Über 10.000 kostenlose DMARC-Prüfungen pro Tag

Kostenloses Tool

Kostenloser DMARC Generator

Ihr v=DMARC1 TXT-Eintrag in 60 Sekunden: erstellen, kopieren, im DNS hinterlegen.

Standards basis: Die Hinweise folgen RFC 9989 für DMARC-Richtlinieneinträge, RFC 9990 für aggregierte Berichte und RFC 9991 für Failure Reports. Historisches Verhalten aus RFC 7489 wird genannt, wo es relevant ist.

Erstellen Sie einen gültigen DMARC-TXT-Eintrag, der Ihre Domain vor Absenderfälschung schützt und die Zustellbarkeit Ihrer E-Mails verbessert. Unser DMARC-Record Generator validiert die Syntax in Echtzeit.

Keine Registrierung nötig. Validierung in Echtzeit.

1

Richtlinie konfigurieren

Beginnen Sie mit "none": Sie sammeln Daten, ohne E-Mails zu verlieren. Mehr erfahren

Setzen Sie np nur, wenn Subdomain-Namen, die im DNS nicht existieren, eine eigene Richtlinie bekommen sollen.

2

Berichte (wohin die Daten gehen)

Tägliche Zusammenfassungen, wer im Namen Ihrer Domain E-Mails versendet. Mehrere Adressen trennen Sie mit Kommas.

Legen Sie ein kostenloses Konto an, und Sie erhalten Ihre eigene Berichtsadresse. Tragen Sie diese hier als rua-Wert ein, und wir werten die täglichen Berichte für Sie aus.

Kostenlose DMARCTrust-Berichtsadresse verwenden
3

Alignment (erweitert) (Optional)

Generierter Eintrag

_dmarc TXT
TXT-Eintrag: _dmarc.[domain]
v=DMARC1; p=none;

Eintrag im DNS hinterlegen

  1. 1 Melden Sie sich bei Ihrem DNS-Anbieter an (GoDaddy, Cloudflare, Namecheap usw.).
  2. 2 Legen Sie einen TXT-Eintrag an.
  3. 3 Host: _dmarc
  4. 4 Wert: Fügen Sie den oben generierten Eintrag ein.

Noch kein rua? Holen Sie sich eine kostenlose Berichtsadresse und sparen Sie sich die Einrichtung

DMARC-Berichte treffen als rohes XML ein, eine Datei pro Empfänger, jeden Tag. Wir sammeln sie an Ihrer Berichtsadresse, bereiten sie auf und zeigen Ihnen, wer im Namen Ihrer Domain versendet und was die Prüfung besteht oder nicht. Kostenlos für eine Domain.

How DMARC lives in your DNS

An 8-minute walkthrough of the DNS record you just generated.

DMARC-Eintrag-Beispiele zum Kopieren

So sieht ein funktionierender DMARC-Eintrag aus. Jedes Beispiel ist ein vollständiger Record, gültig nach RFC 9989, der aktuellen DMARC-Spezifikation. Ersetzen Sie example.com durch Ihre Domain und die mailto:-Adresse durch eine, die Sie kontrollieren, und hinterlegen Sie den Eintrag dann als TXT-Record unter _dmarc.ihredomain.de. Für was jedes Tag bewirkt siehe die Referenz unten.

Sicherer Start im Monitoring (der erste Eintrag)

Beginnen Sie hier. p=none ergreift keine Maßnahme gegen Ihre Mail, es bricht also nichts, während Sie Berichte sammeln und jeden sendeberechtigten Absender ermitteln.

v=DMARC1; p=none; rua=mailto:[email protected]

Volle Durchsetzung

Hinterlegen Sie dies, sobald Ihre Berichte zeigen, dass jeder echte Absender die Prüfung besteht. Die Empfänger werden gebeten, Mail abzuweisen, die die Authentifizierung nicht besteht. Sie wollen exakte Domain-Übereinstimmungen statt des relaxed-Standards? Ergänzen Sie adkim=s; aspf=s, aber erst, wenn Sie bestätigt haben, dass Ihre Subdomains und Anbieter weiterhin übereinstimmen.

v=DMARC1; p=reject; rua=mailto:[email protected]

Geparkte Domain ohne Mailversand

Für eine Domain, die nie E-Mails versendet. Weisen Sie Mail auf der Domain (p), auf bestehenden Subdomains (sp) und auf nicht existierenden Namen (np) ab, damit niemand in Ihrem Namen senden kann.

v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]

Eigene Richtlinie für Subdomains

Stimmen Sie die Hauptdomain weiter mit p=none ab, während Sie die Empfänger bitten, Mail von jeder Subdomain abzuweisen. Nützlich, wenn Ihre Subdomains nie senden sollen, die Hauptdomain aber noch Feinarbeit braucht.

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected]

Gmail- oder Microsoft-365-Absender

Derselbe Eintrag funktioniert, ob Sie über Google Workspace oder Microsoft 365 versenden. DMARC liegt in Ihrem DNS, nicht beim Anbieter. Richten Sie zuerst SPF und DKIM für den Anbieter ein und starten Sie dann mit p=none.

v=DMARC1; p=none; rua=mailto:[email protected]

Jeder Eintrag steht in einer Zeile. Hinterlegen Sie ihn am Host _dmarc, sodass der vollständige Name _dmarc.ihredomain.de lautet, mit Typ TXT. Halten Sie pro Domain genau einen DMARC-Eintrag.

DMARC-Einstellungen erklärt: jedes Tag in Ihrem Eintrag

Ein DMARC-Eintrag ist eine Liste von Tags, getrennt durch Semikolons. Diese Tabelle deckt jedes Tag ab, das der Generator oben erzeugen kann, samt aller Werte, die jedes Tag nach RFC 9989, der aktuellen DMARC-Spezifikation, akzeptiert. Tags, die Sie auf ihrem Standard belassen, werden aus dem Eintrag entfernt, damit er kurz bleibt.

Tag Wirkung Zulässige Werte Standard
v Version. Steht an erster Stelle und ist immer DMARC1. DMARC1 Pflicht
p Richtlinie der Domain. Sagt den Empfängern, wie sie mit Mail umgehen sollen, die DMARC nicht besteht. none, quarantine, reject none
sp Richtlinie für bestehende Subdomains. Ohne dieses Tag folgen Subdomains der p-Richtlinie. none, quarantine, reject folgt p
np Richtlinie für nicht existierende Subdomains, also Namen, die im DNS nicht auflösen. Dieses Tag kam mit RFC 9989 hinzu. none, quarantine, reject folgt sp, dann p
t Testmodus. t=y bittet die Empfänger, während Ihres Tests die nächstniedrigere Richtlinie anzuwenden, sodass reject wie quarantine und quarantine wie none wirkt. y, n n
adkim DKIM-Alignment. Relaxed lässt eine Subdomain mit der übergeordneten Domain übereinstimmen; strict verlangt eine exakte Übereinstimmung. r, s r
aspf SPF-Alignment. Relaxed lässt eine Subdomain mit der übergeordneten Domain übereinstimmen; strict verlangt eine exakte Übereinstimmung. r, s r
rua Wohin aggregierte Berichte gehen, die täglichen Zusammenfassungen, wer im Namen Ihrer Domain versendet. Eine oder mehrere mailto:-Adressen. mailto:-URIs kein Versand
ruf Wohin Fehlerberichte gehen (früher: forensische Berichte), mit Details pro Nachricht zu Mail, die die Prüfung nicht bestand. Viele Empfänger senden diese aus Datenschutzgründen nicht mehr. mailto:-URIs kein Versand
fo Optionen für Fehlerberichte. 0 meldet nur, wenn alle Prüfungen scheitern, 1 sobald eine scheitert, d fordert einen Bericht bei jedem DKIM-Signaturfehler, s bei jedem SPF-Fehler an (d und s nach RFC 6651/6652). Ohne ruf wird es ignoriert. 0, 1, d, s 0

Mit RFC 9989 entfernt: Die Tags pct, rf und ri gehören nicht mehr zum Standard. Dieser Generator erzeugt sie nicht. Für eine schrittweise Einführung nutzen Sie t=y statt des alten pct-Tags.

Die vollständige DMARC-Tag-Referenz lesen, inklusive psd-Tag →

Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein E-Mail-Sicherheitsprotokoll für Authentifizierung und Berichterstattung. Es verhindert, dass Ihre Domain für Phishing und Absenderfälschung missbraucht wird.

DMARC baut auf zwei bestehenden Mechanismen auf: SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail). Sie legen damit fest, wie empfangende Mailserver mit E-Mails umgehen sollen, die die Authentifizierung nicht bestehen. Zusätzlich erhalten Sie Berichte und sehen, wer im Namen Ihrer Domain E-Mails versendet.

