E-MAIL · DMARC · EXTERNER RESOLVER

DMARC-Validator

Ruft den DMARC-TXT-Eintrag für eine beliebige Domain ab und analysiert ihn. Zeigt die Richtlinie (none/quarantine/reject), den Abgleichmodus und die Berichtsadressen an.

~/pingie - dmarc-checker
bereit

Gib einen Domainnamen ein, um dessen DMARC-Eintrag zu validieren.

Kostenloser DMARC-Checker: E-Mail-Richtlinie deiner Domain prüfen

DMARC steht für Domain-based Message Authentication, Reporting and Conformance. Es funktioniert als DNS-TXT-Eintrag, der unter _dmarc.yourdomain.com veröffentlicht wird und empfangenden Mailservern mitteilt, was zu tun ist, wenn eine eingehende Nachricht die SPF- oder DKIM-Prüfung nicht besteht. Ohne einen gültigen DMARC-Eintrag ist deine Domain anfällig für Spoofing, und du hast keinen Einblick darin, wie andere Server deine E-Mails behandeln.

Dieses Tool fragt die Subdomain _dmarc für jede von dir eingegebene Domain ab, ruft den rohen TXT-Eintrag ab und überprüft jeden Tag anhand der DMARC-Spezifikation. Du erhältst eine aufgeschlüsselte Analyse der Richtlinie, der Alignment-Modi, der Report-URIs sowie aller Fehler oder Warnungen in der Konfiguration.

Was der DMARC-Validator prüft

Wenn du eine DMARC-Abfrage durchführst, bestätigt das Tool nicht nur, dass ein Eintrag vorhanden ist. Es analysiert jeden Tag und prüft ihn anhand der Spezifikationsregeln. Das decken die Ergebnisse ab:

  • Eintrag vorhanden: Ob ein TXT-Eintrag unter _dmarc.<domain> existiert.
  • Versions-Tag: Der Eintrag muss mit v=DMARC1 beginnen. Alles andere ist ungültig.
  • Richtlinie (p): Muss none , quarantine oder reject sein. Dies ist ein Pflicht-Tag.
  • Subdomain-Richtlinie (sp): Die separate Richtlinie, die auf Subdomains angewendet wird, sofern angegeben.
  • Prozentsatz (pct): Eine ganze Zahl von 0 bis 100, die steuert, auf welchen Anteil fehlgeschlagener Nachrichten die Richtlinie angewendet wird.
  • RUA- und RUF-URIs: Die Adressen für aggregierte und forensische Berichte, überprüft auf korrektes mailto: Schema-Format.
  • Alignment-Modi (aspf, adkim): Ob das SPF- und DKIM-Alignment entspannt ( r ) oder strikt ( s ) ist.
  • Fehlerberichtsoptionen (fo) und Berichtsintervall (ri): Weitere Tags, die auf korrekte Werte geprüft werden.

Das Tool zeigt auch Warnungen für Konfigurationen an, die technisch gültig, aber in der Praxis schwach sind, zum Beispiel p=none (nur Überwachung, keine Durchsetzung) oder ein pct -Wert unter 100 (Richtlinie wird nicht auf alle fehlgeschlagenen Nachrichten angewendet).

So prüfst du einen DMARC-Eintrag

  1. Öffne den DMARC-Validator aus dem Tool-Menü.
  2. Gib einen Domainnamen in das Eingabefeld ein oder füge ihn ein (zum Beispiel example.com ).
  3. Klicke auf Prüfen . Das Tool sendet eine DNS-Anfrage an _dmarc.example.com und ruft den TXT-Eintrag ab.
  4. Sieh dir den rohen Eintrag, den Gültigkeitsstatus und die vollständige Liste der analysierten Tags mit ihren Werten an.
  5. Lies Fehler oder Warnungen durch, um herauszufinden, was behoben werden muss, bevor du zu einer strengeren Richtlinie wechselst.

