Mimecast Logo
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Brand Protection

    Google, Yahoo! und Microsoft DMARC-Anforderungen - 2026 Update

    Anleitung, wie Sie Ihr Unternehmen durch die Einrichtung von DMARC in Google Workspace vor Spoofing schützen und die PCI DSS-Anforderungen an DMARC für Kreditkarten erfüllen können

    by Andrew Williams

    Wichtige Punkte

    • Ab Februar 2024 müssen Absender, die täglich mehr als 5.000 E-Mails an Google- und Yahoo!-Konten senden, über eine aktive DMARC-Richtlinie verfügen. Im Jahr 2026 wird diese Anforderung strikt durchgesetzt. Nicht konforme Nachrichten werden nun auf SMTP-Ebene zurückgewiesen.
    • Absender müssen außerdem SPF- und DKIM-Einträge pro Domäne einrichten und die Ausrichtung sicherstellen sowie die ARC-Authentifizierung für weitergeleitete Nachrichten verwenden.
    • DMARC-Richtlinien können so eingestellt werden, dass E-Mail-Nachrichten, die die Authentifizierung nicht bestehen, zurückgewiesen, unter Quarantäne gestellt oder einfach zugestellt werden; Richtlinien können für alle Domänennamen des Unternehmens separat eingestellt werden; Berichte liefern Rückmeldungen über die Nutzung - und den möglichen Missbrauch - von Domänen.
    • Die PCI DSS v4.0 DMARC-Anforderungen werden nun im Jahr 2026 aktiv und betreffen alle Organisationen, die mit Kreditkartendaten umgehen.

    Anforderungen für den E-Mail-Versand

    Bereits im Februar 2024 haben Google und Yahoo! neue verbindliche Authentifizierungsstandards für Massen-E-Mail-Versender eingeführt, die eine aktive Domain-based Message Authentication, Reporting and Conformance (DMARC) Richtlinieerfordern . Anfang 2025 folgte Microsoft diesem Beispiel. Ende 2025 begann Gmail mit der strikten Durchsetzung auf SMTP-Ebene für nicht konforme Nachrichten, einschließlich Ablehnung und Aufschub der Zustellung.

    Das bedeutet, dass jetzt, im Jahr 2026, die Nichteinhaltung der DMARC-Anforderungen erhebliche Auswirkungen hat:

    • Zustellbarkeit von Marketingkampagnen
    • Zuverlässigkeit von Transaktions-E-Mails
    • CRM und automatisierte E-Mail-Workflows
    • Versandtools von Drittanbietern (HubSpot, Salesforce, Mailchimp, usw.)

    Darüber hinaus müssen Absender SPF- und DKIM-Einträge pro Domäne erstellen und die ARC-Authentifizierung für weitergeleitete Nachrichten verwenden.

    E-Mails, die die Authentifizierung nicht bestehen, werden zurückgewiesen oder als Spam markiert, was die Zustellung von E-Mails an Kunden gefährdet, die von Unternehmen verschickt werden, die die Regeln von Google, Yahoo! und Microsoft nicht erfüllen. 

    Was waren die Gründe für diese Anforderungen?

    Diese E-Mail-Anbieter haben versucht, Angreifern die Möglichkeit zu nehmen, sich unter Massenversendern zu verstecken, die ihre E-Mail-Systeme oft nicht absichern. Sie waren entschlossen, dieses Ziel zu erreichen, indem sie sich auf die E-Mail-Validierung konzentrierten, um zu verhindern, dass potenziell böswillige Akteure die Posteingänge ihrer Kunden erreichen.

    Das hat auch noch weitere Vorteile. Domains, die über DMARC verfügen, werden besser im Posteingang platziert, d.h. es ist weniger wahrscheinlich, dass E-Mails als Spam markiert oder ganz abgewiesen werden.

    Technische Informationen über DMARC und DMARC-Richtlinien

    Was ist ein DMARC-Datensatz?

    Ein DMARC-Eintrag legt für einen empfangenden E-Mail-Server fest, was zu tun ist, wenn eine Google Mail-Nachricht von der Domäne eines Unternehmens nicht authentifiziert werden kann.

    DMARC arbeitet mit zwei E-Mail-Authentifizierungsmethoden: Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM). Mit SPF können Sie angeben, welche IP-Adressen in der Domäne eines Unternehmens berechtigt sind, E-Mails zu versenden. DKIM fügt den ausgehenden Nachrichten eine digitale Signatur hinzu. Der empfangende Server verwendet SPF, um die Nachricht als von einer vertrauenswürdigen Quelle stammend zu authentifizieren, und DKIM, um zu überprüfen, dass die Nachricht auf dem Weg nicht verändert worden ist.

    Google Workspace DMARC-Richtlinien

    Ein DMARC-Eintrag muss eine Richtlinie für die Aktion festlegen, die der empfangende Server durchführen soll, wenn die eingehende E-Mail die SPF- oder DKIM-Authentifizierung nicht besteht. Es gibt drei Gmail DMARC-Richtlinienoptionen:

    • Keine: Die Nachricht wird normal zugestellt.
    • Quarantäne: Senden Sie die Nachricht an den Spam-Ordner des Empfängers oder in die Quarantäne, wenn eine Quarantäne-Option konfiguriert ist.
    • Reject: Die Nachricht wird nicht zugestellt. Häufig wird der empfangende Server den Absender über die fehlgeschlagene Zustellung informieren.

