Wie man einen DMARC-Report liest (Schritt-für-Schritt-Anleitung für B2B-Absender)

Ein DMARC-Aggregate-Report ist eine Zusammenfassung, die von Mailbox-Providern gesendet wird und zeigt, wie E-Mails, die vorgeben, von deiner Domain zu stammen, bei Authentifizierungsprüfungen wie SPF und DKIM abgeschnitten haben.

Diese Reports sind unerlässlich, um zu verstehen, wer E-Mails in deinem Namen sendet, das Volumen der gesendeten E-Mails und ob diese E-Mails die Authentifizierung bestehen. Sie sind die primäre Informationsquelle zur Identifizierung legitimer Absender, Fehlkonfigurationen und potenziellen Missbrauchs.

Doch selbst erfahrene IT-Administratoren tun sich oft schwer, DMARC-Reports zu interpretieren. Die Daten sind dicht, hochtechnisch und schwer in klare, umsetzbare Schritte zur Verbesserung der E-Mail-Deliverability und -Sicherheit zu übersetzen.

Für nicht-technische Teams ist die Herausforderung noch größer. Die Reports werden im XML-Format geliefert und bieten wenig Orientierung, was wirklich wichtig ist oder was zuerst behoben werden sollte.

In diesem Guide schlüsseln wir DMARC-Aggregate-Reports in praktische Komponenten auf, erklären, worauf du dich konzentrieren solltest, und zeigen, wie man die Daten in sinnvolle Maßnahmen zur Verbesserung der E-Mail-Performance umwandelt.

Arten von DMARC-Reports

Der DMARC-Standard definiert zwei Arten von Reports. Allerdings ist nur einer davon durchgängig verfügbar und nützlich für die meisten B2B-Teams, die für die E-Mail-Deliverability verantwortlich sind.

DMARC-Aggregatberichte (RUA)

DMARC-Aggregatberichte (RUA) sind die wichtigsten Berichte, mit denen du arbeiten wirst.

Sie werden täglich von Mailbox-Providern verschickt und bieten eine Zusammenfassung auf Domain-Ebene aller E-Mail-Aktivitäten, die in einem bestimmten Zeitraum beobachtet wurden. Jeder Bericht gruppiert Nachrichten nach Absenderquelle und zeigt die Authentifizierungsergebnisse für SPF, DKIM und DMARC.

Mailbox-Provider wie Google und Microsoft stellen diese Aggregatberichte zuverlässig bereit. Daher bilden sie die Grundlage für das DMARC-Monitoring und sind der Hauptfokus dieses Leitfadens.

DMARC-Forensikberichte (RUF)

DMARC-Forensikberichte (RUF) sollen Details auf Nachrichtenebene liefern, wenn die Authentifizierung fehlschlägt.

In der Realität sind sie aber selten verfügbar. Viele Mailbox-Provider senden sie nicht mehr oder schwärzen Daten stark aufgrund von Datenschutzbestimmungen. Die Unterstützung variiert stark, und die meisten B2B-Domains erhalten nie Forensikberichte, selbst wenn sie angefordert werden.

Deshalb verlassen sich die meisten Teams fast ausschließlich auf Aggregatberichte für das laufende Monitoring und die Entscheidungsfindung.

Was enthält ein DMARC-Aggregatbericht?

Ein DMARC-Aggregate-Report ist eine strukturierte Zusammenfassung der E-Mail-Aktivitäten, die über einen bestimmten Zeitraum mit deiner Domain verbunden waren. Diese Reports sind bewusst im Umfang begrenzt. Sie zeigen keine einzelnen Nachrichten, Inhalte oder Empfänger. Stattdessen konzentrieren sie sich auf übergeordnete Authentifizierungssignale, die Mailbox-Provider in großem Umfang teilen möchten.

Da die Reports als XML-Dateien geliefert werden, sind sie nicht für die manuelle Überprüfung gedacht. Die meisten Teams nutzen Parsing-Tools oder DMARC-Plattformen, um die Daten lesbar zu machen. Diese Einschränkung ist auch der Grund, warum Aggregate-Reports von Mailbox-Providern bevorzugt werden. Sie schaffen ein Gleichgewicht zwischen Sichtbarkeit und Datenschutz und werden von allen großen Providern durchgängig unterstützt.

Auf struktureller Ebene enthält jeder DMARC-Aggregate-Report die gleichen Kernkomponenten.

Berichtende Organisation

Dies identifiziert den Mailbox-Provider, der den Report erstellt hat. Gängige berichtende Organisationen sind Google und Microsoft. Jeder Provider sendet seinen eigenen Report basierend auf dem Traffic, den er für deine Domain beobachtet hat.

