Immer mehr Domains sind mit einem DMARC-Eintrag ausgestattet. Doch was muss ich machen, wenn plötzlich so ein kryptischer DMARC-XML-Report in meinem Posteingang landet? Wer keine Erfahrung damit hat, steht schnell vor einem Dschungel aus unbekannten Begriffen, IP-Adressen und unübersichtlichen Daten.
In diesem Beitrag zeigen wir Schritt für Schritt, was DMARC bedeutet und wie man einen DMARC-Report richtig interpretiert. Ausserdem zeigen wir dir, welche Warnzeichen beachtet werden sollten und wie daraus echte Sicherheitsgewinne entstehen können. Mit Beispielen aus der Praxis und konkreten Handlungsempfehlungen, auch für Nicht-Techniker:innen.
Das Sicherheitstrio: Warum DMARC, SPF und DKIM zusammengehören
Bevor wir uns in die Tiefen der XML-Berichte stürzen, müssen wir kurz über das Team sprechen, das hinter den Kulissen arbeitet. DMARC ist nämlich kein isoliertes Werkzeug, sondern das «Gehirn» eines dreiteiligen Sicherheitssystems. Erst durch das Zusammenspiel dieser drei Standards wird dein E-Mail-Versand wirklich sicher und kontrollierbar:
- SPF (Sender Policy Framework): Prüft, welche Server überhaupt die Erlaubnis haben, in deinem Namen E-Mails zu versenden.
- DKIM (Domain Keys Identified Mail): Stellt sicher, dass der Inhalt deiner Mail unterwegs nicht manipuliert oder verändert wurde.
- DMARC (Domain Based Message Authentication): Führt die Ergebnisse von SPF und DKIM zusammen. Es ermöglicht dir aktives Monitoring und gibt den empfangenden Maildiensten Anweisungen, wie sie mit verdächtigen E-Mails umgehen sollen.
Was ist DMARC und warum gibt’s Reports?
Wie wir gesehen haben, ist DMARC das Bindeglied zwischen SPF und DKIM. Es handelt sich um eine technische Schutzmassnahme, mit der Domain-Inhabende kontrollieren können, ob E-Mails im Namen ihrer Domain korrekt versendet und authentifiziert wurden.
Mithilfe der «DMARC-Policy» können Empfehlungen an den empfangenden E-Mail-Dienst abgegeben werden. So kann definiert werden, wie die E-Mail bei einem SPF- oder DKIM-Fehler (sogenannter «fail») behandelt werden soll:
- p=none ➜ nur beobachten, nichts blockieren
- p=quarantine ➜ Mails mit Fehlern in den «Spam-Ordner» verschieben
- p=reject ➜ alle fehlerhaften Mails abweisen und auch nicht im «Spam-Ordner» ablegen

Dies dient dem Schutz vor Missbrauch, z. B. durch Absendende, die sich fälschlicherweise als legitime Organisation ausgeben (sogenanntes E-Mail-Spoofing). Ein wichtiger Bestandteil von DMARC sind die automatischen Reports. Diese erhält man täglich von grossen E-Mail-Anbietern wie Google, Microsoft oder Yahoo, sofern man einen entsprechenden DMARC-Eintrag für seine Domain gesetzt hat. Diese Berichte geben Auskunft darüber, welche Mailserver im Namen deiner Domain E-Mails versendet haben und ob diese korrekt als vertrauenswürdig erkannt wurden.
Aufbau eines DMARC-Reports: ein praktisches Beispiel
Da diese primär maschinenlesbar ist, wirkt sie auf den ersten Blick unübersichtlich. Mit den richtigen Tools lässt sie sich jedoch in Tabellen verwandeln und deutlich einfacher interpretieren.
Ein praktisches Beispiel: Statt kryptischer Codes liest du daraus ganz einfache und wertvolle Fakten. Der Report zeigt dir etwa, dass gestern 50 E-Mails über einen autorisierten Server von «Microsoft 365» versendet wurden und diese alle die SPF- und DKIM-Prüfung bestanden haben. Gleichzeitig würdest du aber auch sehen, wenn eine unbekannte IP-Adresse plötzlich versucht, 100 Mails in deinem Namen zu senden.
Im Kern enthält jeder Report:
- Die Domain, für die der Report erstellt wurde
- IP-Adresse des Mailservers, der E-Mails versendet hat
- SPF- und DKIM-Ergebnisse (Authentifizierung)
- Einschätzung des empfangenden Mailservers ("disposition")
- Anzahl gleichartiger E-Mails ("count")
Warum taucht plötzlich «ARC» im Report auf?
In den Berichten wirst du neben SPF und DKIM oft auf einen dritten Begriff stossen: ARC (Authenticated Received Chain). Während SPF und DKIM die Basis bilden, ist ARC der «Joker» für Weiterleitungen. Wenn eine Mail über einen Zwischenserver (z. B. eine Mailingliste) gesendet wird, bricht oft das SPF- oder DKIM-Siegel. Dies ist zum Beispiel der Fall, wenn der empfangende Mailserver eine Weiterleitung aktiviert hat, die alle E-Mails an eine andere E-Mail-Adresse weiterleiten. ARC bewahrt die ursprüngliche Prüfung auf und signalisiert dem Empfangenden: «Diese Mail war beim Start legitim, der Fehler entstand erst durch den Umweg.»