Read our complete DMARC introduction →

Warum ein DMARC Generator nur Schritt null ist →

Den Eintrag zu erstellen ist nur ein Schritt. Unsere DMARC-Checkliste zur Einrichtung führt Sie durch die gesamte Einführung, von p=none bis p=reject, ohne legitime E-Mails zu blockieren.

Wie DMARC funktioniert

DMARC verknüpft die beiden Authentifizierungsmechanismen SPF und DKIM mit einer Richtlinie und einem Berichtssystem. Der Ablauf:

1

E-Mail wird versendet

Jemand verschickt eine E-Mail, die angeblich von Ihrer Domain stammt. Der empfangende Mailserver ruft Ihren DMARC-Eintrag ab.

2

Authentifizierungsprüfung

Der Empfänger prüft, ob die E-Mail SPF (Absender-IP ist sendeberechtigt) und/oder DKIM (kryptografische Signatur ist gültig) besteht.

3

Alignment-Prüfung

DMARC prüft das Alignment, also ob die authentifizierten Domains mit der Domain der sichtbaren 'Von'-Adresse übereinstimmen.

4

Anwendung der Richtlinie

Je nach Ihrer DMARC-Richtlinie (none, quarantine oder reject) behandelt der Empfänger E-Mails, die die Prüfung nicht bestehen.

5

Berichte

Die Empfänger senden aggregierte Berichte mit den Authentifizierungsergebnissen sowie Fehlerberichte (früher: forensische Berichte) mit Details zu einzelnen Nachrichten, die die DMARC-Prüfung nicht bestanden haben.

DMARC einrichten: von diesem Eintrag zur sicheren Durchsetzung

DMARC einzurichten ist kein einzelner Schalter. Sie hinterlegen einen Überwachungseintrag, werten die Berichte aus, korrigieren fehlschlagende Absender und verschärfen die Richtlinie dann schrittweise. Hier ist der sichere Weg vom Eintrag oben bis zur vollen Durchsetzung.

1

Eintrag kopieren

Starten Sie mit einem p=none-Eintrag aus dem Generator oben und ergänzen Sie Ihre rua=-Berichtsadresse. p=none ändert nichts an der Zustellung Ihrer Mail.

2

Als TXT-Eintrag unter _dmarc hinterlegen

Legen Sie bei Ihrem DNS-Anbieter einen TXT-Eintrag mit dem Host _dmarc und dem generierten Wert an. Der vollständige Name lautet _dmarc.ihredomain.de. Halten Sie genau einen DMARC-Eintrag.

3

Auf die Propagierung warten

DNS-Änderungen werden in der Regel innerhalb von 5 bis 30 Minuten wirksam. Danach ist Ihr Eintrag live und die Empfänger können Ihre Richtlinie lesen.

4

Berichte sammeln und auswerten

Aggregierte (rua-)Berichte treffen innerhalb von 24 bis 48 Stunden ein. Sie zeigen jede Quelle, die im Namen Ihrer Domain versendet, und ob SPF und DKIM bestehen. Authentifizieren Sie jeden legitimen Absender, der fehlschlägt.

5

Die Richtlinie schrittweise verschärfen

Sobald Ihre echten Absender bestehen, gehen Sie von p=none auf p=quarantine und dann auf p=reject. Um eine strengere Richtlinie zu proben, bevor Sie sie durchsetzen, ergänzen Sie t=y, damit die Empfänger die nächstniedrigere Richtlinie anwenden, während Sie prüfen, dass nichts ausfällt.

Sie wollen die vollständige Einführungs-Checkliste mit Zeitplan und den Stolperfallen? Folgen Sie unserer DMARC-Checkliste zur Einrichtung.

Warum ein generierter Eintrag nur Schritt null ist

Den Eintrag zu erstellen ist der einfache Teil. Die Arbeit beginnt nach dem Hinterlegen, denn der Nutzen von DMARC steckt in den Berichten, und die treffen nicht in einer Form ein, die ein Mensch lesen kann. Aggregierte Berichte kommen als rohes XML, eine Datei pro Empfänger, jeden Tag. Aus einer Handvoll Absender werden Dutzende Dateien pro Woche, die sich in dem Postfach stapeln, das Sie in Ihr rua=-Tag eingetragen haben.

Wir wissen das, weil DMARCTrust genau diese Dateien empfängt und auswertet. Unser Mailserver nimmt die Berichte der großen Empfänger an, und ein Streaming-Parser macht aus jeder XML-Datei eine klare Übersicht, wer im Namen Ihrer Domain versendet und was die Prüfung besteht oder nicht. Richten Sie Ihr rua= auf eine kostenlose DMARCTrust-Berichtsadresse, und Sie erhalten diese Übersicht statt eines Postfachs voller XML. Kostenlos für eine Domain, ohne Kreditkarte.

