPF. Viele Teams veröffentlichen SPF an der Wurzel und erwarten vererbtes DMARC. Prüfen Sie alle autoritativen NS nach DNS-Migration. Die Empfehlung «publish a TXT record at _dmarc… starting with v=DMARC1» im Ergebnis ist die gleiche Handlungsanweisung, die das Backend bei NXDOMAIN zurückgibt.
Ist `valid` false bei `found` true, lesen Sie zuerst das errors-Array. Doppelte `p=`-Tags, unbekannte Policies, nicht-ganzzahliges `pct` oder Werte außerhalb 0–100 invalidieren den Record. Entfernen Sie Duplikate, behalten Sie einen semikolongetrennten TXT und warten Sie TTL ab. Der Parser markiert auch doppelte Tag-Namen innerhalb einer Zeile — ein häufiger Copy-Paste-Fehler in Hosting-Panels.
Warnungen zu `p=none`, fehlendem `rua` oder relaxed Alignment beschreiben Exposure. `p=none` überwacht ohne Quarantäne oder Reject. Ohne `rua` fehlen Aggregate-XML-Reports. Entscheiden Sie vor `reject`, ob `adkim=s` oder `aspf=s` nötig ist.
Weicht Live-DNS vom Registrar-Dashboard ab, vergleichen Sie das Roh-Record-Feld mit `dig +short TXT _dmarc.domain`. Caches und partielle Zonenimporte täuschen Dashboards. DN01 fragt zum Request-Zeitpunkt ab.
Wenn legitime Mail nach Policy-Verschärfung scheitert, kann DMARC korrekt sein, SPF oder DKIM nicht. DNS Checker für Includes, DKIM Validator für Selektoren und Schlüsselablauf. `pct` unter 100 erzeugt scheinbar zufällige Fehler. Dokumentieren Sie den DN01-Bericht vor und nach der Änderung, damit Rollback-Entscheidungen auf dem gleichen Parser basieren wie die Produktions-API.
So interpretieren Sie das Ergebnis
DMARC baut auf SPF und DKIM. SPF prüft den Envelope-Pfad, DKIM die Signatur, DMARC fragt, ob eines mit der sichtbaren From-Domain aligniert und was bei beidem Scheitern gilt. DN01 sendet keine Mail und bewertet keine Einzelnachrichten — nur die DNS-Policy für Receiver. Kombinieren Sie mit DKIM Validator und DNS Checker, besonders wenn `adkim` oder `aspf` auf strict (`s`) stehen sollen.
Das Tag `p=` ist Pflicht. Policies müssen `none`, `quarantine` oder `reject` sein; alles andere ist ungültig. `none` eignet sich für Monitoring, warnt DN01 aber, dass es keine Blockade anweist. `quarantine` landet meist in Spam, `reject` verwirft Nachrichten. Eskalation sollte auf `rua`-Reports basieren. Viele deutsche Unternehmen bleiben zu lange bei `p=none`, weil interne Freigaben fehlen — der Analyzer macht diesen Stillstand als Warnung sichtbar statt als versteckten Erfolg.
`pct` begrenzt den Anteil fehlgeschlagener Nachrichten unter Policy. Werte unter 100 bedeuten partielles Enforcement — nützlich für Rollouts, verwirrend beim Debug. DN01 parst `pct` als Integer und fehler bei Nicht-Zahl oder außerhalb 0–100.
Aggregate Reports gehen an `rua`, meist registrierte `mailto:`-Adressen. DN01 listet Komma-Ziele und warnt bei fehlendem `rua`. Forensik `ruf` ist optional und datenschutzsensibel.
`adkim` und `aspf` steuern strict (`s`) oder relaxed (`r`). Fehlen sie, setzt DN01 relaxed an und warnt vor ungewollten Apex/Subdomain-Kombinationen. Strict-Modi sind vor `reject` üblich.
Gültig in DN01 heißt: keine blockierenden Parse-Fehler zum Prüfzeitpunkt. `valid=false` ist ein DNS-Stop-Ship bis zur Korrektur. Ein gefundener Record mit `p=none` und fehlendem `rua` kann trotzdem wertvolle Warnungen liefern, weil er zeigt, dass Monitoring ohne Reporting und ohne Enforcement läuft — ein häufiger Ausgangszustand vor dem ersten ESP-Onboarding.
Empfohlener Ablauf
- DMARC Analyzer auf der Apex-Domain aus Kunden-From-Adressen ausführen.