    Google Workspace empfiehlt, mit p=none zu beginnen, die Berichte zu prüfen und dann schrittweise zur Quarantäne und Zurückweisung überzugehen, wenn legitime und illegale Absender identifiziert werden. Berichte geben Aufschluss darüber, welche Server in Ihrem Namen senden und wie viel Prozent der Nachrichten durchkommen oder scheitern.

    Schritte zum Einrichten eines Google WorkspaceDMARC-Eintrags1

    DMARC wird als DNS-TXT-Eintrag auf dem Domain-Host einer Organisation eingerichtet. Der Datensatz enthält Flags, die Parameter für den Empfangsserver angeben. Jeder Parameter ist ein Tag-Werte-Paar. Um zum Beispiel die Richtlinie auf "Ablehnen" zu setzen, würde das Tag-Wert-Paar "p=reject" lauten. Wenn Sie diese Schritte befolgen, wird der DMARC-Eintrag des Unternehmens eingerichtet und veröffentlicht:

    1. Konfigurieren Sie sowohl SPF als auch DKIM und warten Sie dann 48 Stunden, bevor Sie den DMARC-Eintrag veröffentlichen.

    2. Erstellen Sie den DMARC-Eintrag als Textzeile mit Tag-Wert-Paaren, die durch Semikolons getrennt sind. In der nebenstehenden Tabelle finden Sie Beispiele für Tags und mögliche Werte. Beachten Sie, dass diese Tags und Werte von Host zu Host variieren können. Die Tags v und p sind erforderlich und müssen an erster Stelle stehen. Die übrigen Tags sind optional.

    TAG

    VALUES

    vVersion. Dies muss DMARC1 sein.
    pRichtlinie für Nachrichten, deren Authentifizierung fehlschlägt. Mögliche Werte sind Ablehnen, Quarantäne oder keine.
    spRichtlinie für Subdomains. Mögliche Werte sind Ablehnen, Quarantäne oder keine. Standardmäßig wird die gleiche Richtlinie wie für die Domäne angewendet.
    pctDer Prozentsatz der ungültigen Meldungen, auf die reagiert werden soll. Der Wert muss 1-100 betragen, wobei 100 der Standardwert ist.
    aspfDie Ausrichtungspolitik für SPF. Kann s (streng) oder r (entspannt) sein. Entspannt ist die Standardeinstellung.
    adkimDie Ausrichtungsrichtlinie für DKIM. Kann s (streng) oder r (entspannt) sein. Entspannt ist die Standardeinstellung.
    ruaDie E-Mail-Adresse (mit vorangestelltem mailto:), an die DMARC-Berichte gesendet werden sollen.

    3. Suchen Sie in der Verwaltungskonsole des Domänenhosts den Ort, an dem der DNS-Eintrag aktualisiert werden kann. Geben Sie den Namen des DMARC-TXT-Eintrags der Organisation als "dmarc" gefolgt von einem Punkt und dem Domänennamen der Organisation ein. Einige Hosts fügen den Domänennamen automatisch an. Laden Sie den Datensatz hoch und speichern Sie die Änderungen. Wiederholen Sie diesen Vorgang für jede Domäne.

    Stärkere Durchsetzung der Angleichung

    Da Unternehmen immer mehr SaaS- und Drittanbieter-E-Mail-Dienste einsetzen, sind Probleme bei der Ausrichtung zu einem der häufigsten DMARC-Probleme geworden. Im Jahr 2026 flaggen die Briefkastenanbieter häufiger:

    • Falsch ausgerichtete "Von"-Domänen
    • Absender von Drittanbietern ohne autorisierte SPF/DKIM
    • Ohne ARC-Authentifizierung weitergeleitete Nachrichten

    Die korrekte Abstimmung aller E-Mail-Kanäle, einschließlich Marketingplattformen, Ticketingsystemen, CRM-Automatisierung und Cloud-Anwendungen, ist jetzt unerlässlich, um die Zustellbarkeit zu gewährleisten.

    Drohende zusätzliche Anforderungen für Kreditkartenzahlungen

    Die Kreditkartenindustrie hat ihre eigenen DMARC-Anforderungen eingeführt. Ab 2025 schreibt das Payment Card Industry Security Standards Council (PCI SSC) die Verwendung von DMARC für alle Unternehmen vor, die mit Kreditkarten und anderen Zahlungen arbeiten, sowie für Finanzdienstleister. DMARC ist offiziell Teil des neuesten PCI Data Security Standard, Version 4 (PCI DSS v4.0).

