So lesen Sie einen DMARC-Bericht (Schritt für Schritt für B2B-Absender)

Ein DMARC-Gesamtbericht ist eine von Mailbox-Anbietern versandte Zusammenfassung, die zeigt, wie E-Mails, die angeblich von Ihrer Domain stammen, bei Authentifizierungsprüfungen wie SPF und DKIM abgeschnitten haben.

Diese Berichte sind unerlässlich, um zu verstehen, wer in Ihrem Namen E-Mails versendet, wie hoch das Volumen der versendeten E-Mails ist und ob diese E-Mails die Authentifizierung passieren. Sie sind die wichtigste Informationsquelle, um legitime Absender zu identifizieren, Fehlkonfigurationen aufzudecken und potenziellen Missbrauch zu erkennen.

Allerdings haben selbst erfahrene IT-Administratoren oft Schwierigkeiten, DMARC-Berichte zu interpretieren. Die Daten sind komplex, hochtechnisch und lassen sich nur schwer in klare, umsetzbare Maßnahmen zur Verbesserung der E-Mail-Zustellbarkeit und -Sicherheit umsetzen.

Für nicht-technische Teams ist die Herausforderung noch größer. Die Berichte werden im XML-Format geliefert und bieten wenig Orientierung darüber, was tatsächlich wichtig ist oder was zuerst behoben werden sollte.

In diesem Leitfaden schlüsseln wir DMARC-Gesamtberichte in praktische Komponenten auf, erklären, worauf Sie sich konzentrieren sollten, und zeigen, wie Sie die Daten in sinnvolle Maßnahmen zur Verbesserung der E-Mail-Performance umsetzen können.

Arten von DMARC-Berichten

Der DMARC-Standard definiert zwei Arten von Berichten. Allerdings ist nur einer davon durchgängig verfügbar und für die meisten B2B-Teams, die für die Zustellbarkeit von E-Mails verantwortlich sind, nützlich .

DMARC-Gesamtberichte (RUA)

DMARC-Aggregatberichte (RUA) sind die wichtigsten Berichte, mit denen Sie arbeiten werden.

Sie werden täglich von Mailbox-Anbietern versendet und bieten eine Zusammenfassung aller E-Mail-Aktivitäten auf Domain-Ebene, die während eines bestimmten Zeitfensters beobachtet wurden. Jeder Bericht gruppiert Nachrichten nach Absenderquelle und zeigt die Authentifizierungsergebnisse für SPF, DKIM und DMARC an.

Mailbox-Anbieter wie Google und Microsoft stellen regelmäßig aggregierte Berichte zur Verfügung. Daher bilden sie die Grundlage für die DMARC-Überwachung und stehen im Mittelpunkt dieses Leitfadens.

DMARC-Forensikberichte (RUF)

DMARC-Forensikberichte (RUF) dienen dazu, bei fehlgeschlagener Authentifizierung Details auf Nachrichtenebene bereitzustellen.

In der Realität sind sie jedoch nur selten verfügbar. Viele Mailbox-Anbieter versenden sie aufgrund von Datenschutzauflagen nicht mehr oder schwärzen große Teile der Daten. Die Unterstützung variiert stark, und die meisten B2B-Domains erhalten selbst auf Anfrage keine forensischen Berichte.

Infolgedessen verlassen sich die meisten Teams bei der laufenden Überwachung und Entscheidungsfindung fast ausschließlich auf aggregierte Berichte.

Was enthält ein DMARC-Aggregatbericht?

Ein DMARC-Gesamtbericht ist eine strukturierte Zusammenfassung der E-Mail-Aktivitäten, die über einen bestimmten Zeitraum mit Ihrer Domain in Verbindung stehen. Diese Berichte sind bewusst in ihrem Umfang begrenzt. Sie zeigen keine einzelnen Nachrichten, Inhalte oder Empfänger. Stattdessen konzentrieren sie sich auf allgemeine Authentifizierungssignale, die Mailbox-Anbieter in großem Umfang bereit sind, weiterzugeben.

Da die Berichte als XML-Dateien geliefert werden, sind sie nicht für die manuelle Überprüfung vorgesehen. Die meisten Teams verlassen sich auf Parsing-Tools oder DMARC-Plattformen, um die Daten lesbar zu machen. Diese Einschränkung ist auch der Grund, warum aggregierte Berichte von Mailbox-Anbietern bevorzugt werden. Sie schaffen einen Ausgleich zwischen Sichtbarkeit und Datenschutz und werden von allen großen Anbietern einheitlich unterstützt.

Auf struktureller Ebene enthält jeder DMARC-Aggregatbericht dieselben Kernkomponenten.

Berichterstattende Organisation

Hiermit wird der Mailbox-Anbieter identifiziert, der den Bericht erstellt hat. Zu den gängigen Berichtsorganisationen gehören Google und Microsoft. Jeder Anbieter sendet seinen eigenen Bericht auf der Grundlage des für Ihre Domain beobachteten Datenverkehrs.

Datumsbereich

Der Bericht umfasst einen bestimmten Zeitraum, in der Regel einen Zeitraum von 24 Stunden. Auf diese Weise können Sie das Authentifizierungsverhalten Tag für Tag verfolgen und Veränderungen im Laufe der Zeit erkennen, anstatt nur einzelne Ereignisse zu betrachten.

Quellen senden

Die sendenden Quellen werden auf IP-Adressebene aufgelistet. Jede Quelle steht für einen Server, der während des Berichtszeitraums E-Mails über Ihre Domain versendet hat.

Nachrichtenvolumen pro Quelle

Für jede Absenderquelle enthält der Bericht die Anzahl der beobachteten Nachrichten und bietet so einen Überblick über das Volumen der E-Mails, die von jeder IP-Adresse im Namen Ihrer Domain während des angegebenen Zeitraums versendet wurden.

Authentifizierungsergebnisse

Jede sendende Quelle enthält Authentifizierungsergebnisse, die auf drei Mechanismen basieren.

o SPF-Ergebnisse zeigen, ob der sendende Server berechtigt war, E-Mails im Namen der Domain zu versenden.

o DKIM-Ergebnisse zeigen, ob Nachrichten kryptografisch signiert wurden und ob die signierende Domain mit der sichtbaren Absenderdomain übereinstimmt.

o Die DMARC-Disposition zeigt, wie der Mailbox-Anbieter Nachrichten auf der Grundlage Ihrer veröffentlichten DMARC-Richtlinie behandelt hat.

Schritt-für-Schritt-Anleitung zum Lesen eines DMARC-Berichts 

DMARC-Aggregatberichte werden als XML-Dateien bereitgestellt. Auch wenn sie technisch erscheinen mögen, ist es nicht notwendig, jedes Tag zu verstehen, um aussagekräftige Erkenntnisse daraus zu gewinnen.

Hier ist ein vereinfachtes Beispiel für einen DMARC-Gesamtbericht für example.com.

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <date_range>
      <begin>1705968000</begin>
      <end>1706054399</end>
    </date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>none</p>
    <adkim>r</adkim>
    <aspf>r</aspf>
  </policy_published>

  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>120</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>198.51.100.23</source_ip>
      <count>450</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>203.0.113.77</source_ip>
      <count>6</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

Sie müssen dies nicht Zeile für Zeile lesen. Wenden Sie stattdessen jedes Mal die folgenden vier Schritte an.

Schritt 1: Wer hat die E-Mail gesendet?

Look for the <source_ip> field in each record.

In diesem Beispiel haben drei IP-Adressen E-Mails über example.com versendet. Jede IP-Adresse steht für ein vom Mailbox-Anbieter beobachtetes sendendes System. Zu diesem Zeitpunkt besteht Ihre einzige Aufgabe darin, die IP-Adresse zu erkennen. Fragen Sie, ob die IP-Adresse zu einer bekannten Quelle wie Google Workspace, Microsoft 365, einem Vertriebs-Outreach-Tool oder einer Marketingplattform gehört.

Schritt 2: Volumen der versendeten E-Mails

Next, look at the <count> value for each source.

Das Volumen hilft Ihnen dabei, Prioritäten zu setzen. Quellen mit hohem Volumen sind wichtiger als Quellen mit geringem Volumen. Eine einzelne unbekannte IP-Adresse, die Tausende von E-Mails versendet, sollte sofort untersucht werden. Einige wenige Nachrichten können einfach auf Versuche von Hintergrund-Spoofing hindeuten.

Schritt 3: Wurde die Authentifizierung erfolgreich durchgeführt?

Bei der Überprüfung eines DMARC-Gesamtberichts beantworten Sie drei Kernfragen für jede Absenderquelle. Jede Frage ist direkt einem bestimmten XML-Tag im Bericht zugeordnet.

Now look at the authentication outcomes inside <policy_evaluated>.

Sie diagnostizieren noch keine Ursachen. Sie beobachten lediglich Ergebnisse:

• Hat SPF bestanden?

SPF results appear in the <policy_evaluated> block under the <spf> tag. If the report shows <spf>fail</spf>, SPF validation failed. The sending IP was not authorized by your domain’s SPF record at the time the message was evaluated.

If it shows <spf>pass</spf>, the sending server was authorized to send email on behalf of the domain.

• Hat DKIM bestanden?

DKIM results appear under the <dkim> tag in the same block. A value of <dkim>pass</dkim> means the message was correctly signed and the signature aligned with the visible From domain.

A value of <dkim>fail</dkim> means the message was not properly signed, the signature was invalid, or domain alignment failed.

• Hat DMARC es als konform bewertet?

DMARC’s final decision appears in the <disposition> tag. A value of <disposition>none</disposition> means no enforcement was applied, which is typical when a domain is in monitoring mode.

Werte wie „Quarantine“ oder „Reject“ zeigen an, dass die Nachricht die DMARC-Bewertung nicht bestanden hat und dass die Durchsetzung gemäß der veröffentlichten Richtlinie angewendet wurde.

Diese drei Tags beantworten den dritten Schritt des zuvor vorgestellten Frameworks. Sobald Sie wissen, wer die E-Mail gesendet hat und wie viel gesendet wurde, geben Ihnen SPF, DKIM und Disposition Auskunft darüber, ob diese Aktivität authentifiziert wurde und wie die Mailbox-Anbieter damit umgegangen sind.

Schritt 4: Bewerten Sie, ob das Muster erwartungsgemäß ist.

Kombinieren Sie abschließend Identität, Volumen und Authentifizierungsergebnisse.

• Es wird eine bekannte Google Workspace-IP erwartet, die SPF und DKIM besteht.
• Ein bekanntes Tool, das SPF nicht erfüllt, aber DKIM besteht, kann normal sein.
• Eine unbekannte IP, die beide Prüfungen nicht besteht, ist selbst bei geringem Volumen unerwartet.

Hier wird rohes XML zu einem verwertbaren Signal.

Wie interpretiert man Authentifizierungssignale?

Sobald Sie wissen, wer die E-Mail gesendet hat und wie viele E-Mails gesendet wurden, besteht der nächste Schritt darin, die Authentifizierungsergebnisse zu interpretieren. Hier kommen DMARC-Berichte ins Spiel, die Ihnen bei der Entscheidungsfindung helfen.

Authentifizierungsergebnisse helfen Mailbox-Anbietern dabei, zu entscheiden, ob eine E-Mail vertrauenswürdig ist. Ihre Aufgabe ist es, zu verstehen, was diese Signale bedeuten und wie man sie interpretiert.

Quellen und Volumentrends senden
Jede Zeile in einem DMARC-Bericht steht für eine Gruppe von Nachrichten von einer bestimmten IP-Adresse. Volumentrends sind wichtig, da Mailbox-Anbieter ihre Reputation schrittweise aufbauen. Plötzliche Spitzen deuten oft auf Fehlkonfigurationen, neue Tools oder Missbrauch hin.

Geringes, aber wiederkehrendes Volumen von unbekannten IP-Adressen deutet in der Regel auf Domain-Spoofing-Versuche hin.

SPF-Ergebnisse
SPF überprüft, ob eine sendende IP-Adresse berechtigt ist, E-Mails im Namen Ihrer Domain zu versenden.

SPF-Fehler sind häufig und stellen nicht immer ein Problem dar. Sie treten häufig aufgrund von Weiterleitungen, unvollständigen Datensätzen oder Tools auf, die stattdessen auf DKIM setzen.

Ein SPF-Fehler wird zu einem Problem, wenn er sich in großem Umfang wiederholt oder mit DKIM-Fehlern kombiniert.

DKIM-Ergebnisse
DKIM überprüft die Integrität von Nachrichten und die Übereinstimmung von Domains. Es ist das stärkste Authentifizierungssignal für die Zustellbarkeit im B2B-Bereich, da es auch bei Weiterleitung erhalten bleibt und von Google und Microsoft als äußerst vertrauenswürdig eingestuft wird.
Für die meisten B2B-Absender sind konsistente DKIM-Prüfungen und die Übereinstimmung aller Tools unverzichtbar.

Die Ergebnisse der DMARC-Richtlinie verstehen

DMARC-Richtlinien legen fest, wie Mailbox-Anbieter mit E-Mails umgehen sollen, die die Authentifizierungsprüfung nicht bestehen. Diese Ergebnisse werden in Sammelberichten als endgültige Entscheidung für jede Absenderquelle aufgeführt.

Diese Richtlinien dienen der Risikominimierung und nicht der Platzierung im Posteingang. Sie regeln, was mit nicht authentifizierten E-Mails geschieht, und nicht, ob authentifizierte E-Mails im Posteingang landen.

DMARC-Richtlinien verringern das Risiko von Spoofing und unbefugter Nutzung Ihrer Domain. Sie verbessern jedoch nicht automatisch die Interaktion, die Reputation des Absenders oder die Platzierung im Posteingang.

Die Authentifizierung stellt die Legitimität fest. Die Zustellbarkeit wird durch die Reputation und das Verhalten im Laufe der Zeit bestimmt.

Identifizierung legitimer Absender vs. Missbrauch

Sobald Sie die Authentifizierungsergebnisse verstanden haben, besteht der nächste Schritt darin, zu entscheiden, welche Absender vertrauenswürdig sind und welche Aufmerksamkeit erfordern.

Diese Feststellung basiert selten auf einem einzigen Signal. Unbekannte IP-Adressen oder vereinzelte Authentifizierungsfehler sind für sich genommen kein Hinweis auf Missbrauch. Die Zuverlässigkeit wird durch im Laufe der Zeit beobachtete Muster hergestellt, insbesondere wenn Volumen und Wiederholungen vorliegen.

Wie man jede Absenderquelle klassifiziert

Eine gute Methode, um DMARC-Berichte zu bearbeiten, besteht darin, jede Zeile einer von drei Kategorien zuzuordnen.

Diese einfache Klassifizierung sorgt für eine effiziente DMARC-Überprüfung und verhindert unnötige Änderungen, die den legitimen E-Mail-Fluss stören könnten.

Häufige DMARC-Fehlermuster

DMARC-Gesamtberichte zeigen im Laufe der Zeit tendenziell immer dieselben Kombinationen von Authentifizierungsergebnissen. Diese Kombinationen sind nützlich, da sie auf wahrscheinliche Ursachen hinweisen, nicht auf garantierte.

Mailbox-Anbieter bewerten die Authentifizierung etwas unterschiedlich, und die Sendewege können je nach Weiterleitung, Gateways und Tools variieren. Die folgenden Muster sollten als diagnostische Kurzfassungen und nicht als absolute Schlussfolgerungen verstanden werden.

• SPF bestanden, DKIM fehlgeschlagen
  DKIM fehlt oft oder ist falsch ausgerichtet.
  
