Wenn europäische Organisationen DMARC implementieren, um ihre E-Mail-Domains zu schützen, ist die Wahl des DMARC-Anbieters nicht nur eine technische Entscheidung.
Sie kann auch zu einer Entscheidung über Data Governance, Anbieterrisiken und internationalen Datentransfer werden.
DMARC-Reports können mehr offenlegen als nur den Authentifizierungsstatus. Sie können zeigen, welche Systeme E-Mails im Namen einer Domain versenden, welche Anbieter beteiligt sind, wo die Authentifizierung fehlschlägt, welche IP-Adressen aktiv sind, wie E-Mail-Ströme über Regionen hinweg verlaufen und wo unbefugte Versandversuche auftreten können.
Für EU-Organisationen können diese Informationen im Rahmen der DSGVO, vertraglicher Datenschutzverpflichtungen, branchenspezifischer Vorschriften und interner Richtlinien zur Datenresidenz relevant sein.
Der US-amerikanische CLOUD Act fügt dieser Bewertung eine weitere Ebene hinzu.
Der CLOUD Act kann von abgedeckten US-Dienstleistern verlangen, bestimmte Daten, die sich in ihrem Besitz, ihrer Obhut oder ihrer Kontrolle befinden, aufzubewahren, zu sichern oder offenzulegen, auch wenn die Daten außerhalb der Vereinigten Staaten gespeichert sind. Für EU-Organisationen, die US-basierte oder US-kontrollierte Technologieanbieter nutzen, kann dies rechtliche und jurisdiktionelle Fragen aufwerfen, die vor der Weiterleitung von Sicherheitstelemetrie an eine Drittanbieterplattform bewertet werden sollten.
Dies bedeutet nicht, dass EU-Unternehmen keine US-basierten Anbieter nutzen können.
Es bedeutet, dass sie verstehen sollten, welche Daten verarbeitet werden, wo sie gespeichert werden, welcher rechtliche Übermittlungsmechanismus gilt, welche Schutzmaßnahmen vorhanden sind und wie mit staatlichen Zugriffsanfragen umgegangen wird.
DMARC-Schutz und Datenschutz sollten nicht als separate Gespräche behandelt werden.
Sie sind beide Teil derselben Vertrauensarchitektur.
Haftungsausschluss: Dieser Artikel bietet allgemeine Informationen und sollte nicht als Rechtsberatung betrachtet werden. Organisationen sollten qualifizierte Rechtsberater für spezifische Compliance-Anforderungen, Übermittlungsbewertungen und regulatorische Verpflichtungen konsultieren.
I. Was der CLOUD Act in diesem Kontext bedeutet
Der US-amerikanische CLOUD Act, der 2018 in Kraft trat, stellte klar, dass bestimmte US-Dienstleister verpflichtet werden können, Daten offenzulegen, die sich in ihrem Besitz, ihrer Obhut oder ihrer Kontrolle befinden, unabhängig davon, ob diese Daten innerhalb oder außerhalb der Vereinigten Staaten gespeichert sind.
Bei DMARC-Diensten ist die relevante Frage nicht nur, ob der Anbieter Daten in Europa speichert.
Die tiefergehende Frage lautet:
Wer kontrolliert den Dienst, wer kann auf die Daten zugreifen und welche Rechtsordnungen können auf den Anbieter anwendbar sein?
Dies ist wichtig, da DMARC-Anbieter operative Sicherheitstelemetrie verarbeiten können, die sowohl für Verteidiger als auch für Angreifer nützlich ist.
Je nach Implementierung kann ein DMARC-Anbieter verarbeiten:
- DMARC-Aggregationsberichte
- DMARC-Fehler- oder forensische Berichte, falls aktiviert
- Absender-IP-Adressen
- Authentifizierungsergebnisse
- SPF-, DKIM- und DMARC-Alignment-Daten
- E-Mail-Volumenmuster
- Drittanbieter-Absenderinformationen
- Domain-Konfigurationen
- Benutzerkonten und Administrator-Daten
- Aus Berichten abgeleitete Sicherheitsanalysen
- Historische Durchsetzungs- und Richtliniendaten
Diese Informationen enthalten möglicherweise nicht immer Nachrichteninhalte, insbesondere in Aggregationsberichten. Sie können jedoch weiterhin sensible operative Details über die E-Mail-Infrastruktur einer Organisation offenlegen.
Deshalb sollte die Anbieterauswahl sowohl aus Sicherheits- als auch aus Datenschutzperspektive bewertet werden.