Kein Konto und keine Anmeldung erforderlich. Die Abfrage läuft serverseitig, daher benötigt dein Browser keinen speziellen DNS-Zugriff.

Die Ergebnisse verstehen

Die analysierte Ausgabe ordnet jeden Tag einer leicht verständlichen Bezeichnung zu. Das wichtigste Feld, das du zuerst prüfen solltest, ist der Richtlinien-Tag. Ein Wert von none bedeutet, dass empfangende Server bei fehlgeschlagenen E-Mails keine Maßnahmen ergreifen; es ist ein reiner Überwachungszustand. Ein Wert von quarantine leitet fehlgeschlagene Nachrichten in den Spam-Ordner, und reject weist den Server an, sie vollständig zu blockieren.

Der pct -Tag lohnt sich zu prüfen, wenn du einen schrittweisen Rollout durchführst. Wenn du pct=10 setzt, wird die Richtlinie nur auf 10 Prozent der fehlgeschlagenen Nachrichten angewendet, sodass du die Durchsetzung testen kannst, bevor du dich vollständig festlegst. Das Tool warnt dich, wenn dieser Wert unter 100 liegt, da das bedeutet, dass ein großer Anteil gefälschter E-Mails immer noch die Posteingänge erreichen kann.

RUA- und RUF-Adressen geben an, wohin DMARC-Berichte gesendet werden. Fehlen diese, erhältst du keine aggregierten XML-Berichte, die Authentifizierungs-Erfolgs- und Fehlerquoten aller Absender anzeigen, die deine Domain verwenden.

Wann du einen DMARC-Eintrag prüfen solltest

Es gibt mehrere Situationen, in denen die Verwendung eines DMARC-Eintrag-Checkers der richtige nächste Schritt ist:

  • Nach der Veröffentlichung eines neuen DMARC-Eintrags, um zu bestätigen, dass er korrekt geschrieben wurde und DNS propagiert ist.
  • Vor dem Wechsel von p=none zu quarantine oder reject , um zu überprüfen, ob die Eintrags-Syntax korrekt ist.
  • Bei der Fehlersuche bei Zustellbarkeitsproblemen, um eine falsch konfigurierte oder fehlende DMARC-Richtlinie auszuschließen.
  • Bei einem Domain-Audit, um sicherzustellen, dass alle sendenden Domains und Subdomains ordnungsgemäß abgedeckt sind.
  • Nach einem Domain-Transfer oder einer DNS-Migration, um zu bestätigen, dass der Eintrag den Umzug überstanden hat.

DMARC baut auf SPF und DKIM auf. Falls du diese Einträge noch nicht überprüft hast, nutze den DKIM-Checker zusammen mit diesem Tool, um ein vollständiges Bild deiner E-Mail-Authentifizierungseinrichtung zu erhalten.

Ein Hinweis zur Richtlinienstärke

Ein Eintrag mit p=none ist ein gültiger DMARC-Eintrag, bietet aber keinen Schutz. Er teilt empfangenden Servern mit, die Nachricht unabhängig davon zuzustellen, ob SPF oder DKIM bestanden wird. Sein Wert liegt in den Berichten, die er erzeugt und die zeigen, wer E-Mails im Namen deiner Domain sendet und ob die Authentifizierung erfolgreich ist. Sobald du diese Berichte überprüft und bestätigt hast, dass deine legitimen Absender korrekt ausgerichtet sind, ist der Wechsel zu quarantine oder reject der Schritt, der tatsächlich gefälschte Nachrichten blockiert.

Dieses Tool kennzeichnet einen p=none -Eintrag mit einer Warnung, damit du nicht fälschlicherweise glaubst, deine Domain sei geschützt, obwohl sie es nicht ist.

Beispiel für einen DMARC-Eintrag

Hier ist ein Beispiel für einen korrekt aufgebauten DMARC-Eintrag mit aktivierter Durchsetzung und konfigurierter Berichterstattung:

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; aspf=r; adkim=r;

Dieser Eintrag legt eine Quarantäne-Richtlinie für alle fehlgeschlagenen Nachrichten fest, fordert sowohl aggregierte als auch forensische Berichte an und verwendet entspanntes Alignment für SPF und DKIM. Füge einen solchen Eintrag in den Validator ein, um jeden Tag einzeln analysiert und geprüft zu sehen.

