// E-Mail Security · DMARC 14. Mai 2026

DMARC einrichten in Österreich –
Schritt-für-Schritt Anleitung 2026

72 % der österreichischen KMU haben keine korrekte DMARC-Konfiguration. Das bedeutet: Angreifer können jetzt E-Mails in Ihrem Namen versenden – und Ihre Kunden sehen keinen Unterschied zu echten Mails. Diese Anleitung zeigt, wie Sie das in wenigen Schritten ändern.

Inhalt: Was ist DMARC? Voraussetzungen: SPF & DKIM DMARC-Eintrag erstellen Schrittweiser Rollout Monitoring & Reports Fazit & Hilfe

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein DNS-basiertes E-Mail-Sicherheitsprotokoll. Es legt fest, was mit E-Mails passieren soll, die vorgeben, von Ihrer Domain zu kommen – aber nicht von Ihnen stammen.

Stellen Sie sich vor: Jemand versendet tausende E-Mails als chef@ihr-unternehmen.at mit der Aufforderung, eine Rechnung zu überweisen. Ohne DMARC gelangt diese E-Mail problemlos in den Posteingang Ihrer Kunden und Partner. Mit DMARC wird sie auf Serverebene abgeblockt – bevor sie auch nur gesehen wird.

DMARC baut auf zwei Protokollen auf: SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail). Beide müssen korrekt konfiguriert sein, bevor DMARC aktiviert werden kann.

Schritt 1: Voraussetzungen – SPF und DKIM

SPF einrichten

SPF definiert, welche Mailserver berechtigt sind, E-Mails für Ihre Domain zu versenden. Der Eintrag wird als TXT-Record in Ihrem DNS gesetzt:

        // DNS TXT-Record für Ihre Domain
        v=spf1 include:_spf.google.com include:_spf.mailtrap.io ~all
      

Ersetzen Sie die include:-Einträge durch die Mailserver, die Sie tatsächlich verwenden (z.B. Google Workspace, Microsoft 365, Sendgrid). Den richtigen Wert finden Sie in der Dokumentation Ihres E-Mail-Anbieters.

DKIM einrichten

DKIM fügt jeder ausgehenden E-Mail eine digitale Signatur hinzu. Der öffentliche Schlüssel wird als DNS TXT-Record veröffentlicht, die Signatur wird vom Mailserver automatisch angehängt.

        // DKIM DNS TXT-Record (Beispiel Google Workspace)
        google._domainkey.ihr-unternehmen.at. IN TXT "v=DKIM1; k=rsa; p=MIIBIjAN..."
      

Den tatsächlichen Wert erhalten Sie aus der Admin-Konsole Ihres E-Mail-Anbieters. Bei Google Workspace unter Admin → Apps → Gmail → E-Mail-Authentifizierung.

Wichtig: Aktivieren Sie DMARC erst, wenn SPF und DKIM korrekt funktionieren und Ihre E-Mails bereits authentifiziert werden. Sonst riskieren Sie, dass legitime E-Mails blockiert werden.

Schritt 2: DMARC-Eintrag erstellen

Der DMARC-Eintrag wird als TXT-Record bei _dmarc.ihr-unternehmen.at gesetzt:

        // Einstieg: Monitor-Modus (empfohlen für den Start)
        v=DMARC1; p=none; rua=mailto:dmarc-reports@ihr-unternehmen.at; ruf=mailto:dmarc-reports@ihr-unternehmen.at; fo=1;
      

Die wichtigsten Parameter erklärt

Parameter	Wert	Bedeutung
`v`	DMARC1	Protokoll-Version, immer DMARC1
`p`	none / quarantine / reject	Was mit nicht-authentifizierten E-Mails passiert
`rua`	mailto:...	E-Mail-Adresse für tägliche Aggregate-Reports
`ruf`	mailto:...	E-Mail-Adresse für Failure-Reports (einzelne Fehler)
`pct`	1–100	Prozent der E-Mails, auf die die Policy angewandt wird
`sp`	none / quarantine / reject	Policy für Subdomains
`fo`	0 / 1 / d / s	Wann Failure-Reports gesendet werden (1 = immer)

Schritt 3: Schrittweiser Rollout

Der wichtigste Rat: Aktivieren Sie DMARC nie sofort auf „reject". Ein stufenweiser Rollout über 4–6 Wochen verhindert, dass legitime E-Mails blockiert werden.

Woche 1–2: Monitor (p=none)

Alle E-Mails werden zugestellt, Reports werden gesammelt. Sie sehen, welche Server E-Mails in Ihrem Namen versenden.

v=DMARC1; p=none; rua=mailto:dmarc@ihr-unternehmen.at;

Woche 3–4: Quarantäne (p=quarantine, pct=25)

25 % der nicht authentifizierten E-Mails landen im Spam. Sie können testen, ob legitime Mails betroffen sind.

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@ihr-unternehmen.at;

Woche 5–6: Vollständige Ablehnung (p=reject)

Alle nicht authentifizierten E-Mails werden direkt abgewiesen. Phishing mit Ihrer Domain wird unmöglich.

v=DMARC1; p=reject; rua=mailto:dmarc@ihr-unternehmen.at; sp=reject;

Schritt 4: Monitoring und Reports auswerten

DMARC-Reports kommen als XML-Dateien per E-Mail. Sie sind für Menschen kaum lesbar – verwenden Sie ein Report-Tool:

DMARC Analyzer (dmarcanalyzer.com) – kostenloser Einstieg, gute Visualisierung
Google Postmaster Tools – kostenfrei für Google-Traffic
Mailmeister DMARC Monitoring – wir analysieren Ihre Reports und handeln bei Missbrauch

Im Report sehen Sie: Welche IPs versenden E-Mails in Ihrem Namen? Welche bestehen SPF/DKIM? Gibt es aktive Missbrauchsversuche?

Fazit: DMARC schützt Ihre Domain und Ihre Kunden

Die Einrichtung von DMARC ist kein einmaliges Projekt, sondern ein laufender Prozess. Der technische Aufwand ist überschaubar – der Schutz, den es bietet, ist erheblich.

Wenn Sie sich unsicher sind, ob Ihre aktuelle Konfiguration korrekt ist – oder ob SPF und DKIM bereits funktionieren – helfen wir gerne mit einem kostenlosen E-Mail Security Check.

Unsicher bei der DMARC-Konfiguration?

In einem kostenlosen 30-Minuten-Gespräch prüfen wir Ihren aktuellen Status und zeigen konkrete nächste Schritte.

Kostenloses Erstgespräch buchen Produkte ansehen