BG Beter Geregeld ICT
Security zonder IT-afdeling · 4 min leestijd · 22 Mai 2026

DMARC auf p=reject: der letzte Schritt, den die meisten KMUs überspringen

SPF und DKIM sind korrekt eingerichtet, DMARC steht auf p=none – und da bleibt es stecken. Wie Sie sicher zu quarantine und reject wechseln, ohne dass Ihre Rechnungen im Spam landen.

Viele KMUs haben die ersten Schritte der E-Mail-Sicherheit ordentlich umgesetzt: SPF ist eingerichtet, DKIM signiert ausgehende Mails, und DMARC ist aktiviert. Aber dann – fast immer – auf p=none. Das bedeutet: Es wird gemessen, aber es passiert nichts. Jemand kann weiterhin in Ihrem Namen eine E-Mail versenden, und die kommt problemlos an.

Der letzte Schritt – DMARC auf p=quarantine und schließlich p=reject – wird oft aufgeschoben, aus Angst, dass „echte" Mails künftig nicht mehr ankommen. Verständlich, aber unnötig. In diesem Beitrag zeigen wir, wie Sie diesen Schritt sicher vollziehen.

Kurze Auffrischung: Was macht DMARC eigentlich?

DMARC teilt empfangenden Mailservern mit, was sie mit Mails tun sollen, die behaupten, von Ihrer Domain zu stammen, aber weder durch SPF noch DKIM abgedeckt sind. Drei Optionen:

  • p=none: Nichts unternehmen, nur berichten. Gut zum Einstieg, schlecht als Dauerzustand.
  • p=quarantine: Verdächtige Mails landen im Spam.
  • p=reject: Verdächtige Mails werden abgelehnt und kommen nirgendwo an.

Solange Sie auf none stehen, können Betrüger Ihre Domain weiterhin für Phishing-Angriffe auf Ihre Kunden missbrauchen. Und diese Kunden sehen Ihren Namen als Absender.

Warum bleibt jeder auf p=none stecken?

Drei Gründe, die wir in der Praxis immer wieder erleben:

  1. Unbekannte Absender. Ihr Marketing-Tool, Ihre Buchhaltungssoftware, Ihr HR-System und Ihr CRM versenden alle Mails im Namen Ihrer Domain. Einige davon sind nicht in SPF aufgenommen oder signieren nicht mit DKIM.
  2. Keine Ahnung, was die DMARC-Berichte aussagen. Die XML-Berichte, die an Ihrer rua-Adresse eingehen, sind alles andere als lesbar.
  3. Angst vor Ausfällen. Niemand möchte derjenige sein, der erklären muss, warum das Angebot nicht angekommen ist.

Schritt 1: p=none eine Weile laufen lassen und die Berichte lesen

Bevor Sie etwas ändern, möchten Sie wissen, welche Systeme im Namen Ihrer Domain Mails versenden. Setzen Sie einen DMARC-Eintrag mit p=none und einer rua-Adresse, an der die Berichte eingehen. Lassen Sie dies mindestens 2 bis 4 Wochen laufen.

Die Berichte kommen als XML an – eines pro empfangendem Mailanbieter pro Tag. Manuell zu lesen ist das kaum machbar. Es gibt kostenlose und kostenpflichtige DMARC-Dashboards, die das XML übersichtlich aufbereiten. Wichtig: Sie suchen nach Absendern, die zu Ihnen gehören, bei denen SPF/DKIM aber noch nicht korrekt konfiguriert ist. Diese müssen Sie zuerst beheben.

Schritt 2: Die legitimen Ausreißer beheben

Häufige Kandidaten:

  • Mailchimp, Brevo, ActiveCampaign und andere Marketing-Tools: erfordern in der Regel eigene DKIM-Einträge.
  • Buchhaltungssoftware, die Rechnungen über Ihren Domainnamen versendet.
  • Microsoft 365 Direct Send von Druckern, Scannern und Line-of-Business-Anwendungen.
  • Externe Dienstleister (PR-Agentur, Personalvermittler), die „in Ihrem Namen" mailen – die sollten Sie ohnehin grundsätzlich überdenken.

Für jeden legitimen Absender: Fügen Sie ihn Ihrem SPF-Eintrag hinzu oder richten Sie DKIM ein. Überprüfen Sie danach erneut die Berichte. Wenn diese sauber sind – nur noch unbekannte, eindeutig böswillige Absender – können Sie weitermachen.

Schritt 3: Schrittweise zu reject

Wechseln Sie nicht auf einen Schlag von none zu reject. Gehen Sie phasenweise vor:

  1. p=quarantine mit pct=25: 25 % der verdächtigen Mails landen im Spam. Eine Woche beobachten.
  2. p=quarantine mit pct=100: Alle verdächtigen Mails im Spam. Zwei Wochen beobachten.
  3. p=reject mit pct=100: Das Endziel.

Bei jedem Schritt prüfen Sie die Berichte und halten Sie Rücksprache mit Ihrer Organisation. Gibt es Beschwerden, dass Mails nicht ankommen? In der Regel liegt das an einem vergessenen Absender, den Sie dann noch nachträglich beheben können.

Vergessen Sie Ihre Subdomains nicht

Ein häufiger Fehler: ihrefirma.de steht auf p=reject, aber mail.ihrefirma.de oder newsletter.ihrefirma.de hat keinen eigenen Eintrag. Mit dem sp=-Tag steuern Sie die Richtlinie für Subdomains. Standardmäßig erben diese die Richtlinie der Hauptdomain – seien Sie dabei aber explizit.

Und haben Sie Domains, die nie Mails versenden – zum Beispiel einen alten Domainnamen, den Sie behalten haben? Setzen Sie dort direkt p=reject mit einem leeren SPF (v=spf1 -all). Genau diese werden nämlich am häufigsten missbraucht.

Was Sie davon haben

Mit DMARC auf reject:

  • Kann niemand mehr Phishing-Mails von Ihrem genauen Domainnamen versenden.
  • Steigt die Zustellbarkeit Ihrer legitimen Mails (Gmail und Yahoo verlangen seit 2024 DMARC für Massenversender).
  • Erfüllen Sie eine Anforderung, die in Lieferantenverträgen und im Kontext von NIS2 immer häufiger auftaucht.

Was es nicht verhindert: Lookalike-Domains (ihrefirm4.de mit einem Tippfehler). Dafür sind andere Maßnahmen erforderlich. Aber die eigene Domain abzusichern ist ein solides 80/20-Ergebnis.

Jetzt loslegen

Möchten Sie wissen, wie Ihre Domain aktuell aufgestellt ist und welche Schritte für Sie die richtigen sind? Wir führen eine vollständige Prüfung von SPF, DKIM und DMARC durch und begleiten den schrittweisen Wechsel zu p=reject – ohne dass Ihre Rechnungen dabei auf der Strecke bleiben.

Onderwerpen

#phishing #Mail Beveiliging #Dmarc #Spf #Dkim

Volledige gids: Security voor MKB zonder IT-afdeling: wat doe je dit kwartaal?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Uptime-Monitoring für den Mittelstand: Nicht vom Kunden erfahren

Ihre Website ist down – und Sie erfahren es von einem Kunden. Das geht besser. So richten Sie als KMU ohne eigene IT-Abteilung ein Uptime-Monitoring ein, das keine Flut von Fehlalarmen produziert.

6 min
← Alle artikelen in "Security zonder IT-afdeling"