DMARC-Policy 2025

Warum p=none keine gute Idee ist – und wie Sie sicher auf quarantine bzw. reject umstellen

DMARC schützt Domains vor Spoofing und Phishing, indem es aus SPF/DKIM-Ergebnissen eine klare Handlungsanweisung ableitet: zustellen, in Quarantäne verschieben oder ablehnen. Die schwächste Einstellung ist p=none. Sie liefert lediglich Berichte und fordert keine Maßnahme bei Fehlschlägen an – dadurch bleibt Ihre Marke angreifbar und wichtige Vorteile wie BIMI bleiben unerreichbar. Gleichzeitig verschärfen große Postfächer seit 2024/2025 die Regeln: Google und Yahoo verlangen DMARC für Bulk-Versender, Microsoft ist 2025 nachgezogen. Wer ernsthaft die Zustellbarkeit und die Markenintegrität sichern will, kommt an einer Policy mit Durchsetzung (p=quarantine oder p=reject) nicht vorbei.

Kurzer DMARC-Recap: Was macht die Policy eigentlich?

Die DMARC-Policy (p) steuert, was empfangende Server mit Mails tun, die nicht DMARC-konform sind (sprich: SPF oder DKIM und die Alignment-Prüfung verfehlen). Optionen: none (nur überwachen), quarantine (Spam/Junk), reject (Ablehnung). Diese Bedeutung ist in der DMARC-Spezifikation und gängigen Leitfäden eindeutig beschrieben.

Das Problem mit p=none

• Kein Schutz vor Spoofing: p=none veranlasst keine Maßnahme. Angriffe können weiter in Postfächern landen – Berichte allein stoppen keinen Missbrauch.
• Falsches Sicherheitsgefühl: Viele Domains verharren dauerhaft in „Monitoring“, oft sogar ohne rua-Berichte – ein häufiger Anti-Pattern im Feld.
• Kein BIMI-Logo: Für BIMI ist eine Policy mit Durchsetzung Pflicht (quarantine oder reject, pct=100). Mit p=none wird kein Logo angezeigt.
• Neue Anforderungen großer Mailbox-Provider: Google/Yahoo (seit Feb 2024) und Microsoft (seit Mai 2025) verlangen Authentifizierung inkl. DMARC; ein dauerhaftes p=none erfüllt nur die Minimalform und schützt nicht vor Spoofing.

Wichtig: p=none überschreibt nicht SPF/DKIM-Filterlogik des Empfängers. Es bedeutet „keine DMARC-basierte Maßnahme anfordern“, nicht „alles akzeptieren“. Einige Filter blocken weiterhin auf Basis anderer Prüfungen.

Wann p=none sinnvoll ist – und wie lange

p=none ist als kurze Startphase gedacht, um mit rua-Berichten das Absender-Ökosystem zu inventarisieren und Ausreißer zu korrigieren. Danach sollte die Policy zügig angezogen werden – erst quarantine, anschließend reject. Diese stufenweise Durchsetzung ist Best Practice in offiziellen Leitfäden.

Schlüsselbegriffe für belastbare DMARC-Durchsetzung

• Alignment: Die Domain im sichtbaren From: muss mit der SPF- oder DKIM-Domain übereinstimmen. Ohne Alignment kein DMARC-Pass.
• adkim/aspf: Mit =s (strict) verhindern Sie Ausweichmanöver über ähnliche Subdomains. Für Marken-Schutz empfehlen sich strikte Einstellungen.
• rua (Aggregate Reports): Unverzichtbar für Sichtbarkeit – ohne rua ist p=none praktisch wertlos.
• ruf (Failure/Forensic Reports): 2025 weniger verbreitet und mit Datenschutz- sowie Signal-Nachteilen; Aggregate-Berichte genügen meist.
• pct: Prozentualer Rollout für quarantine/reject – ideal zum risikominimierten Hochfahren.
• ¨C29C (Subdomain-Policy): Setzen Sie für Subdomains ebenfalls Enforcement; für BIMI werden Policies auf Organisations- und Subdomain-Ebene gefordert.

So kommen Sie sicher von none zu reject – ein praxistauglicher Fahrplan

1. Ist-Aufnahme & Berichte aktivieren: DMARC-Record mit p=none und rua setzen, 2–4 Wochen Daten sammeln, legitime Absender kartieren. Beispiel: _dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-rua@example.com" Anmerkung: Fügen Sie ruf nur hinzu, wenn Sie rechtlich/organisatorisch vorbereitet sind.
2. Alignment härten: SPF/DKIM über alle legitimen Plattformen einrichten, adkim=s; aspf=s setzen, Fehlschläge aus den Berichten abarbeiten.
3. Enforcement starten: Auf p=quarantine wechseln, optional mit pct stufenweise (10 → 25 → 50 → 75 → 100). Beispiel: _dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; pct=25; adkim=s; aspf=s; rua=mailto:dmarc-rua@example.com"
4. Auf reject gehen: Nach stabilen Ergebnissen auf vollständige Ablehnung hochdrehen; Subdomains via sp=reject gleich mit absichern. Beispiel: _dmarc.example.com. IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; pct=100; rua=mailto:dmarc-rua@example.com"