Datumsbereich

Der Report deckt ein bestimmtes Zeitfenster ab, normalerweise einen Zeitraum von 24 Stunden. So kannst du das Authentifizierungsverhalten Tag für Tag verfolgen und Veränderungen im Laufe der Zeit erkennen, anstatt nur isolierte Ereignisse zu sehen.

Sendequellen

Sendequellen werden auf IP-Adressenebene aufgeführt. Jede Quelle repräsentiert einen Server, der während des Berichtszeitraums E-Mails über deine Domain gesendet hat.

Nachrichtenvolumen pro Quelle

Für jede Sendequelle enthält der Report die Anzahl der beobachteten Nachrichten. Das gibt dir Einblick in das Volumen der E-Mails, die von jeder IP im Namen deiner Domain innerhalb des angegebenen Zeitraums gesendet wurden.

Authentifizierungsergebnisse

Jede Sendequelle enthält Authentifizierungsergebnisse, die auf drei Mechanismen basieren.

o   SPF-Ergebnisse zeigen, ob der sendende Server berechtigt war, E-Mails im Namen der Domain zu versenden.

o   DKIM-Ergebnisse zeigen, ob Nachrichten kryptografisch signiert waren und ob die signierende Domain mit der sichtbaren From-Domain übereinstimmte.

o   Die DMARC-Disposition zeigt, wie der Mailbox-Provider Nachrichten basierend auf deiner veröffentlichten DMARC-Policy behandelt hat.

Schritt-für-Schritt-Anleitung zum Lesen eines DMARC-Reports 

DMARC-Aggregate-Reports werden als XML-Dateien geliefert. Auch wenn sie technisch aussehen mögen, musst du nicht jedes Tag verstehen, um daraus aussagekräftige Erkenntnisse zu gewinnen.

Hier ist ein vereinfachtes Beispiel eines DMARC-Aggregate-Reports für example.com.

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <date_range>
      <begin>1705968000</begin>
      <end>1706054399</end>
    </date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>none</p>
    <adkim>r</adkim>
    <aspf>r</aspf>
  </policy_published>

  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>120</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>198.51.100.23</source_ip>
      <count>450</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>203.0.113.77</source_ip>
      <count>6</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

Du musst das nicht Zeile für Zeile lesen. Wende stattdessen jedes Mal den folgenden Vier-Schritte-Scan an.

Schritt 1: Wer hat die E-Mail gesendet?

Look for the <source_ip> field in each record.

In diesem Beispiel haben drei IP-Adressen E-Mails über example.com gesendet. Jede IP repräsentiert ein vom Mailbox-Provider beobachtetes Sendesystem. In dieser Phase ist deine einzige Aufgabe die Erkennung. Frage dich, ob die IP zu einer bekannten Quelle gehört, wie Google Workspace, Microsoft 365, einem Sales-Outreach-Tool oder einer Marketing-Plattform.

Schritt 2: Volumen der gesendeten E-Mails

Next, look at the <count> value for each source.

Das Volumen hilft dir, Prioritäten zu setzen. Quellen mit hohem Volumen sind wichtiger als Quellen mit geringem Volumen. Eine einzelne unbekannte IP, die Tausende von E-Mails sendet, verdient eine sofortige Untersuchung. Ein paar Nachrichten können einfach auf Hintergrund-Spoofing-Versuche hinweisen.

Schritt 3: Ist die Authentifizierung erfolgreich gewesen?

Wenn du einen DMARC-Aggregate-Report überprüfst, beantwortest du drei zentrale Fragen für jede sendende Quelle. Jede davon ist direkt einem bestimmten XML-Tag im Report zugeordnet.

Now look at the authentication outcomes inside <policy_evaluated>.

Du diagnostizierst hier noch keine Ursachen. Du beobachtest einfach nur die Ergebnisse:

• Hat SPF bestanden?

SPF results appear in the <policy_evaluated> block under the <spf> tag. If the report shows <spf>fail</spf>, SPF validation failed. The sending IP was not authorized by your domain’s SPF record at the time the message was evaluated.

If it shows <spf>pass</spf>, the sending server was authorized to send email on behalf of the domain.

• Hat DKIM bestanden?

DKIM results appear under the <dkim> tag in the same block. A value of <dkim>pass</dkim> means the message was correctly signed and the signature aligned with the visible From domain.

A value of <dkim>fail</dkim> means the message was not properly signed, the signature was invalid, or domain alignment failed.

• Hat DMARC es als konform bewertet?

DMARC’s final decision appears in the <disposition> tag. A value of <disposition>none</disposition> means no enforcement was applied, which is typical when a domain is in monitoring mode.