FAQ

Ein DMARC-Eintrag ist ein DNS-TXT-Eintrag, der unter der Subdomain _dmarc.yourdomain.com veröffentlicht wird. Wenn ein empfangender Mailserver eine Nachricht erhält, die vorgibt, von deiner Domain zu stammen, fragt er diese Subdomain ab, um herauszufinden, welche Richtlinie du festgelegt hast. Der Eintrag enthält Tags, die die Richtlinienaktion, Alignment-Anforderungen und den Empfangsort für Authentifizierungsberichte definieren. Ohne ihn haben empfangende Server keine DMARC-Anweisungen, denen sie folgen können.

Nachdem du eine Domain eingegeben und auf Prüfen geklickt hast, führt das Tool eine DNS-TXT-Abfrage unter _dmarc.<domain> serverseitig durch. Es ruft den rohen Eintrags-String ab und analysiert dann jeden durch Semikolon getrennten Tag. Jeder Tag wird anhand der DMARC-Spezifikation geprüft: Pflicht-Tags werden auf Vorhandensein bestätigt, Werte auf gültige Optionen geprüft und URI-Formate verifiziert. Die Ausgabe listet jeden analysierten Tag, seinen Wert sowie alle gefundenen Fehler oder Warnungen auf.

Diese drei Werte legen fest, was ein empfangender Server tut, wenn eine Nachricht sowohl die SPF- als auch die DKIM-Prüfung nicht besteht. Mit p=none stellt der Server die Nachricht normal zu und sendet nur einen Bericht. Mit p=quarantine leitet der Server die fehlgeschlagene Nachricht in den Spam- oder Junk-Ordner. Mit p=reject lehnt der Server die Nachricht während der SMTP-Transaktion vollständig ab, sodass sie den Empfänger nie erreicht. Nur quarantine und reject bieten aktiven Schutz gegen Spoofing.

Der pct -Tag teilt empfangenden Servern mit, auf welchen Prozentsatz fehlgeschlagener Nachrichten die Richtlinie angewendet werden soll. Das Setzen von pct=10 bedeutet, dass nur 10 Prozent der Nachrichten, die die Authentifizierung nicht bestehen, in Quarantäne gestellt oder abgelehnt werden; die anderen 90 Prozent werden zugestellt, als ob die Richtlinie none wäre. Dies ist für einen schrittweisen Rollout nützlich, bedeutet aber auch, dass der Großteil gefälschter E-Mails weiterhin durchkommt. Das Tool warnt, wenn pct unter 100 liegt, da die Durchsetzung in diesem Fall unvollständig ist.

Ein DMARC-Checker fragt den _dmarc.<domain> DNS-Eintrag ab und überprüft die Richtlinie, Alignment-Einstellungen und Report-URIs. Er zeigt dir, wie deine Domain Empfänger anweist, mit Authentifizierungsfehlern umzugehen. Ein DKIM-Checker fragt einen selektor-spezifischen DNS-Eintrag ab (zum Beispiel selector._domainkey.domain.com ) und überprüft den öffentlichen Schlüssel, der zur Verifizierung von E-Mail-Signaturen verwendet wird. DMARC liegt als Richtlinien-Schicht über DKIM und SPF; DKIM ist eine der Authentifizierungsmethoden, die DMARC auswertet.

RUA ist die URI für aggregierte Berichte. Empfangende Server senden tägliche XML-Zusammenfassungen an diese Adresse, die Authentifizierungs-Erfolgs- und Fehlerzählungen aus allen Quellen zeigen. RUF ist die URI für forensische Berichte, die Kopien einzelner fehlgeschlagener Nachrichten oder geschwärzte Header erhält, abhängig von der Richtlinie des Empfängers. RUA ist die praktisch nützlichere der beiden und wird breiter unterstützt. Die RUF-Unterstützung variiert je nach empfangendem Server, und einige Anbieter senden überhaupt keine forensischen Berichte. RUA wird dringend empfohlen; RUF ist optional.