BIMI als Bonus – aber nur mit Enforcement

Wer das Markenlogo in unterstützten Postfächern anzeigen will, braucht Enforcement (p=quarantine oder p=reject) und pct=100. Ohne das bleibt BIMI deaktiviert. Neben der Technik ist eine saubere Reputation Voraussetzung.

FAQ – verbreitete Missverständnisse rund um p=none

„Mit p=none wird alles zugestellt.“ Nicht zwingend: Es heißt nur „keine DMARC-Maßnahme“. Provider können weiterhin auf SPF/DKIM-Fehlschlag, Heuristik oder Content-Filter reagieren.

„p=none reicht dauerhaft – die Großen verlangen ja nur DMARC.“ Minimal ja, sicher nein. Für Branding (BIMI) und wirksamen Markenschutz ist Enforcement nötig; Microsoft verschärft 2025 zusätzlich die Anforderungen für Bulk-Sender.

„Forensic-Reports (ruf) sind Pflicht.“ Nein. 2025 sind sie teils abgekündigt bzw. datenschutz- und nutzenkritisch; Aggregate (rua) genügen für die meisten Programme.

Best-Practice-Snippet für 2025

_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; sp=quarantine; adkim=s; aspf=s; pct=100; rua=mailto:dmarc-rua@example.com; fo=1"

Dieses Profil kombiniert striktes Alignment, Enforcement auf Haupt- und Subdomain sowie vollständige Abdeckung. Nach stabiler Phase ist der finale Schritt p=reject.

Testing Tools

• DMARC
  • MXToolbox – DMARC Check
  • dmarcian – DMARC Inspector
  • EasyDMARC – DMARC Lookup
• SPF
  • MXToolbox – SPF Check
  • Kitterman – SPF Validator
  • EasyDMARC – SPF Lookup
• DKIM
  • MXToolbox – DKIM Lookup
  • dmarcian – DKIM Inspector
  • PowerDMARC – DKIM Lookup
• BIMI
  • MXToolbox – BIMI Lookup
  • Mailhardener – BIMI Inspector
  • DNSChecker – BIMI Lookup
• TLS/Transport
  • CheckTLS – TestReceiver
  • SSL-Tools – Mailserver-Verschlüsselung
  • LuxSci – SMTP TLS Checker
• Deliverability & Reputation
  • mail-tester.com – SpamAssassin-Score
  • Spamhaus – Blocklist/DBL/SBL Check
  • Cisco Talos – Reputation Center

Fazit

p=none ist ein sinnvoller Start, aber ein schlechter Dauerzustand. Die Kombination aus verschärften Provider-Vorgaben, Markenschutz und Zustellbarkeits-Vorteilen spricht klar für Enforcement. Wer strukturiert umstellt – mit Berichten, sauberem Alignment und stufenweisem pct-Rollout – landet sicher bei p=reject und profitiert zusätzlich von BIMI.

Weiterführend: Hintergrund & News

Aktuelle Branchenbeiträge zeigen, dass noch immer viele Domains ohne Enforcement unterwegs sind – mit entsprechendem Risiko. Das stärkt die Argumente gegen p=none als Dauerlösung.

Letzte Aktualisierung am 18.08.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Quellen

• NoSpamProxy: DMARC Policy – Why p=none is a bad choice
• Google Workspace: Set up BIMI
• Google Workspace: Email sender guidelines (DMARC & Alignment)
• Yahoo Sender Best Practices (DMARC für Bulk-Sender)
• Microsoft TechCommunity: Outlook’s new requirements for high-volume senders (Apr 2025)
• Microsoft Docs: Use DMARC to validate email (Schrittweise zu quarantine/reject)
• RFC 7489: Domain-based Message Authentication, Reporting, and Conformance (DMARC)
• Valimail: Von p=none zu p=reject
• Valimail: DMARC-Failure-Reports 2025 – Grenzen & Risiken
• BIMI Group: Implementation Guide (Enforcement & sp)
• EasyDMARC: DMARC-Tags erklärt
• Proofpoint: Google & Yahoo – neue Authentifizierungsanforderungen (2024)
• Security StackExchange: p=none überschreibt keine lokalen Filter
• DMARC.org: FAQ (Monitor → Quarantine → Reject)
• TechRadar Pro: Bedeutung von DMARC & Enforcement-Lücke

About the Author

Sebastian Schiebort

Administrator

Author's posts