  
• DKIM bestanden, SPF nicht bestanden
  Häufig bei Weiterleitung oder gemeinsamer Infrastruktur. In der Regel akzeptabel.
  
  
• SPF-Fehler, DKIM-Fehler
  Hochrisikomuster. Weist auf Spoofing oder Fehlkonfiguration hin.
  
• 
  Ein Pass, aber DMARC-Fehler
  Problem bei der Abstimmung zwischen Authentifizierung und Absenderdomain.

Behebung der in DMARC-Berichten angezeigten Probleme

DMARC-Berichte weisen auf genaue Probleme bei der E-Mail-Konfiguration hin. Beheben Sie zuerst die größten Probleme und arbeiten Sie dann Schritt für Schritt die anderen ab.

• Autorisieren Sie legitime E-Mail-Tools: Fügen Sie alle von Ihnen verwendeten Tools (Outlook, Marketingplattformen) zu Ihrer Liste zugelassener Absender hinzu. Dadurch werden Fehlermeldungen wegen „nicht autorisierter Absender” vermieden.
• DKIM für alle E-Mails aktivieren: DKIM fügt eine digitale Signatur hinzu, um zu bestätigen, dass E-Mails von Ihnen stammen und nicht verändert wurden. Aktivieren Sie diese Funktion überall, wo Sie E-Mails versenden.
• Vereinfachen Sie Ihre SPF-Einträge: Halten Sie die Liste der zugelassenen Absender kurz und aktuell. Zu viele Einträge verwirren E-Mail-Systeme. Entfernen Sie alte oder ungenutzte Tools.
• Unerwünschte E-Mail-Quellen stoppen: Blockieren Sie falsche Absender, die sich als Ihr Unternehmen ausgeben. Konzentrieren Sie sich auf unbekannte IPs, die viele Nachrichten versenden.
• Überprüfen Sie die Ergebnisse nach den Änderungen: Beobachten Sie die Berichte 7 bis 14 Tage lang. Behebt Probleme zeigen sinkende Fehlerzahlen und steigende Erfolgsraten.

Beginnen Sie mit großen Problemen

Wie priorisiert man Probleme?

DMARC-Berichte kommen täglich rein. Nicht jedes Problem muss sofort angegangen werden. Beobachte die Trends über mehrere Tage, um normale Veränderungen von Problemen mit großen Auswirkungen zu unterscheiden.

Von der Authentifizierung bis zur Platzierung im Posteingang

DMARC beweist Legitimität. Es schafft jedoch kein Vertrauen.

Mailbox-Anbieter belohnen letztendlich Verhaltensweisen wie positives Nutzerengagement, Beständigkeit und Reputation im Laufe der Zeit. An dieser Stelle kommen viele Teams ins Stocken. Sie beheben Authentifizierungsprobleme, sehen, dass alles funktioniert, und haben dennoch mit Spam-Platzierungen zu kämpfen.

Das ist zu erwarten.

Authentifizierung beseitigt Hindernisse. Reputation bestimmt Ergebnisse.

MailReach ergänzt DMARC, indem es die Ebene abdeckt, auf die DMARC keinen Einfluss hat. Durch schrittweises email warmup Interaktionssignale email warmup , die Google und Microsoft dazu bringen, Ihrem Versandverhalten zu vertrauen. Spam-Tests decken Risiken in Bezug auf Inhalt und Formatierung auf, bevor diese Ihrer Reputation schaden können. Durch kontinuierliche Überwachung wird sichergestellt, dass technische Probleme die Zustellbarkeit nicht unbemerkt beeinträchtigen.

DMARC ebnet den Weg. MailReach schafft das Vertrauen, das dafür sorgt, dass E-Mails gelesen und beantwortet werden.

Bauen Sie sich eine Absenderreputation auf, der die Posteingänge vertrauen. Nutzen Sie MailReach, um Ihre E-Mail-Konten aufzuwärmen, die Platzierung im Posteingang zu testen und Ihre Zustellbarkeit zu schützen.