Typische Szenarien und ihre Bedeutung
In der Praxis begegnen dir in den Reports meist folgende Kombinationen:

Tools zur Analyse von DMARC-Reports
Man muss XML-Dateien nicht von Hand lesen. Je nach technischem Vorwissen gibt es verschiedene Hilfsmittel:
Online-Tools (einfach & grafisch):
- MX Toolbox DMARC Report Analyzer: Strukturierte Auswertung hochgeladener XML-Files.
- dmarcian.com: Reports hochladen und Trends visuell auswerten.
- Postmark DMARC Digests: Wöchentliche Zusammenfassungen der DMARC-Daten per E-Mail.
- Valimail Monitor: Automatisches Monitoring aller genutzten E-Mail-Dienste und Cloud-Services.
- DMARC Manager: Zentrale Plattform zur Überwachung und schrittweisen Durchsetzung der Policy.
Tools für technisch Versierte:
- opendmarc-report (Linux): Kommandozeilen-Auswertung.
- Python: Libraries wie dmarc-parser oder pandas für eigene Auswertungen.
- KI-Unterstützung: Auch ChatGPT kann DMARC-Reports analysieren und interpretieren. Achte hierbei jedoch strikt auf den Datenschutz und lade keine vertraulichen Daten hoch
Best Practices für deine DMARC-Strategie
- Policy langsam hochfahren: Von p=none (Monitoring) schrittweise auf p=quarantine und schliesslich p=reject wechseln.
- Controlling: SPF-, DKIM- und DMARC-Einträge regelmässig prüfen und pflegen.
- System-Check: Alle E-Mail-Systeme (z. B. Newsletter-Tools, Webserver, CRM) in SPF und DKIM einbinden.
- Monitoring-Adresse: Eine eigene Adresse einrichten, z. B. [email protected]
- Subdomains: Beachte, dass DMARC nicht automatisch auch für deine Subdomains gilt. Nutze den sp=-Parameter, um sie mit einzubeziehen oder setze separate DMARC-Records.
- Separate Absenderadressen: Im professionellen Umfeld sollte nach Möglichkeit jeder Dienst eine eigene Subdomain nutzen. Für die E-Mails der Mitarbeitenden bleibt meist die Hauptdomain im Einsatz, während für E-Mail-Marketing, System-E-Mails usw. separate Subdomains eingerichtet werden. So lässt sich das Setup einfacher überwachen, klarer abgrenzen und gezielt strikter konfigurieren. Auch kann die Reputation so pro Subdomain sauber und parallel aufgebaut werden. Ein Fehler im E-Mail-Marketing hat dadurch deutlich weniger Auswirkungen auf die Zustellbarkeit und Reputation der anderen Dienste.
Internes Vorgehen bei Kundenanfragen zu DMARC-Reports
Wenn Kund:innen Hilfe bei der Auswertung benötigen, empfiehlt sich folgendes standardisiertes Vorgehen:
- Report entgegennehmen und validieren
- Dateityp prüfen (meist .xml oder .zip/.gz)
- Bericht grob auf Struktur und Lesbarkeit prüfen
- Datenschutz: Berichtsdaten vor der Verarbeitung in Cloud-Tools minimieren und bei Bedarf pseudonymisieren/anonymisieren
- Analyse vorbereiten
- XML mit einem Tool wie dmarcian, MxToolbox oder OpenAI interpretieren
- Wichtige IPs, SPF-/DKIM-/ARC-Ergebnisse und Anzahlen extrahieren
- Szenarien bewerten
- Welche IPs sind unklar? Was zeigt die Zuordnung zu SPF/DKIM?
- Sind Auffälligkeiten vorhanden (z. B. wiederholte SPF-Fails)?
- Liegt eine legitime Weiterleitung (mit ARC=pass) vor?
- Systeme identifizieren
- Bei Bedarf Reverse DNS / Whois-Abfragen nutzen
- Intern mit Kund:innen klären: Welche Systeme senden im Namen der Domain?
- Empfehlung formulieren
- Kein Handlungsbedarf, wenn alles sauber konfiguriert ist
- SPF-Record erweitern, falls legitime Absendende nicht erfasst sind
- DKIM-Setup prüfen bei Signaturfehlern
- Policy belassen oder schrittweise anpassen (z. B. auf quarantine)
- Dokumentation und Rückmeldung
- Klare Zusammenfassung mit Bewertung (OK / prüfen / potenziell gefährlich)
- Empfehlungen mit Links zu Tools oder Ressourcen
- Optional: PDF- oder CSV-Auszug mit der Auswertung mitsenden
Fazit
DMARC ist mehr als ein technischer Standard. Es ist ein intelligentes Frühwarnsystem. Wer seine Reports regelmässig analysiert, erkennt ungewöhnliche Versandquellen frühzeitig, identifiziert Konfigurationsfehler und schützt die eigene Domain aktiv vor Missbrauch.
Auch für Nicht-Techniker:innen bietet DMARC einen echten Mehrwert: Mit den richtigen Tools lassen sich Reports verständlich auswerten und die E-Mail-Systeme Schritt für Schritt sicherer machen