Wie sich der DMARC-Standard mit RFC 9989, 9990 und 9991 geändert hat →

Warum Ihre Domain DMARC braucht

E-Mail-Authentifizierung ist keine Kür mehr. Darum sollten Sie DMARC einrichten:

Spoofing unterbinden

Verhindern Sie, dass Angreifer Phishing-E-Mails mit Ihrer Domain als Absender verschicken. Ohne DMARC kann jeder Ihre Absenderadresse fälschen.

Ihren Ruf schützen

Fälschen Kriminelle Ihre Domain, verbinden die Empfänger den Betrug mit Ihrer Marke. DMARC stoppt diesen Schaden, bevor er entsteht.

Zustellbarkeit verbessern

Große E-Mail-Anbieter wie Gmail und Microsoft bevorzugen authentifizierte E-Mails. Mit DMARC erreichen Ihre legitimen Nachrichten zuverlässiger den Posteingang.

Vorgaben erfüllen

Viele Branchen und Behörden schreiben DMARC inzwischen vor. Google und Yahoo verlangen es seit Februar 2024 von Massenversendern.

Überblick über Ihren Mailverkehr gewinnen

DMARC-Berichte zeigen, wer im Namen Ihrer Domain versendet. So finden Sie vergessene legitime Dienste ebenso wie nicht autorisierte Absender.

BIMI für Ihr Markenlogo freischalten

Damit Gmail und andere unterstützende Clients Ihr Logo neben E-Mails anzeigen, muss Ihre DMARC-Richtlinie verschärft sein: BIMI verlangt p=quarantine oder p=reject.

Häufige DMARC-Fehler, die Sie vermeiden sollten

Diese Fallstricke kosten Zustellbarkeit oder lassen Ihre Domain ungeschützt:

Mit p=reject starten

Wer direkt auf reject geht, blockiert schnell legitime E-Mails von Diensten, die noch nicht authentifiziert sind. Beginnen Sie immer mit p=none und beobachten Sie zuerst.

Drittanbieter vergessen

Marketing-Plattformen, CRMs und Transaktionsmail-Dienste versenden in Ihrem Namen. Konfigurieren Sie jeden davon korrekt für SPF und DKIM, bevor Sie die Richtlinie verschärfen.

DMARC-Berichte nicht auswerten

Ohne Blick in die Berichte merken Sie nicht, wenn legitime E-Mails durchfallen. Ein DMARC-Monitoring wertet die Berichte automatisch für Sie aus.

Ungültige Berichtsadresse verwenden

Die rua-Adresse muss gültig und erreichbar sein. Kommen keine Berichte an, sind Sie im Blindflug unterwegs.

Subdomains ignorieren

Subdomains erben Ihre DMARC-Richtlinie standardmäßig. Laufen Dienste auf Subdomains, lohnt sich das sp=-Tag für eine eigene Subdomain-Richtlinie.

Weiterhin das pct-Tag verwenden

RFC 9989 hat das pct-Tag aus dem DMARC-Standard entfernt. Neue Einträge sollten es weglassen. Für eine schrittweise Einführung setzen Sie t=y, damit die Empfänger die nächstniedrigere Richtlinie anwenden, während Sie testen, statt des alten Prozentansatzes.

Häufig gestellte Fragen

Beeinträchtigt DMARC die Zustellung meiner E-Mails?

Nein, wenn Sie sicher starten. Beginnen Sie mit p=none: In diesem Überwachungsmodus wird keine legitime E-Mail blockiert, während Sie Daten sammeln. Sobald sich alle legitimen Absender (etwa Mailchimp, Salesforce, Google Workspace) korrekt authentifizieren, wechseln Sie zu p=quarantine oder p=reject.

Was ist der Unterschied zwischen den Richtlinien?

None (p=none): Überwacht den Mailverkehr. Nicht bestandene E-Mails bleiben unangetastet. Starten Sie hier.

Quarantine (p=quarantine): E-Mails, die die Prüfung nicht bestehen, landen im Spam-Ordner des Empfängers.

Reject (p=reject): Bittet die Empfänger, nicht bestandene Nachrichten abzuweisen; die endgültige Entscheidung bleibt beim Empfänger.

Brauche ich DMARC für Gmail oder Outlook?

