Zum Inhalt springen
D1
DE

E-Mail-Authentifizierung

DMARC-Analyzer

Prüft DMARC-Record, Policy, Alignment, Reports und Konfigurationshinweise.

Dieses Formular ruft den relativen Endpunkt auf: /site-api/tools/dmarc

So nutzen Sie das Tool

  1. Geben Sie die sendende Domain ein, die Empfänger im From-Header sehen, z. B. example.com, ohne Protokoll, Pfad oder Mailbox-Präfix. DN01 normalisiert den Namen, lehnt fehlerhafte oder eingeschränkte Hosts ab und nutzt die registrierbare Domain als Lookup-Ziel. Sendet ein Subdomain mit eigener Infrastruktur, führen Sie eine separate Prüfung aus: DMARC wird auf der organisationalen Domain veröffentlicht, die sichtbar ist.
  2. DN01 führt einen Live-DNS-TXT-Lookup auf `_dmarc.<domain>` mit fünf Sekunden Resolver-Timeout aus und protokolliert die Dauer. Das Backend wählt den ersten TXT-String mit `v=DMARC1`, teilt semikolongetrennte Tags und mappt `p`, `sp`, `pct`, `rua`, `ruf`, `adkim` und `aspf` in strukturierte Felder. Fehlender Record oder DNS-Fehler wird als Diagnose zurückgegeben, nicht als HTTP-Fehler — Sie erhalten immer einen lesbaren Bericht.
  3. Prüfen Sie die geparste Policy (`none`, `quarantine` oder `reject`), Subdomain-Policy, Prozentsatz `pct`, Aggregate-Report-URIs `rua`, Forensik-URIs `ruf`, DKIM- und SPF-Alignment-Modi, Tag-Inventar und den rohen TXT genau wie Resolver ihn sehen. Achten Sie auf `found` und `valid`: Ein Record kann vorhanden, aber ungültig sein bei fehlenden Pflicht-Tags, unbekannter Policy, `pct` außerhalb des Bereichs oder doppelten Tag-Namen.
  4. Nutzen Sie Fehler, Warnungen und Empfehlungen für die nächste DNS-Änderung. DN01 warnt bei Monitoring-only `p=none`, partieller Anwendung bei `pct` unter 100, fehlendem `rua` und relaxed Alignment als Default. Öffnen Sie bei unvollständigem Bild DKIM Validator und DNS Checker für dieselbe Domain, bevor Sie `quarantine` oder `reject` setzen.

Was das Ergebnis zeigt

Das Ergebnis trennt die Signale, die für diese Prüfung wichtig sind.

FeldZweckBeispiel
DomainNormalisierte registrierbare Domain für den Analyzer.example.com
AbfragenameExakter DNS-TXT-Name, den der Resolver abfragt._dmarc.example.com
FoundOb ein TXT mit v=DMARC1 zurückkam.true
ValidOb der Record ohne blockierende Syntaxfehler geparst wurde.false
p=Organisations-Policy für DMARC-fehlgeschlagene Mail.quarantine
sp=Policy für Subdomains, wenn anders als p=.reject
pct=Prozentsatz fehlgeschlagener Nachrichten unter Policy.100
rua=Kommagetrennte Ziele für Aggregate Reports.mailto:[email protected]
ruf=Ziele für Forensik-Reports, falls veröffentlicht.mailto:[email protected]
adkim= / aspf=Striktes (s) oder relaxed (r) Alignment für DKIM und SPF.adkim=r; aspf=s
Roh-RecordUnveränderter TXT-String aus DNS.v=DMARC1; p=none; rua=mailto:[email protected]
Errors / Warnings / RecommendationsUmsetzbare Diagnostik aus Tag-Werten.rua fehlt; nach Reports zu quarantine wechseln

Wann diese Prüfung hilft

Sie bereiten den Übergang von Monitoring zu Enforcement vor und müssen wissen, ob der veröffentlichte Record Receiver-Prüfung standhält. Marketing sendet über CRM, Produkt über Transactional-Provider, Finanzen über lokalen Relay. Bevor Sie `p` von `none` auf `quarantine` erhöhen, zeigt DN01, ob der TXT unter `_dmarc.example.com` syntaktisch gültig ist, ob doppelte Tags den Record invalidieren und ob `pct` Enforcement bereits begrenzt. Diese eine DNS-Veröffentlichung bewerten Milliarden Postfächer; ein Tippfehler in `p=` oder ein zweiter DMARC-TXT kann den Schutz aller Kanäle schwächen. Halten Sie den DN01-Bericht als Vorher-Nachher-Snapshot für Change Requests bereit.