- Bei Fehlern TXT-Syntax korrigieren, Duplikat-Tags entfernen, nur eine Veröffentlichung unter `_dmarc` behalten.
- DKIM Validator für aktive Selektoren und DNS Checker für SPF-Includes öffnen, die mit From alignen müssen.
- `rua` veröffentlichen oder aktualisieren, Aggregate Reports sammeln, Policy von `none` über `quarantine` zu `reject` mit `pct=100` anheben.
- DN01 nach TTL erneut ausführen und Ergebnisseite an Tickets oder Compliance-Nachweise hängen. Die shareable Ergebnis-URL unter `/dmarc-analyzer/<domain>` eignet sich für Kundenkommunikation ohne erneute Eingabe.
Tool statt manueller Prüfung
`dig TXT _dmarc.example.com` zeigt rohe Strings schnell, Interpretation bleibt beim Operator. DN01 kodifiziert Duplikat-, `sp`- und `rua`-Regeln und liefert Empfehlungen in einem Durchlauf.
DNS Checker zeigt alle TXT der Zone; DMARC Analyzer fokussiert Policy-Risiko unter `_dmarc` und partielles `pct`.
Mailbox-Aggregate zeigen Verlauf, beweisen aber nicht die aktuelle DNS-Veröffentlichung nach Notfalländerung. DN01 antwortet in Sekunden.
Vendor-DMARC-Konsolen bieten Dashboards; externe Auditoren brauchen neutralen Lookup des öffentlich sichtbaren TXT.
Generische TXT-Validatoren prüfen nicht immer DMARC-Tags. DN01 nutzt denselben Go-Parser wie die Produktions-API.
Tabellen-Inventare veralten nach DNS-Edits. Eine DN01-Ergebnis-URL liefert aktuellen Snapshot mit Abfragename, Roh-Record und Timing. Für Kunden mit mehreren Marken-Domains lässt sich so schnell zeigen, welche Zone noch `p=none` ohne `rua` betreibt und welche bereits `reject` mit strict Alignment erzwingt.
MXToolbox und ähnliche Dienste liefern schnelle DMARC-Zeilen, verlangen aber oft Registrierung und mischen Werbung mit Ergebnissen. DN01 bleibt auf die `_dmarc`-TXT-Analyse fokussiert, ohne Mail zu senden, und integriert sich in die DKIM- und DNS-Tool-Kette der Plattform — praktisch, wenn Sie ohnehin WHOIS, SPF und Zertifikate im selben Audit prüfen.
Warum DN01
- Live-TXT-Lookup auf `_dmarc.<domain>` mit normalisierter Domain und Resolver-Zeit; fehlende Records liefern DNS-Diagnostik statt API-Fehler.
- Parst p, sp, pct, rua, ruf, adkim und aspf mit Duplikat- und Policy-Validierung gemäß Produktions-API.
- Fehler, Warnungen und Empfehlungen live; fehlender Record = Diagnose, kein HTTP-Fehler — wie im Backend bei NXDOMAIN heute sichtbar.
- Für Zusammenspiel mit DKIM Validator und DNS Checker bei SPF/DKIM/DMARC-Reviews.
FAQ
FAQ zum DMARC-Analysator
TXT auf _dmarc, Policies, Alignment, Report-Adressen und sicheres Verschärfen.
Was ist ein DMARC-DNS-Eintrag?
DMARC wird als TXT auf _dmarc.example.com veröffentlicht. Er sagt Empfängern, wie Mail bei SPF- oder DKIM-Alignment-Fehlern behandelt wird und wohin Aggregate- (rua) oder Forensic-Reports (ruf) gehen.
Was bedeuten p=none, quarantine und reject?
p=none überwacht nur: Fehler werden gemeldet, aber nicht blockiert. quarantine schickt fehlgeschlagene Mail in Spam. reject lässt Empfänger unauthentifizierte Nachrichten ablehnen. Üblich: none, rua prüfen, dann verschärfen.
Wie findet und validiert DN01 meinen DMARC-Eintrag?
Abfrage von _dmarc.deinedomain.com per Live-DNS, Parsing von v=DMARC1-Tags, Syntaxprüfung und Hinweise auf häufige Fehler wie ungültiges pct oder fehlerhafte rua-Adressen.
Wie hängen DMARC, SPF und DKIM zusammen?
