Authentifizierung

DMARC-Reporting — sehen, wer in Ihrem Namen versendet.

DMARC ist die Policy-Schicht über SPF und DKIM. MailGuard sendet tägliche Aggregate-Reports an die im DNS eingetragenen Adressen, und parst eingehende DMARC-Reports von Ihrer Domain — Sie sehen im Dashboard wer überhaupt in Ihrem Namen Mails verschickt und ob das legitim oder Phishing ist.

Was DMARC eigentlich macht

DMARC (RFC 7489) baut auf SPF und DKIM auf. Die DMARC-Policy einer Domain sagt Empfänger-Mailservern: „Wenn ihr eine Mail von example.com bekommt, die SPF und DKIM nicht besteht — was sollt ihr damit tun?". Drei Modi:

  • p=none: nichts tun (Monitoring-Modus) — Mails durchlassen, aber Reports an Sender-Domain schicken
  • p=quarantine: in Spam-Folder verschieben
  • p=reject: ablehnen mit 5xx-Fehler

Plus die Reporting-Adressen (rua für Aggregate, ruf für Forensic) — dort kommen die täglichen Reports der Empfänger-Mailserver hin.

Was MailGuard im DMARC-Reporting macht

Eingehende Aggregate-Reports parsen

Wenn Microsoft 365, Gmail, Yahoo etc. Aggregate-Reports an Ihre rua-Adresse schicken (üblicherweise täglich, im XML-Format), parst MailGuard diese automatisch und visualisiert sie im Dashboard:

  • Wer hat heute in Ihrem Namen Mails verschickt? (Sender-IPs)
  • Welche IPs haben SPF/DKIM bestanden, welche nicht?
  • Wie viele Mails pro IP, pro Empfänger-Provider?
  • Trend über Zeit — neue Sender-IPs, ungewöhnliches Volumen, Spoofing-Versuche

Ausgehende Aggregate-Reports senden

Für jede Domain die in MailGuard konfiguriert ist und ein DMARC-Record veröffentlicht hat: tägliche Aggregate-Reports an die rua-Adressen anderer Domains schicken — wenn Mails von externen Sendern an unsere Domain gerichtet werden, melden wir den jeweiligen Sender-Domains was angekommen ist. Das ist Pflicht im DMARC-Ökosystem — ohne diese Reports funktioniert das Vertrauenssystem nicht.

Forensic-Reports (RUF, optional)

Forensic-Reports enthalten Header und Teile vom Body einzelner gefailter Mails — viel detaillierter als Aggregate-Reports. Aus Datenschutz-Gründen (kann persönliche Inhalte enthalten) sind RUF-Reports per Default deaktiviert. Operator kann pro Domain einschalten wenn forensische Tiefe nötig ist (z.B. bei aktivem Spoofing-Angriff).

Der typische Onboarding-Pfad

  1. Phase 1 (Wochen 1–4): p=none. Sie publishen DMARC mit Policy „nichts tun, nur Reports schicken". Im Dashboard sehen Sie wer alles in Ihrem Namen versendet — typischerweise Marketing-Tools, CRM-Systeme, ältere Mail-Server, Drittanbieter wie Mailchimp.
  2. Phase 2 (Wochen 5–8): SPF/DKIM für legitime Sender. Sie ergänzen die SPF-Record um die legitimen Sender-IPs, konfigurieren DKIM-Signing wo möglich. Das Dashboard zeigt Fortschritt — Anteil der bestandenen DMARC-Checks steigt.
  3. Phase 3 (Wochen 9–12): p=quarantine. Sie schalten DMARC auf Quarantine — gefailte Mails landen bei Empfängern im Spam-Folder. Dashboard überwacht False-Positive-Risiko.
  4. Phase 4 (ab Woche 13): p=reject. Volle DMARC-Strenge. Spoofing-Versuche werden direkt am SMTP-Level abgelehnt.

MailGuard begleitet diesen Prozess — Sie sehen jederzeit ob Ihre Domain reif ist für den nächsten Schritt.

Multi-Domain im Standard-Plan

Pro Domain getrennte DMARC-Konfiguration und Reports. Mandant A kann auf p=reject sein während Mandant B noch in p=none-Monitoring ist. Reseller-Pattern voll unterstützt.

DMARC ohne externe Tools.

Aggregate-Reports parsen und versenden, Forensic-Reports auf Wunsch, Dashboard-Visualisierung — alles im Standard-Plan inkludiert.

Preise ansehen