Alignment bezeichnet, ob die Domain im From-Header mit der Domain übereinstimmt, die für SPF- oder DKIM-Authentifizierung verwendet wird. Entspanntes Alignment ( r ) erlaubt eine Übereinstimmung zwischen der From-Domain und einer übergeordneten Organisationsdomain, sodass mail.example.com mit example.com übereinstimmt. Striktes Alignment ( s ) erfordert eine exakte Domain-Übereinstimmung. Schlägt das Alignment sowohl für SPF als auch für DKIM fehl, wird die Nachricht als DMARC-fehlgeschlagen behandelt, unabhängig davon, ob SPF oder DKIM einzeln bestanden haben.

Ja. DMARC-Einträge sind öffentlich zugängliche DNS-Einträge, daher kann das Tool jede Domain abfragen. Das ist nützlich, wenn du prüfen möchtest, ob ein Anbieter, Partner oder Versanddienst DMARC konfiguriert hat, bevor du E-Mails von ihm empfängst, oder wenn du Domains im Rahmen einer Sicherheitsüberprüfung auditierst. Keine besonderen Berechtigungen oder der Besitz der Domain sind erforderlich.

Das bedeutet entweder, dass unter _dmarc.<yourdomain> kein TXT-Eintrag existiert, oder dass die DNS-Propagation nach einer kürzlichen Veröffentlichung noch nicht abgeschlossen ist. DMARC-Einträge können bis zu 48 Stunden benötigen, um sich global zu verbreiten, obwohl die meisten Resolver Änderungen innerhalb weniger Stunden übernehmen. Wenn du den Eintrag kürzlich hinzugefügt hast, warte und führe die Prüfung erneut durch. Wenn du noch keinen veröffentlicht hast, musst du über deinen DNS-Anbieter einen TXT-Eintrag hinzufügen, bevor eine Richtlinie wirksam wird.

Nein. DMARC ist eine Richtlinien-Schicht, die auf SPF und DKIM angewiesen ist. Es liest die Ergebnisse dieser beiden Prüfungen und wendet dann die in deiner Richtlinie angegebene Aktion an. Ein DMARC-Eintrag allein, ohne mindestens eines von SPF oder DKIM konfiguriert und bestanden, schützt deine Domain nicht, da keine Authentifizierungsergebnisse vorhanden sind, auf die DMARC reagieren könnte. Du benötigst alle drei, die zusammenarbeiten, für eine vollständige E-Mail-Authentifizierungsabdeckung. Sieh dir den DKIM-Checker an, um diesen Teil deiner Einrichtung zu überprüfen.

Das Tool fragt DNS für die von dir eingegebene Domain ab und gibt das Ergebnis zurück. Es ist kein Konto erforderlich und keine Domainnamen werden für Marketingzwecke gespeichert. Standard-Server-Anfrage-Logs können die Abfrage als Teil des normalen Infrastrukturbetriebs aufzeichnen, entsprechend der Datenschutzrichtlinie der Website. Da DMARC-Einträge öffentliche DNS-Daten sind, sind bei der Abfrage selbst keine sensiblen Informationen beteiligt.

Ja. Das Tool stellt einen GET-Endpoint unter /api/check-dmarc?domain=<domain> bereit. Die Antwort enthält strukturierte JSON-Felder, darunter dmarc_found , dmarc_record , is_valid , policy , pct , rua , ruf , aspf , adkim sowie Arrays für errors und warnings . Das macht es einfach, die DMARC-Validierung in Monitoring-Skripte, CI-Pipelines oder Domain-Audit-Workflows zu integrieren, ohne jedes Mal manuelle browserbasierte Prüfungen durchführen zu müssen.