Werte wie 'quarantine' oder 'reject' zeigen an, dass die Nachricht die DMARC-Bewertung nicht bestanden hat und dass die Durchsetzung gemäß der veröffentlichten Policy angewendet wurde.

Diese drei Tags beantworten den dritten Schritt des Frameworks, das du zuvor gesehen hast. Sobald du weißt, wer die E-Mail gesendet hat und wie viel gesendet wurde, sagen dir SPF, DKIM und die Disposition, ob diese Aktivität authentifiziert wurde und wie Mailbox-Provider damit umgegangen sind.

Schritt 4: Bewerten, ob das Muster erwartet wird

Schließlich kombinierst du Identität, Volumen und Authentifizierungsergebnisse.

• Eine bekannte Google Workspace IP, die SPF und DKIM besteht, wird erwartet.
• Ein bekanntes Tool, das bei SPF fehlschlägt, aber DKIM besteht, kann normal sein.
• Eine unbekannte IP, die beide Checks nicht besteht, selbst bei geringem Volumen, ist unerwartet.

Hier wird rohes XML zu einem verwertbaren Signal.

Wie interpretiert man Authentifizierungssignale?

Sobald du verstehst, wer die E-Mail gesendet hat und welches Volumen gesendet wurde, ist der nächste Schritt, die Authentifizierungsergebnisse zu interpretieren. Hier werden DMARC-Reports für die Entscheidungsfindung nützlich.

Authentifizierungsergebnisse helfen Mailbox-Providern zu entscheiden, ob eine E-Mail zuverlässig ist. Deine Aufgabe ist es zu verstehen, was diese Signale bedeuten und wie man sie liest.

Sendequellen und Volumentrends
Jede Zeile in einem DMARC-Report repräsentiert eine Gruppe von Nachrichten von einer bestimmten IP. Volumentrends sind wichtig, weil Mailbox-Provider den Ruf schrittweise aufbauen. Plötzliche Spitzen deuten oft auf Fehlkonfigurationen, neue Tools oder Missbrauch hin.

Geringes, aber wiederkehrendes Volumen von unbekannten IPs signalisiert normalerweise Domain-Spoofing-Versuche.

SPF-Ergebnisse
SPF überprüft, ob eine sendende IP berechtigt ist, E-Mails im Namen deiner Domain zu senden.

SPF-Fehler sind häufig und nicht immer ein Problem. Sie treten häufig aufgrund von Weiterleitungen, unvollständigen Records oder Tools auf, die stattdessen auf DKIM setzen.

Ein SPF-Fehler wird zu einem Problem, wenn er sich in großem Umfang wiederholt oder sich mit DKIM-Fehlern kombiniert.

DKIM-Ergebnisse
DKIM überprüft die Nachrichtenintegrität und Domain-Ausrichtung. Es ist das stärkste Authentifizierungssignal für die B2B-Zustellbarkeit, weil es Weiterleitungen übersteht und von Google und Microsoft stark vertraut wird.
Für die meisten B2B-Absender sind konsistente DKIM-Checks und die Ausrichtung über alle Tools hinweg nicht verhandelbar.

DMARC-Policy-Ergebnisse verstehen

DMARC-Policies definieren, wie Mailbox-Provider mit E-Mails umgehen sollen, die Authentifizierungsprüfungen nicht bestehen. Diese Ergebnisse erscheinen in Aggregate-Reports als endgültige Disposition für jede sendende Quelle.

Diese Richtlinien steuern, wie Risiken gehandhabt werden, nicht aber die Zustellung in den Posteingang. Sie bestimmen, was mit nicht authentifizierten E-Mails geschieht, nicht ob authentifizierte E-Mails im Posteingang ankommen.

DMARC-Richtlinien reduzieren das Risiko von Spoofing und der unautorisierten Nutzung deiner Domain. Sie verbessern aber nicht von selbst das Engagement, die Absenderreputation oder die Zustellung in den Posteingang.

Authentifizierung stellt die Legitimität her. Die Zustellbarkeit wird durch Reputation und Verhalten über die Zeit bestimmt.

Legitime Absender von Missbrauch unterscheiden

Sobald du die Authentifizierungsergebnisse verstehst, ist der nächste Schritt zu entscheiden, welche Absenderquellen vertrauenswürdig sind und welche deine Aufmerksamkeit brauchen.

Diese Entscheidung basiert selten auf einem einzelnen Signal. Unbekannte IPs oder einzelne Authentifizierungsfehler deuten nicht von selbst auf Missbrauch hin. Vertrauen entsteht durch Muster, die über die Zeit beobachtet werden, besonders wenn es um Volumen und Wiederholungen geht.