    Die DMARC-Anforderung soll Unternehmen dabei helfen, in einem wirtschaftlichen Umfeld, in dem die Zahl und die Kosten von Datenschutzverletzungen und Kreditkartendiebstählen laut jüngsten Cybersecurity-Statistiken weiter gestiegen sind, sicherer zu arbeiten. Es wird auch erwartet, dass die Einführung von DMARC beschleunigt wird, da die Nichteinhaltung von PCI DSS zu Geldbußen und Strafen bis hin zum Verlust des Rechts eines Unternehmens, Zahlungen abzuwickeln, führen kann. Andererseits ist es für die meisten Unternehmen - insbesondere für kleine und mittlere Unternehmen (KMUs) - schwierig, den E-Mail-Authentifizierungsstandard zu übernehmen, da sich DMARC-Tools als kompliziert in der Anwendung erwiesen haben. Um diesen Bedarf zu decken, hat Mimecast eine All-in-One-Sicherheitslösung für Google Workspaceentwickelt.

    DMARC-Verwaltung für mehrere Domänen

    Um die Dinge noch komplizierter zu machen, betreiben Unternehmen zunehmend Dutzende - manchmal Hunderte - von registrierten Domains. Infolgedessen geht die DMARC-Verwaltung jetzt über die Einrichtung hinaus:

    • Kontinuierliche Überwachung
    • Lebenszyklus-Management von ruhenden oder ungenutzten Domains
    • Unerlaubte Absender aufspüren
    • Standardisierung der Ausrichtung in verteilten Teams

    Die Verlagerung hin zu einer bereichsübergreifenden Überwachung hat dazu geführt, dass zentralisierte Tools für die Aufrechterhaltung der Kontrolle unerlässlich sind.

    Erhalten Sie Hilfe von Mimecast

    Wenn Ihnen der Google Workspace DMARC-Prozess oder die DMARC-Implementierung zur Erfüllung der bevorstehenden PCI DSS-Anforderungen etwas entmutigend vorkommt, dann ist die gute Nachricht, dass Sicherheitsdienstleister wie Mimecast cloudbasierte DMARC-Tools anbieten. Solche Tools vereinfachen die DMARC-Implementierung - zum Beispiel durch Einrichtungsassistenten zur Erstellung von DMARC-Datensätzen für alle Domänen. Andere Tools validieren DMARC-Datensätze und erstellen benutzerfreundliche Berichte und Diagramme zur Analyse von Nachrichten, deren Authentifizierung fehlgeschlagen ist, sowie forensische Berichte zum Auffinden der Quelle bösartiger E-Mail-Nachrichten.

    Da die Online-Markenimitation weiter zunimmt, werden Websites wie Google, Yahoo! und Microsoft weiterhin strengere Standards für Absender einführen, insbesondere für diejenigen, die Tausende von E-Mails pro Tag versenden. Mimecast hilft Ihnen mit dem DMARC Analyzer und dem nötigen Fachwissen, um bestehende und neue DMARC-Richtlinien zu erfüllen.

    Der DMARC Analyzer von Mimecast ist eine SaaS-Lösung, die es Kunden ermöglicht, komplexe Implementierungsprojekte einfach zu verwalten und 360°-Transparenz und Governance zu bieten. Es bietet eine schnelle und einfache Durchsetzung mit intuitiven Selbstbedienungswerkzeugen, einschließlich eines integrierten Projektmanagements, und sorgt so für eine risikoarme Durchsetzung.

    Die DMARC Analyzer-Lösung von Mimecast schützt Marken, indem sie die erforderlichen Tools bereitstellt, um Spoofing und den Missbrauch eigener Domains zu verhindern. Die Selbstbedienungslösung von Mimecast wurde entwickelt, um den Zeit- und Ressourcenaufwand für eine erfolgreiche DMARC-Konformität zu reduzieren. Sie bietet die Berichte und Analysen, die Sie benötigen, um einen vollständigen Überblick über alle E-Mail-Kanäle zu erhalten. Die Verwendung von DMARC zur Unterbindung von Direct Domain Spoofing schützt vor Markenmissbrauch und Betrug, die den Ruf schädigen und einem Unternehmen sowie seinen Kunden und Partnern direkte Verluste verursachen. 

    Zusätzlich zu den Selbstbedienungsfunktionen des DMARC Analyzer bietet Mimecast Managed Services an, um Unternehmen proaktiv durch jede Phase der DMARC-Einführung und -Wartung zu führen und so sicherzustellen, dass sie von der gesamten Bandbreite der DMARC-Funktionen profitieren. Viele Unternehmen stehen vor der Herausforderung, DMARC selbst zu implementieren, was aufgrund der Komplexität der Lösung verständlich ist. Daher hat Mimecast eine umfassende Managed Services-Lösung entwickelt, um diesen Unternehmen zu helfen.

    Holen Sie sich hier eine kostenlose Testversion des DMARC Analyzers von Mimecast.

     

     

    **Dieser Blog wurde gegenüber einer früheren Version aktualisiert.

    1 Siehe Google DMARC-Anweisungen

    Verwandte Artikel

    Brand Protection
    DMARC-Grundlagen: Was es ist und wie es funktioniert
    Brand Protection
    ROI-Analyse: Schutz von Marken vor digitaler Nachahmung
    Brand Protection
    Markensicherheit und Schutzrechtsverletzungen im digitalen Zeitalter

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang