KI-Zusammenfassung
Eine DMARC-Richtlinie ist die Anweisung in Ihrem DMARC-Eintrag, die empfangenden Mailservern mitteilt, was mit E-Mails geschehen soll, die die Authentifizierung nicht bestehen. Es gibt drei Optionen: none (nur überwachen), quarantine (in den Spam-Ordner senden) und reject (vollständig blockieren). Dieses einzelne Tag, geschrieben als p= in Ihrem DNS-Eintrag, ist der Unterschied zwischen DMARC, das nur Ihren E-Mail-Verkehr überwacht, und DMARC, das tatsächlich gefälschte Nachrichten daran hindert, einen Posteingang zu erreichen.
Wenn Sie bereits einen DMARC-Eintrag haben, ist die Richtlinie leicht zu finden. Sie steht direkt nach p= im Eintrag:
v=DMARC1; p=quarantine; rua=mailto:[email protected]
In diesem Beispiel ist die Richtlinie quarantine. Unten werde ich aufschlüsseln, was jede der drei Richtlinien tut, Ihnen die genaue Syntax für jeden Eintrag zeigen und einen realistischen Zeitplan für den Übergang von der Überwachung zur vollständigen Durchsetzung darlegen.
- Haben Sie bereits eine DMARC-Richtlinie festgelegt?
- Keine vs. Quarantäne vs. Ablehnen im Überblick
- p=none: Überwachung ohne Durchsetzung
- p=quarantine: Die Übergangsrichtlinie zur Durchsetzung
- p=reject: Vollständige Durchsetzung
- Die Tags pct und sp
- Wie lange der Übergang von keine zu ablehnen tatsächlich dauert
- Häufige Fehler, die es zu vermeiden gilt
- FAQ
Haben Sie bereits eine DMARC-Richtlinie festgelegt?
Wenn Sie sich nicht sicher sind, ob Ihre Domain überhaupt einen DMARC-Eintrag hat oder welche Richtlinie sie verwendet, ist das das Erste, was Sie überprüfen sollten, bevor irgendetwas davon relevant ist.
Der einfachste Weg ist ein kostenloses DMARC-Lookup-Tool wie MXToolbox. Geben Sie Ihre Domain ein, und es zeigt Ihnen den vollständigen Eintrag, einschließlich des p=-Werts, falls vorhanden. Sie werden eines von drei Dingen sehen:
- Kein DMARC-Eintrag gefunden. Ihre Domain hat überhaupt keine Richtlinie, was bedeutet, dass jeder Ihre Domain in E-Mails fälschen kann, ohne Konsequenzen.
- Ein Eintrag mit p=none. DMARC ist im Überwachungsmodus eingerichtet, erzwingt aber noch nichts.
- Ein Eintrag mit p=quarantine oder p=reject. DMARC erzwingt aktiv eine Richtlinie.
Wenn nichts angezeigt wird, müssen Sie einen DMARC-Eintrag erstellen, bevor überhaupt eine Richtlinie für Sie gilt. Ich habe eine vollständige Anleitung mit Screenshots zum Hinzufügen des Eintrags über Ihren DNS-Anbieter in Erstellen eines DMARC-Eintrags geschrieben. Diese Anleitung behandelt, wo DNS-Einträge leben (Ihr Host, Registrar oder CDN), die genauen Felder, die ausgefüllt werden müssen, und wie Sie bestätigen, dass der Eintrag live ist, sobald Sie ihn veröffentlicht haben.
Während Sie überprüfen, lohnt es sich auch zu bestätigen, dass die ausgehenden E-Mails Ihrer WordPress-Website selbst zuerst SPF und DKIM bestehen. WP Mail SMTP zeigt Ihnen den Authentifizierungsstatus jeder E-Mail, die Ihre Website sendet, damit Sie nicht raten müssen, ob Ihre eigene Website eine der Quellen ist, die DMARC bald kennzeichnen wird.
Beheben Sie jetzt Ihre WordPress-E-Mails
Der Rest dieses Beitrags geht davon aus, dass Sie entweder bereits einen Eintrag haben oder gerade einen erstellt haben und verstehen möchten, welche Richtlinie Sie wählen und wann Sie sie ändern sollen.
Keine vs. Quarantäne vs. Ablehnen im Überblick
| p=none | p=quarantine | p=reject | |
|---|---|---|---|
| Was mit fehlerhaften E-Mails passiert | Normal zugestellt | In Spam/Junk gesendet | Vor Zustellung blockiert |
| Schutzniveau | Keine (nur Überwachung) | Teilweise | Vollständig |
| Risiko der Zustellbarkeit bei Fehlkonfiguration | Keine | Legitime E-Mails könnten im Spam landen | Legitime E-Mails könnten zurückgewiesen werden |
| Am besten verwendet, wenn | Erste Schritte, Zuordnen von Absendern | Absender größtenteils verifiziert, Durchsetzung wird getestet | Alle Absender bestätigt und erfolgreich |
| Berichte werden noch gesendet? | Ja | Ja | Ja |
p=none: Überwachung ohne Durchsetzung
p=none ist die Startrichtlinie für jede Domain, die DMARC zum ersten Mal veröffentlicht. Sie weist empfangende Server an, keine Maßnahmen für E-Mails zu ergreifen, die die Authentifizierung nicht bestehen. Fehlgeschlagene Nachrichten werden weiterhin genau wie ohne DMARC zugestellt. Das Einzige, was sich ändert, ist, dass Sie beginnen, aggregierte Berichte zu erhalten, die zeigen, welche Quellen E-Mails als Ihre Domain senden und ob sie SPF und DKIM bestehen.
v=DMARC1; p=none; rua=mailto:[email protected]
Was p=none tut:
- Schafft Transparenz über jeden Server, der E-Mails im Namen Ihrer Domain sendet
- Hat keine Auswirkungen auf die Zustellbarkeit, da keine Durchsetzungsmaßnahme ergriffen wird
- Erfordert keine vorherige SPF- oder DKIM-Einrichtung zur Veröffentlichung
Was p=none nicht tut:
- Phishing- oder Spoofing-Versuche mit Ihrer Domain stoppen
- Ihre Marke oder Ihre Empfänger in irgendeiner Weise schützen
- Als gültige langfristige Richtlinie dienen
Eine Domain, die auf unbestimmte Zeit bei p=none verbleibt, hat einen DMARC-Eintrag, aber keinen tatsächlichen Schutz. Dies ist der häufigste Fehler bei DMARC-Implementierungen: Überwachung als Ziellinie statt als erster Schritt zu behandeln.
p=quarantine: Die Übergangsrichtlinie zur Durchsetzung
p=quarantine weist empfangende Server an, fehlgeschlagene Nachrichten mit Misstrauen zu behandeln, typischerweise indem sie in den Spam- oder Junk-Ordner des Empfängers statt in den Posteingang weitergeleitet werden. Die E-Mail wird nicht sofort blockiert. Sie kommt immer noch an, nur nicht dort, wo sie normalerweise wäre.
v=DMARC1; p=quarantine; rua=mailto:[email protected]
Wie „Quarantäne“ genau gehandhabt wird, variiert leicht je nach E-Mail-Anbieter. Einige kennzeichnen die Nachricht als verdächtig, anstatt sie zu verschieben. Die meisten, einschließlich Gmail und Outlook, senden sie in den Spam. In jedem Fall ist der praktische Effekt derselbe: Legitime E-Mails, die die Authentifizierung nicht bestehen, sind für den Empfänger schwerer zu sehen, weshalb Quarantäne erst eingerichtet werden sollte, wenn Sie sicher sind, dass alle Ihre bekannten Absender korrekt konfiguriert sind.
Warum Domains Quarantäne als Zwischenschritt verwenden:
- Es fängt Fehlkonfigurationen ab, bevor sie zu Bounces werden. Wenn ein legitimer Absender DMARC nicht mehr besteht, landet die E-Mail im Spam, anstatt vollständig zu verschwinden. Sie können das Problem erkennen und beheben.
- Es schafft Vertrauen für reject. Das Beobachten, wie Quarantäne einige Wochen lang reibungslos läuft, ist das deutlichste Signal dafür, dass Sie für die vollständige Durchsetzung bereit sind.
- Es kann schrittweise angewendet werden. Mit dem Tag
pctkönnen Sie zunächst nur einen Prozentsatz der fehlgeschlagenen E-Mails unter Quarantäne stellen (mehr dazu weiter unten).
p=reject: Vollständige Durchsetzung
p=reject ist die strengste Richtlinie. Sie weist empfangende Server an, E-Mails, die die DMARC-Authentifizierung nicht bestehen, zu blockieren, bevor sie überhaupt zugestellt werden. Kein Posteingang, keine Spam-Ordner. Die Nachricht wird abgewiesen.
v=DMARC1; p=reject; rua=mailto:[email protected]
Es gibt zwei gängige Methoden, wie empfangende Server reject implementieren:
- Ablehnung bei der SMTP-Verbindung. Der empfangende Server lehnt die Nachricht während der anfänglichen Verbindung ab, bevor sie vollständig angenommen wird. Dies ist die weiter verbreitete Methode und die von den meisten E-Mail-Anbietern empfohlene.
- Akzeptieren und dann verwerfen. Der Server akzeptiert die Nachricht und verwirft sie dann entweder stillschweigend oder leitet sie an den Absender zurück. Dies geschieht seltener, ist aber gemäß der DMARC-Spezifikation immer noch gültig.
Ablehnen ist das Endziel jeder ernsthaften DMARC-Implementierung. Es ist auch die Richtlinie, bei der Fehler am sichtbarsten sind. Wenn ein legitimer Absender nicht korrekt authentifiziert wurde, landet seine E-Mail nicht im Spam, wo sie gefunden werden kann. Sie kommt einfach nicht an, und es gibt keine Soft-Failure-Warnung.
Die Tags pct und sp
Zwei zusätzliche Tags ermöglichen es Ihnen, zu steuern, wie eine Richtlinie angewendet wird, und beide sind es wert, bekannt zu sein, bevor Sie über p=none hinausgehen.
pct steuert, welcher Prozentsatz der fehlerhaften E-Mails die Richtlinie erhält. Anstatt direkt auf 100 % Durchsetzung zu springen, können Sie Quarantäne oder Ablehnung zunächst auf einen kleineren Teil des fehlerhaften Datenverkehrs anwenden.
v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]
Nachrichten außerhalb dieses Prozentsatzes werden so behandelt, als ob die Richtlinie immer noch p=none wäre. Dies gibt Ihnen eine schrittweise Erhöhung anstelle eines Alles-oder-Nichts-Schalters und ist der sicherste Weg, um zur Durchsetzung überzugehen, wenn Sie nicht vollständig sicher sind, dass jeder Absender berücksichtigt wurde.
sp legt eine separate Richtlinie für Subdomains fest. Ohne diese erben Subdomains die Richtlinie, die Sie für die Hauptdomain festgelegt haben.
v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]
Dieses Beispiel erzwingt die Ablehnung für die Root-Domain, während Subdomains eine sanftere Quarantäne-Richtlinie erhalten, was nützlich ist, wenn eine Subdomain von einem anderen Team verwaltet wird oder noch nicht vollständig authentifiziert wurde. Das Überspringen dieses Tags ist eine häufige Lücke: Eine Domain kann bei p=reject vollständig gesperrt sein, während eine unbeaufsichtigte Subdomain offen für Spoofing bleibt.
Wie lange der Übergang von keine zu ablehnen tatsächlich dauert
Es gibt keinen festen Zeitplan in der DMARC-Spezifikation, aber überstürzte Rollouts sind der häufigste Grund, warum legitime E-Mails blockiert werden. Ein nachvollziehbares, allgemein empfohlenes Tempo sieht wie folgt aus:
- Bleiben Sie mindestens 2 bis 4 Wochen bei p=none, und länger, wenn Ihre Domain über mehrere Drittanbieter-Tools (Marketingplattformen, CRMs, Helpdesk-Software, Rechnungsstellungstools) sendet. Nutzen Sie dieses Zeitfenster, um aggregierte Berichte zu überprüfen und zu bestätigen, dass jeder legitime Absender SPF oder DKIM besteht.
- Wechseln Sie zu p=quarantine, sobald bekannte Absender sauber sind, beginnend mit einem niedrigen
pct-Wert wie 25 und erhöhen Sie ihn, während die Berichte frei von legitimen, aber erfassten E-Mails bleiben. - Gehen Sie erst zu p=reject über, nachdem die Quarantäne zu 100 % ohne Beeinträchtigung legitimer E-Mails gelaufen ist. Die meisten Domains erreichen diese Stufe je nach Anzahl der zu authentifizierenden Sendequellen irgendwo zwischen einigen Monaten und etwa einem Jahr nach Beginn.
Das Überspringen von Schritten ist der Grund, warum die meisten DMARC-Rollouts schiefgehen. Eine Domain mit einem einzigen E-Mail-Anbieter kann sich schnell entwickeln. Eine Domain, die über ein Dutzend Marketing-, Support- und Transaktions-Tools sendet, benötigt mehr Zeit, da jede dieser Quellen die Authentifizierung bestehen muss, bevor die Durchsetzung sicher ist.
Häufige Fehler, die es zu vermeiden gilt
- Direkt auf Ablehnung springen. Die Veröffentlichung von p=reject, bevor bestätigt wurde, dass jeder legitime Absender authentifiziert ist, wird echte E-Mails zurückweisen, manchmal ohne Vorwarnung.
- Niemals p=none verlassen. Ein DMARC-Eintrag ohne Durchsetzungsrichtlinie bietet Sichtbarkeit, aber keinen tatsächlichen Schutz vor Spoofing.
- Subdomains vergessen. Wenn
spnicht gesetzt ist, kann ein Angreifer eine Subdomain ins Visier nehmen, die nicht gesperrt wurde, selbst wenn die Hauptdomain vollständig durchgesetzt wird. - Die Rampe überspringen. Der Übergang von p=none zu 100% Reject in einem Schritt ist riskanter als das schrittweise Durchlaufen von
pct-Werten. - Nicht erneut prüfen, nachdem neue Absender hinzugefügt wurden. Ein neues Marketing-Tool oder ein transaktionaler E-Mail-Dienst muss SPF oder DKIM bestehen, bevor es in Ihren Versandmix aufgenommen wird, sonst schlägt DMARC fehl, sobald die Durchsetzung aktiv ist.
Das Überspringen von Schritten ist der Grund, warum die meisten DMARC-Rollouts schiefgehen. Eine Domain mit einem einzigen E-Mail-Anbieter kann sich schnell entwickeln. Eine Domain, die über ein Dutzend Marketing-, Support- und Transaktions-Tools sendet, benötigt mehr Zeit, da jede dieser Quellen die Authentifizierung bestehen muss, bevor die Durchsetzung sicher ist.
Wenn Ihre WordPress-Website eine dieser Versandquellen ist, lohnt es sich, frühzeitig nachzusehen. Die Standard-Mail-Funktion von WordPress sendet über PHP mail() oder was auch immer der Server konfiguriert hat, was oft SPF und DKIM-Abgleich fehlschlägt, selbst wenn der Rest Ihrer Domain korrekt eingerichtet ist. WP Mail SMTP leitet WordPress-E-Mails stattdessen über eine authentifizierte SMTP-Verbindung, sodass die eigenen E-Mails Ihrer Website nicht der einzige Absender werden, der Ihren Umstieg auf Quarantäne oder Ablehnung verzögert.
Beheben Sie jetzt Ihre WordPress-E-Mails
FAQ
Was bedeutet DMARC p=none? p=none bedeutet, dass DMARC im Überwachungsmodus ist. E-Mails, die die Authentifizierung nicht bestehen, werden weiterhin normal zugestellt, aber Sie erhalten Berichte, die zeigen, welche Quellen E-Mails als Ihre Domain senden und ob sie die Prüfungen bestehen.
Was ist der Unterschied zwischen DMARC-Quarantäne und -Ablehnung? Quarantäne sendet E-Mails, die fehlschlagen, in den Spam-Ordner des Empfängers, sodass sie immer noch zugestellt, aber schwerer zu finden sind. Ablehnung blockiert E-Mails, die fehlschlagen, vor der Zustellung, sodass sie gar nicht erst ankommen, nicht einmal im Spam.
Wie lange sollten Sie bei p=none bleiben? Mindestens 2 bis 4 Wochen, obwohl Domains mit mehreren Drittanbieter-Absendern oft länger brauchen, um zu bestätigen, dass jede Quelle ordnungsgemäß authentifiziert ist, bevor sie zur Durchsetzung übergehen.
Beeinflusst eine DMARC-Richtlinie die Zustellbarkeit? p=none hat keine Auswirkungen auf die Zustellbarkeit. p=quarantine und p=reject können die Zustellbarkeit beeinträchtigen, wenn ein legitimer Absender nicht korrekt authentifiziert wurde. Deshalb sollten beide nur schrittweise und nach Überwachung angewendet werden, die Ihre Absender als sauber bestätigt.
Erstellen Sie als Nächstes einen DMARC-Eintrag
Sobald Sie wissen, welche Richtlinie zu Ihrer aktuellen Phase der Einführung passt, ist die korrekte Veröffentlichung des Eintrags genauso wichtig wie die Wahl der richtigen. Mein Leitfaden zum Erstellen eines DMARC-Eintrags führt Sie Schritt für Schritt durch das Hinzufügen der genauen Syntax zu Ihrem DNS, sodass keine Tippfehler Ihre Durchsetzung beeinträchtigen.
Bereit, Ihre E-Mails zu reparieren? Fangen Sie noch heute an mit dem besten WordPress SMTP-Plugin. Wenn Sie keine Zeit haben, Ihre E-Mails zu reparieren, können Sie gegen Aufpreis eine vollständige White Glove Setup-Unterstützung erhalten, und für alle kostenpflichtigen Tarife gilt eine 14-tägige Geld-zurück-Garantie.
Wenn dieser Artikel Ihnen geholfen hat, folgen Sie uns bitte auf Facebook und Twitter für weitere WordPress-Tipps und Tutorials.