So klassifizierst du jede Sende-Quelle

Eine gute Methode, um DMARC-Reports durchzugehen, ist, jede Zeile in eine von drei Kategorien einzuteilen.

Diese einfache Klassifizierung hält die DMARC-Überprüfung effizient und verhindert unnötige Änderungen, die den legitimen E-Mail-Fluss stören könnten.

Häufige DMARC-Fehlermuster

DMARC-Aggregate-Reports zeigen im Laufe der Zeit oft die gleichen Kombinationen von Authentifizierungsergebnissen. Diese Kombinationen sind nützlich, weil sie auf wahrscheinliche Ursachen hinweisen, nicht auf garantierte.

Mailbox-Provider bewerten die Authentifizierung etwas anders, und die Sende-Pfade können je nach Weiterleitung, Gateways und Tooling variieren. Die untenstehenden Muster sollten als diagnostische Abkürzungen gelesen werden, nicht als absolute Schlussfolgerungen.

• SPF pass, DKIM fail
  Oft fehlendes oder falsch ausgerichtetes DKIM.
  
  
• DKIM pass, SPF fail
  Häufig bei Weiterleitung oder geteilter Infrastruktur. Meistens akzeptabel.
  
  
• SPF fail, DKIM fail
  Muster mit hohem Risiko. Deutet auf Spoofing oder Fehlkonfiguration hin.
  
• 
  Ein Pass, aber DMARC fail
  Ausrichtungsproblem zwischen Authentifizierung und Absender-Domain.

DMARC-Berichte: So behebst du die Probleme

DMARC-Berichte zeigen dir genau, wo es Probleme mit deinem E-Mail-Setup gibt. Behebe zuerst die größten Probleme und arbeite dich dann Schritt für Schritt durch die anderen.

• Legitime E-Mail-Tools autorisieren: Füge jedes Tool, das du nutzt (Outlook, Marketing-Plattformen), zu deiner Liste der genehmigten Absender hinzu. Das verhindert „nicht autorisierter Absender“-Fehler.
• DKIM für alle E-Mails aktivieren: DKIM fügt eine digitale Signatur hinzu, um zu beweisen, dass E-Mails von dir stammen und nicht verändert wurden. Aktiviere es überall dort, wo du E-Mails versendest.
• Deine SPF-Einträge vereinfachen: Halte die Liste der genehmigten Absender kurz und aktuell. Zu viele Einträge verwirren E-Mail-Systeme. Entferne alte oder ungenutzte Tools.
• Unerwünschte E-Mail-Quellen stoppen: Blockiere falsche Absender, die vorgeben, dein Unternehmen zu sein. Konzentriere dich auf unbekannte IPs, die viele Nachrichten senden.
• Ergebnisse nach Änderungen überprüfen: Beobachte die Berichte 7-14 Tage lang. Behobene Probleme zeigen sinkende Fehlermengen und steigende Erfolgsraten.

Beginne mit den größten Problemen

Wie Probleme priorisieren?

DMARC-Berichte erhältst du täglich. Nicht jedes Problem erfordert sofortiges Handeln. Beobachte Trends über mehrere Tage, um normale Änderungen von Problemen mit großer Auswirkung zu unterscheiden.

Von der Authentifizierung bis zur Zustellung im Posteingang

DMARC beweist die Legitimität. Es schafft aber kein Vertrauen.

E-Mail-Anbieter belohnen letztendlich Verhaltensweisen wie positives Nutzerengagement, Beständigkeit und eine gute Reputation über die Zeit. Hier bleiben viele Teams stecken. Sie beheben die Authentifizierung, sehen, dass alles funktioniert, und landen trotzdem im Spam.

Das ist zu erwarten.

Authentifizierung beseitigt Hindernisse. Reputation führt zu Ergebnissen.

MailReach ergänzt DMARC, indem es die Ebene abdeckt, die DMARC nicht beeinflussen kann. Ein gradueller email warmup erzeugt Engagement-Signale, die Google und Microsoft beibringen, deinem Sendeverhalten zu vertrauen. Spam-Tests decken Inhalts- und Formatierungsrisiken auf, bevor sie den Ruf schädigen. Kontinuierliches Monitoring stellt sicher, dass technische Probleme die Zustellbarkeit nicht unbemerkt beeinträchtigen.

DMARC ebnet den Weg. MailReach schafft das Vertrauen, das dazu führt, dass E-Mails gelesen und beantwortet werden.

Fang an, eine Absenderreputation aufzubauen, der Posteingänge vertrauen. Nutze MailReach, um deine E-Mail-Konten einem email warmup zu unterziehen, das Inbox Placement zu testen und deine Zustellbarkeit zu schützen.