SPF und DKIM belegen einzelne Mechanismen. DMARC definiert Alignment mit der From-Domain und das Vorgehen bei Fehlern. SPF/DKIM-TXT im DNS Checker prüfen und Selektoren im DKIM-Validator validieren.
Was sind rua- und ruf-Tags?
rua listet Adressen für tägliche Aggregate-XML-Reports mit pass/fail-Volumen. ruf fordert Forensic-Samples einzelner Fehler. Dediziertes Postfach oder Parser nutzen; rua ist wichtig vor dem Verschärfen.
Reicht DMARC gegen Spoofing?
DMARC mit p=reject und aligned SPF/DKIM blockiert viel direktes Domain-Spoofing, aber Lookalike-Domains und kompromittierte Konten brauchen separates Monitoring. Das ist DNS-Validierung, nicht komplette Postfach-Sicherheit.
Tool-Wechsler
Mit einer anderen Prüfung fortfahren
Nächsten Schritt im Domain- oder Sicherheits-Workflow wählen.
- DKIM ValidatorDKIM-Selector-Abfrage und EintragsvalidierungÖffnen
- DNS-CheckerAlle wichtigen Eintragstypen in einem DurchlaufÖffnen
- DIGEin Eintragstyp, Resolver-ähnliche AntwortÖffnen
- Domain-IP-SucheA- und AAAA-IP-Adressen einer DomainÖffnen
- Domain-Alter-PrüferErstellung, Alter, Registrar und AblaufÖffnen
- WHOISRegistrar, Ablaufdatum und Domain-StatusÖffnen
- HTTP-Header-CheckerAntwort-Header, Weiterleitungen und CachingÖffnen
- HTTP/2 TesterHTTP/2 Support, ALPN und TLSÖffnen
- SSL-Zertifikats-CheckerZertifikatskette, SAN und TLS-VersionÖffnen
- Blacklist-CheckerDNSBL-Reputation für IP und DomainÖffnen
- Punycode-KonverterUnicode ↔ Punycode für IDN-DomainsÖffnen
- URL-SplitterURL in Teile und Parameter zerlegenÖffnen
- Base64-CodecBase64-Text kodieren und dekodierenÖffnen
- PasswortgeneratorStarke Zufallspasswörter für den BetriebÖffnen
- Passwortstärke-PrüferEntropie, Knackzeit und PassworttippsÖffnen
- Passphrase-GeneratorMerkbare zufällige Wortfolgen für sichere TestsÖffnen
- BIN CheckerKartenmarke, Bank und Land per BIN/IINÖffnen
- IP-RechnerSubnetz-Mathematik für IPv4- und IPv6-CIDRÖffnen
- Browser-Update-PrüferBrowser-Version, Update-Status und Client HintsÖffnen
Verwandte Artikel
Praxisnahe Anleitungen für häufige DMARC-Analyzer-Aufgaben — DNS-Einträge, Troubleshooting-Schritte und Links zu unseren kostenlosen Tools.
dmarc policy, p=reject, email authentication
DMARC Policy Explained: none, quarantine, reject
Understand p=, sp=, pct=, and how policy changes affect spoofed mail before you move from monitoring to enforcement.
Artikel lesen →dmarc alignment, spf dkim dmarc, email deliverability
DMARC Alignment with SPF and DKIM
Why valid SPF or DKIM can still fail DMARC when envelope, header From, and signing domains do not align.
Artikel lesen →dmarc record tags, dmarc syntax, v=DMARC1
DMARC Record Tags and Syntax Operators Should Know
Decode v=DMARC1, p=, sp=, pct=, rua, ruf, fo, aspf, adkim, and common formatting mistakes in TXT records.
Artikel lesen →dmarc rua, dmarc ruf, aggregate reports
DMARC Aggregate and Forensic Reports: rua and ruf
How to publish rua and ruf mailto targets, what reports contain, and why forensic reports are often disabled.
Artikel lesen →dmarc sp tag, subdomain dmarc policy, sp=reject
DMARC Subdomain Policy sp= for Marketing and Product Hosts
When sp= matters for mail.example.com, how it inherits from p=, and why separate subdomain senders need explicit alignment.
Artikel lesen →dmarc reject migration, dmarc enforcement, dmarc rollout
Moving DMARC from p=none to quarantine or reject Safely
A staged rollout using reports, pct= sampling, and alignment fixes before full spoofing protection.
Artikel lesen →