Kann DMARC reject echte Mails blockieren?

Ja – wenn Sie DMARC auf reject setzen, bevor alle legitimen Sender korrekt per DKIM signieren und SPF-Alignment stimmt. Genau deshalb machen wir die Sender-Inventur zuerst und verschärfen schrittweise. Im Audit prüfen wir, ob Ihr Setup bereit ist für Enforcement.

Wie lange dauert die Umstellung?

Der technische Fix (SPF/DKIM/DMARC konfigurieren) dauert typisch 3–6 Stunden. Die schrittweise Verschärfung von none auf reject empfehlen wir über 2–4 Wochen, mit DMARC-Report-Auswertung zwischen den Schritten.

Was sind DMARC-Reports wirklich wert?

Sehr viel. Sie zeigen Ihnen, wer im Namen Ihrer Domain sendet – legitim oder nicht. Ohne Reports fliegen Sie blind: Sie wissen nicht, ob jemand Ihre Domain spooft, und Sie wissen nicht, ob Ihre eigenen Systeme korrekt authentifizieren. Allerdings: Reports müssen regelmäßig ausgewertet werden, sonst bringen sie nichts.

Was kostet Spoofing-Schutz?

Das Audit (149 €) zeigt den aktuellen Stand und was zu tun ist. Der Fix (790 €) setzt alles um: Sender-Inventur, SPF/DKIM/DMARC, Enforcement. Bei einfachen Setups (1–2 Sender) kann es schneller gehen.

Brauche ich danach laufende Betreuung?

Nicht zwingend. Wenn Ihr Setup stabil ist und sich selten ändert, reicht der einmalige Fix. Wenn Sie regelmäßig neue Versandwege hinzufügen oder DMARC-Reports professionell ausgewertet haben wollen, ist die Betreuung (99 €/Monat) sinnvoll.

SPF/DKIM · DMARC · Brand Protection

Ihre Domain wird für Phishing missbraucht – wir stoppen Spoofing

Spoofing ist nicht nur ein Zustellproblem – es ist ein Marken- und Sicherheitsrisiko. Jemand versendet E-Mails in Ihrem Namen, Ihre Kunden verlieren Vertrauen, und Ihre Domain-Reputation wird beschädigt. Die Lösung ist technisch klar: SPF, DKIM und DMARC richtig konfigurieren – bis hin zu DMARC reject.

Audit buchen (149 €)Erst kostenlos prüfen

Typische Symptome

Kunden melden Phishing-Mails „von Ihrer Domain“

Supportaufwand steigt, Vertrauen sinkt

DMARC steht auf none – Spoofing wird nur beobachtet, nicht blockiert

Marke wird durch gefälschte Mails beschädigt

Geschäftspartner blockieren Ihre Domain „zur Sicherheit“

Sie erfahren erst davon, wenn sich Empfänger beschweren

Warum Spoofing so gefährlich ist

Die meisten Unternehmen merken erst spät, dass ihre Domain missbraucht wird. E-Mail hat ein Grundproblem: Ohne DMARC auf reject kann jeder Server der Welt E-Mails mit Ihrem Absender versenden – und Empfänger können nicht unterscheiden, ob die Mail echt ist.

Für Ihre Kunden

Phishing-Mails sehen aus wie von Ihnen. Wenn jemand auf einen gefälschten Link klickt, ist der Schaden da – und Ihr Name steht im Absender.

Für Ihre Reputation

Empfänger-Provider registrieren gefälschte Mails und senken Ihren Reputation-Score. Das bedeutet: Auch Ihre echten Mails landen häufiger im Spam.

Für Ihr Geschäft

Geschäftspartner mit strengen Sicherheitsrichtlinien blockieren Domains ohne DMARC-Enforcement komplett. Seit 2024 verlangen Gmail und Microsoft DMARC für Bulk-Sender.

Häufige Ursachen

DMARC nicht enforced

DMARC steht auf none – das ist der Standard-Einstieg, aber kein Schutz. Empfänger werden informiert, dass Spoofing stattfindet, blockieren es aber nicht. Solange DMARC nicht auf quarantine oder reject steht, kann jeder in Ihrem Namen senden.

SPF zu breit oder fehlt

include:* oder kein SPF-Record – jeder Server kann behaupten, autorisiert zu sein. Häufig: zu viele Includes (SPF-Lookup-Limit bei 10 überschritten), dann greift SPF gar nicht mehr.

DKIM nicht überall aktiv

CRM, Helpdesk, Newsletter-Tool, Buchhaltung, Ticketsystem – nicht alle Versandwege haben DKIM. Ohne DKIM kann DMARC-Alignment nicht funktionieren, und der Weg zu reject ist blockiert.

Shadow-Sender unbekannt

Tools und Subsysteme, die irgendwer mal eingerichtet hat, senden ohne Ihr Wissen E-Mails über Ihre Domain. Marketing hat ein Tool angebunden, die IT weiß nichts davon. Ohne vollständige Sender-Inventur scheitert DMARC-Enforcement.

Alignment-Probleme

SPF oder DKIM passen nicht zur From-Domain. Häufig bei externen Diensten: Die Mail wird per DKIM signiert, aber mit der Domain des Providers statt Ihrer. Dann schlägt DMARC-Alignment fehl – selbst wenn DKIM technisch funktioniert.

So lösen wir das Problem

Schritt 1 – Sender-Inventur

Alle legitimen Versandwege erfassen: Welche Systeme senden E-Mails mit Ihrer Domain? CRM, Shop, Helpdesk, Newsletter, Buchhaltung, Monitoring. Erst wenn Sie alle kennen, können Sie DMARC verschärfen, ohne echte Mails zu blockieren.

Schritt 2 – SPF strikt konfigurieren

Nur autorisierte Sender im SPF-Record. Nicht mehr, nicht weniger. Lookup-Limit prüfen. -all statt ~all.

Schritt 3 – DKIM für alle Sender aktivieren

Jeder Versandweg bekommt eine eigene DKIM-Signatur mit korrektem Alignment zur From-Domain. Das ist die Voraussetzung für DMARC reject.

Schritt 4 – DMARC schrittweise verschärfen

none → quarantine → reject. Nicht alles auf einmal, sondern kontrolliert. Bei jedem Schritt DMARC-Reports auswerten und sicherstellen, dass keine legitimen Mails blockiert werden.

Schritt 5 – Reporting & Monitoring

DMARC-Reports regelmäßig auswerten. Neue Sender erkennen, bevor sie Probleme machen. Spoofing-Versuche dokumentieren. Optional: laufende Betreuung (99 €/Monat) für dauerhaftes Monitoring.

Typisches Ergebnis

Spoofing-Mails werden abgewiesen

Bei Empfängern isoliert (quarantine) oder abgelehnt (reject)

Marke geschützt

Weniger erfolgreiche Phishing-Versuche mit Ihrer Domain

Reputation steigt

Provider vertrauen Domains mit DMARC-Enforcement stärker

Klarheit über alle Sender

Sie wissen genau, wer in Ihrem Namen E-Mails versendet

DMARC-Enforcement: Was bedeutet none / quarantine / reject?

none⚠️ Kein Schutz

Nichts. Empfänger werden informiert, Mail wird zugestellt.

quarantine🟡 Teilschutz

Mail landet im Spam/Junk des Empfängers.

reject✅ Voller Schutz

Mail wird komplett abgewiesen. Empfänger sieht sie nie.

Unser Ziel: DMARC reject. Aber nicht sofort – erst wenn alle legitimen Sender korrekt konfiguriert sind. Sonst blockieren Sie Ihre eigenen Mails.

Häufige Fragen

Spoofing stoppen, Marke schützen

Im Audit analysieren wir Ihr komplettes Setup: Wer sendet aktuell in Ihrem Namen, was davon ist legitim, und wie weit sind Sie von DMARC reject entfernt.

Kostenlosen Check starten Audit buchen – 149 €