Deliverability-Tickets geben DMARC die Schuld, obwohl SPF allein besteht. Eine Nachricht kann gültiges SPF haben und DMARC trotzdem scheitern, wenn Envelope From, Header From und DKIM-Signaturdomain nicht gemäß `aspf` und `adkim` alignen. DN01 zeigt Alignment-Defaults: fehlen Tags, gilt relaxed (`r`), mit Warnung, dass Receiver breitere Domain-Matches akzeptieren können. Kombinieren Sie das Ergebnis mit DKIM Validator und DNS Checker.

Security-Teams nutzen DMARC als Anti-Spoofing für Führungskräfte-Domains, Partnerportale und Look-alike-Marken. Fehlt `_dmarc`, liefert DN01 die klare Diagnose — `no DMARC record found at _dmarc.<domain>` — und empfiehlt `v=DMARC1` mit Start-Policy. Das ist kein Tool-Fehler, sondern der Zustand, den Receiver bei Phishing ohne veröffentlichte Reject-Policy sehen.

MSPs prüfen DMARC über Dutzende Kundenzonen beim Onboarding oder Renewal. Manuelle `dig`-Lookups skalieren nicht, wenn `sp` mit `p` verglichen, Report-Mailboxen geprüft und ungültiges `pct` im Portfolio gefunden werden muss. DN01 liefert konsistente Berichte mit Dauer, Tag-Inventar und Empfehlungen für Tickets.

Subdomain-lastige Architekturen — `news.example.com`, `billing.example.com`, `eu.example.com` — hängen von `sp=` ab, wenn Kindzonen mit eigenem SPF und DKIM senden. Ohne `sp` fallen Receiver auf `p` zurück, was Teams überrascht, die die Zone isoliert glaubten. DN01 zeigt beide Werte und markiert ungültige Subdomain-Policies.

Compliance-Fragebögen verlangen Nachweise für E-Mail-Authentifizierungsreife. Auditoren fragen nach Aggregate Reporting (`rua`), partiellem Enforcement (`pct` unter 100) und heutiger Gültigkeit. DN01 antwortet aus Live-DNS, speichert rohen TXT und trennt harte Fehler von Warnungen. Für ISO- oder SOC-Audits reicht oft ein Link zur Ergebnisseite plus Screenshot der Tag-Tabelle, weil Query-Name und `durationMs` den Prüfzeitpunkt dokumentieren.

Nach Spoofing-Wellen beginnt Incident Response oft mit «DMARC fehlt oder kaputt?». Mehrere TXT unter `_dmarc` mit mehr als einem `v=DMARC1`-Fragment können Receiver zur Invalidierung bringen. DN01 wählt den ersten passenden Record, meldet aber Duplicate-Tag-Fehler innerhalb einer Zeichenkette. Marketing- und Newsletter-Teams wechseln zudem häufig ESPs und vergessen, `rua` umzustellen oder `pct` nach Tests wieder auf 100 zu setzen — DN01 macht solche Zwischenzustände sichtbar. Nach TTL erneut prüfen, Signaturen via DKIM Validator validieren und die Rohzeile mit dem Kunden-DNS-Panel vergleichen.

Was prüfen, wenn das Ergebnis falsch wirkt

Meldet DN01 keinen DMARC-Record, fragen Sie gezielt `_dmarc.ihredomain.tld` ab, nicht den Apex-TXT mit SPF. Viele Teams veröffentlichen SPF an der Wurzel und erwarten vererbtes DMARC. Prüfen Sie alle autoritativen NS nach DNS-Migration. Die Empfehlung «publish a TXT record at _dmarc… starting with v=DMARC1» im Ergebnis ist die gleiche Handlungsanweisung, die das Backend bei NXDOMAIN zurückgibt.

Ist `valid` false bei `found` true, lesen Sie zuerst das errors-Array. Doppelte `p=`-Tags, unbekannte Policies, nicht-ganzzahliges `pct` oder Werte außerhalb 0–100 invalidieren den Record. Entfernen Sie Duplikate, behalten Sie einen semikolongetrennten TXT und warten Sie TTL ab. Der Parser markiert auch doppelte Tag-Namen innerhalb einer Zeile — ein häufiger Copy-Paste-Fehler in Hosting-Panels.

Warnungen zu `p=none`, fehlendem `rua` oder relaxed Alignment beschreiben Exposure. `p=none` überwacht ohne Quarantäne oder Reject. Ohne `rua` fehlen Aggregate-XML-Reports. Entscheiden Sie vor `reject`, ob `adkim=s` oder `aspf=s` nötig ist.

Weicht Live-DNS vom Registrar-Dashboard ab, vergleichen Sie das Roh-Record-Feld mit `dig +short TXT _dmarc.domain`. Caches und partielle Zonenimporte täuschen Dashboards. DN01 fragt zum Request-Zeitpunkt ab.

Wenn legitime Mail nach Policy-Verschärfung scheitert, kann DMARC korrekt sein, SPF oder DKIM nicht. DNS Checker für Includes, DKIM Validator für Selektoren und Schlüsselablauf. `pct` unter 100 erzeugt scheinbar zufällige Fehler. Dokumentieren Sie den DN01-Bericht vor und nach der Änderung, damit Rollback-Entscheidungen auf dem gleichen Parser basieren wie die Produktions-API.

So interpretieren Sie das Ergebnis

DMARC baut auf SPF und DKIM. SPF prüft den Envelope-Pfad, DKIM die Signatur, DMARC fragt, ob eines mit der sichtbaren From-Domain aligniert und was bei beidem Scheitern gilt. DN01 sendet keine Mail und bewertet keine Einzelnachrichten — nur die DNS-Policy für Receiver. Kombinieren Sie mit DKIM Validator und DNS Checker, besonders wenn `adkim` oder `aspf` auf strict (`s`) stehen sollen.

Das Tag `p=` ist Pflicht. Policies müssen `none`, `quarantine` oder `reject` sein; alles andere ist ungültig. `none` eignet sich für Monitoring, warnt DN01 aber, dass es keine Blockade anweist. `quarantine` landet meist in Spam, `reject` verwirft Nachrichten. Eskalation sollte auf `rua`-Reports basieren. Viele deutsche Unternehmen bleiben zu lange bei `p=none`, weil interne Freigaben fehlen — der Analyzer macht diesen Stillstand als Warnung sichtbar statt als versteckten Erfolg.

`pct` begrenzt den Anteil fehlgeschlagener Nachrichten unter Policy. Werte unter 100 bedeuten partielles Enforcement — nützlich für Rollouts, verwirrend beim Debug. DN01 parst `pct` als Integer und fehler bei Nicht-Zahl oder außerhalb 0–100.

Aggregate Reports gehen an `rua`, meist registrierte `mailto:`-Adressen. DN01 listet Komma-Ziele und warnt bei fehlendem `rua`. Forensik `ruf` ist optional und datenschutzsensibel.

`adkim` und `aspf` steuern strict (`s`) oder relaxed (`r`). Fehlen sie, setzt DN01 relaxed an und warnt vor ungewollten Apex/Subdomain-Kombinationen. Strict-Modi sind vor `reject` üblich.

Gültig in DN01 heißt: keine blockierenden Parse-Fehler zum Prüfzeitpunkt. `valid=false` ist ein DNS-Stop-Ship bis zur Korrektur. Ein gefundener Record mit `p=none` und fehlendem `rua` kann trotzdem wertvolle Warnungen liefern, weil er zeigt, dass Monitoring ohne Reporting und ohne Enforcement läuft — ein häufiger Ausgangszustand vor dem ersten ESP-Onboarding.

Empfohlener Ablauf

  1. DMARC Analyzer auf der Apex-Domain aus Kunden-From-Adressen ausführen.
  2. Bei Fehlern TXT-Syntax korrigieren, Duplikat-Tags entfernen, nur eine Veröffentlichung unter `_dmarc` behalten.
  3. DKIM Validator für aktive Selektoren und DNS Checker für SPF-Includes öffnen, die mit From alignen müssen.
  4. `rua` veröffentlichen oder aktualisieren, Aggregate Reports sammeln, Policy von `none` über `quarantine` zu `reject` mit `pct=100` anheben.
  5. DN01 nach TTL erneut ausführen und Ergebnisseite an Tickets oder Compliance-Nachweise hängen. Die shareable Ergebnis-URL unter `/dmarc-analyzer/<domain>` eignet sich für Kundenkommunikation ohne erneute Eingabe.

Tool statt manueller Prüfung

`dig TXT _dmarc.example.com` zeigt rohe Strings schnell, Interpretation bleibt beim Operator. DN01 kodifiziert Duplikat-, `sp`- und `rua`-Regeln und liefert Empfehlungen in einem Durchlauf.

DNS Checker zeigt alle TXT der Zone; DMARC Analyzer fokussiert Policy-Risiko unter `_dmarc` und partielles `pct`.

Mailbox-Aggregate zeigen Verlauf, beweisen aber nicht die aktuelle DNS-Veröffentlichung nach Notfalländerung. DN01 antwortet in Sekunden.

Vendor-DMARC-Konsolen bieten Dashboards; externe Auditoren brauchen neutralen Lookup des öffentlich sichtbaren TXT.

Generische TXT-Validatoren prüfen nicht immer DMARC-Tags. DN01 nutzt denselben Go-Parser wie die Produktions-API.

Tabellen-Inventare veralten nach DNS-Edits. Eine DN01-Ergebnis-URL liefert aktuellen Snapshot mit Abfragename, Roh-Record und Timing. Für Kunden mit mehreren Marken-Domains lässt sich so schnell zeigen, welche Zone noch `p=none` ohne `rua` betreibt und welche bereits `reject` mit strict Alignment erzwingt.

MXToolbox und ähnliche Dienste liefern schnelle DMARC-Zeilen, verlangen aber oft Registrierung und mischen Werbung mit Ergebnissen. DN01 bleibt auf die `_dmarc`-TXT-Analyse fokussiert, ohne Mail zu senden, und integriert sich in die DKIM- und DNS-Tool-Kette der Plattform — praktisch, wenn Sie ohnehin WHOIS, SPF und Zertifikate im selben Audit prüfen.

Warum DN01

  • Live-TXT-Lookup auf `_dmarc.<domain>` mit normalisierter Domain und Resolver-Zeit; fehlende Records liefern DNS-Diagnostik statt API-Fehler.
  • Parst p, sp, pct, rua, ruf, adkim und aspf mit Duplikat- und Policy-Validierung gemäß Produktions-API.
  • Fehler, Warnungen und Empfehlungen live; fehlender Record = Diagnose, kein HTTP-Fehler — wie im Backend bei NXDOMAIN heute sichtbar.
  • Für Zusammenspiel mit DKIM Validator und DNS Checker bei SPF/DKIM/DMARC-Reviews.

FAQ

FAQ zum DMARC-Analysator

TXT auf _dmarc, Policies, Alignment, Report-Adressen und sicheres Verschärfen.

Was ist ein DMARC-DNS-Eintrag?

DMARC wird als TXT auf _dmarc.example.com veröffentlicht. Er sagt Empfängern, wie Mail bei SPF- oder DKIM-Alignment-Fehlern behandelt wird und wohin Aggregate- (rua) oder Forensic-Reports (ruf) gehen.

Was bedeuten p=none, quarantine und reject?

p=none überwacht nur: Fehler werden gemeldet, aber nicht blockiert. quarantine schickt fehlgeschlagene Mail in Spam. reject lässt Empfänger unauthentifizierte Nachrichten ablehnen. Üblich: none, rua prüfen, dann verschärfen.

Wie findet und validiert DN01 meinen DMARC-Eintrag?

Abfrage von _dmarc.deinedomain.com per Live-DNS, Parsing von v=DMARC1-Tags, Syntaxprüfung und Hinweise auf häufige Fehler wie ungültiges pct oder fehlerhafte rua-Adressen.

Wie hängen DMARC, SPF und DKIM zusammen?

SPF und DKIM belegen einzelne Mechanismen. DMARC definiert Alignment mit der From-Domain und das Vorgehen bei Fehlern. SPF/DKIM-TXT im DNS Checker prüfen und Selektoren im DKIM-Validator validieren.

Was sind rua- und ruf-Tags?

rua listet Adressen für tägliche Aggregate-XML-Reports mit pass/fail-Volumen. ruf fordert Forensic-Samples einzelner Fehler. Dediziertes Postfach oder Parser nutzen; rua ist wichtig vor dem Verschärfen.

Reicht DMARC gegen Spoofing?

DMARC mit p=reject und aligned SPF/DKIM blockiert viel direktes Domain-Spoofing, aber Lookalike-Domains und kompromittierte Konten brauchen separates Monitoring. Das ist DNS-Validierung, nicht komplette Postfach-Sicherheit.

Tool-Wechsler

Nächsten Schritt im Domain- oder Sicherheits-Workflow wählen.

Vollständiger Tool-Katalog

Anleitungen

Praxisnahe Anleitungen für häufige DMARC-Analyzer-Aufgaben — DNS-Einträge, Troubleshooting-Schritte und Links zu unseren kostenlosen Tools.

Zurück zu DMARC-Analyzer