Ja. Google und Microsoft schützen ihre Infrastruktur, können aber niemanden daran hindern, Ihre eigene Domain zu fälschen, solange Sie keinen DMARC-Eintrag veröffentlichen. Seit Februar 2024 verlangen Google und Yahoo DMARC sogar von Massenversendern.

Wie lange dauert es, bis DMARC funktioniert?

Nachdem Sie den DMARC-TXT-Eintrag im DNS hinterlegt haben, ist er in der Regel nach 5 bis 30 Minuten propagiert. Aggregierte Berichte treffen innerhalb von 24 bis 48 Stunden ein. Bis zur Verschärfung auf p=reject sollten Sie sich allerdings Wochen oder Monate Zeit nehmen und schrittweise vorgehen, während Sie alle legitimen Absender verifizieren.

Was ist der Unterschied zwischen SPF, DKIM und DMARC?

SPF prüft, ob eine E-Mail von einer sendeberechtigten IP-Adresse stammt. DKIM ergänzt eine kryptografische Signatur als Beleg, dass die E-Mail nicht verändert wurde. DMARC verbindet beide: Es prüft, ob die authentifizierten Domains mit der sichtbaren 'Von'-Adresse übereinstimmen, und legt fest, was im Fehlerfall passiert.

Kann ich mehrere DMARC-Einträge haben?

Nein. Unter _dmarc.ihredomain.de darf nur ein DMARC-TXT-Eintrag stehen. Mehrere Einträge führen zu unvorhersehbarem Verhalten, weil Empfänger einen beliebigen davon verwenden können. Sollen Berichte an mehrere Adressen gehen, trennen Sie diese mit Kommas in einem einzigen rua=-Tag.

Sollte ich das pct=-Tag noch verwenden?

Für neue Einträge nicht. Der DMARC-Standard wurde im Mai 2026 durch RFC 9989 (Protokoll), RFC 9990 (aggregierte Berichte) und RFC 9991 (Fehlerberichte) überarbeitet, und RFC 9989 hat das pct-Tag entfernt. Um die Richtlinie schrittweise zu verschärfen, nutzen Sie zuerst p=none, dann p=quarantine, und setzen Sie t=y, wenn die Empfänger während Ihres Tests die nächstniedrigere Richtlinie anwenden sollen. Einträge beginnen weiterhin mit v=DMARC1, der Wechsel ist also abwärtskompatibel.

Sollte ich relaxed oder strict Alignment verwenden?

Relaxed Alignment (der Standard) lässt Subdomains bestehen: mail.beispiel.de stimmt mit beispiel.de überein. Strict Alignment verlangt eine exakte Domain-Übereinstimmung. Die meisten Organisationen fahren mit relaxed gut; wählen Sie strict nur bei besonderen Sicherheitsanforderungen.

Is a DMARC generator, DMARC builder, DMARC creator, or DMARC record maker the same thing?

Yes. DMARC generator, DMARC record generator, DMARC builder, DMARC creator, DMARC maker, DMARC wizard, and DMARC policy generator all describe the same type of tool: a form-based way to produce a valid v=DMARC1 TXT record without writing the syntax by hand. The free tool above supports every variant and validates the output in real time.

How do I generate a free DMARC record step-by-step?

To generate a DMARC record with the tool above:

  1. Enter your domain in the field at the top.
  2. Choose the policy, starting with p=none to monitor safely before enforcing.
  3. Add a reporting address in the rua field. Use our free monitoring address to avoid an overflowing inbox.
  4. Optionally set adkim/aspf alignment and a subdomain policy with sp=.
  5. Copy the generated record and paste it as a TXT record at _dmarc.yourdomain.com in your DNS provider.
What's the difference between a DMARC generator, a DMARC policy generator, and a DMARC TXT record generator?

They are the same tool. A DMARC record is always published as a DNS TXT record, so DMARC TXT record generator is the literal technical name. DMARC policy generator emphasizes that the generated record declares a policy (p=none, quarantine, or reject). DMARC generator is the short name most people use. All three produce the same v=DMARC1 string.

Vervollständigen Sie Ihre E-Mail-Authentifizierung

DMARC arbeitet mit SPF und DKIM zusammen. Erstellen Sie als Nächstes Ihren SPF-Eintrag oder zeigen Sie Ihr Markenlogo per BIMI an (setzt eine verschärfte DMARC-Richtlinie voraus).

Standardbasis: Die Hinweise folgen RFC 9989 für DMARC-Richtlinieneinträge, RFC 9990 für aggregierte Berichte und RFC 9991 für Failure Reports. Historisches Verhalten aus RFC 7489 wird genannt, wo es relevant ist.