II. Warum DMARC-Berichtsdaten sensibel sein können
DMARC-Berichte werden oft als technische Protokolle beschrieben.
Diese Beschreibung ist unvollständig.
DMARC-Daten können offenlegen, wie eine Organisation E-Mails versendet, welche Plattformen autorisiert sind, welche Anbieter falsch konfiguriert sind, welche Domains nicht vollständig geschützt sind und wo Spoofing-Versuche auftreten.
Beispielsweise können DMARC-Aggregationsdaten zeigen:
- Welche IP-Adressen im Namen der Domain versenden
- Welche Anbieter für Transaktions-E-Mails verwendet werden
- Welche Marketing-Plattformen aktiv sind
- Welche internen Systeme E-Mails versenden
- Welche Quellen SPF- oder DKIM-Alignment fehlschlagen
- Welche Drittanbieter nicht ordnungsgemäß konfiguriert sind
- Welche Subdomains exponiert sind
- Welche empfangenden Anbieter Authentifizierungsfehler sehen
Diese Informationen sind für Sicherheitsteams wertvoll.
Sie können auch für Angreifer wertvoll sein.
Ein ausgereiftes DMARC-Programm sollte daher vermeiden, Berichtsdaten als harmlose Metadaten zu behandeln. Sie sollten als Sicherheitstelemetrie gesteuert werden.
III. DSGVO und internationale Datenübermittlungen

Für EU-Organisationen wird die DSGVO relevant, wenn personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet oder übermittelt werden.
Kapitel V der DSGVO schränkt Übermittlungen personenbezogener Daten in Drittländer ein, es sei denn, es gilt ein gültiger Übermittlungsmechanismus. Diese Mechanismen können einen Angemessenheitsbeschluss, Standardvertragsklauseln mit eventuell erforderlichen zusätzlichen Maßnahmen, verbindliche interne Datenschutzvorschriften oder einen anderen nach DSGVO zulässigen Mechanismus umfassen.
Die Schrems-II-Entscheidung erhöhte die Prüfung von Übermittlungen an Anbieter, die Überwachungs- oder rechtlichen Zugriffsregelungen von Drittländern unterliegen. Seitdem wird von Organisationen erwartet, nicht nur den Vertrag zu bewerten, sondern auch das rechtliche Umfeld und die praktischen Schutzmaßnahmen im Zusammenhang mit der Übermittlung.
Der EU-US Data Privacy Framework, der 2023 angenommen wurde, bietet einen Angemessenheitsmechanismus für zertifizierte US-Organisationen. Organisationen müssen jedoch weiterhin bestätigen, ob ein Anbieter zertifiziert ist, ob die relevante Verarbeitung abgedeckt ist und ob zusätzliche vertragliche oder technische Schutzmaßnahmen für ihren spezifischen Anwendungsfall erforderlich sind.
Für die Auswahl von DMARC-Anbietern sollte die praktische Bewertung Folgendes umfassen:
- Sind DMARC-Berichtsdaten personenbezogene Daten, Sicherheitstelemetrie oder beides?
- Wo werden die Daten gespeichert?
- Wo werden die Daten verarbeitet?
- Welche Unternehmen können darauf zugreifen?
- Ist der Anbieter EU-basiert, US-basiert oder Teil einer größeren Unternehmensgruppe?
- Findet eine internationale Übermittlung statt?
- Welcher Übermittlungsmechanismus gilt?
- Sind Standardvertragsklauseln oder ein anderer Mechanismus vorhanden?
- Sind zusätzliche Maßnahmen erforderlich?
- Welche Aufbewahrungsfrist gilt?
- Sind forensische Berichte standardmäßig deaktiviert?
- Wie geht der Anbieter mit staatlichen Zugriffsanfragen um?
Diese Bewertung sollte dokumentiert werden, insbesondere für regulierte Organisationen oder Unternehmen mit strengen Verpflichtungen zur Datenresidenz.
IV. Der CLOUD Act bedeutet nicht automatisch Nichteinhaltung

Es ist wichtig, das Thema nicht zu vereinfachen.
Die Nutzung eines US-basierten Anbieters bedeutet nicht automatisch Nichteinhaltung der DSGVO.
Die Nutzung eines EU-Rechenzentrums beseitigt nicht automatisch alle jurisdiktionellen Risiken.
Die Compliance-Frage hängt vom vollständigen Kontext ab:
- Rechtliche Struktur des Anbieters
- Standort der Datenverarbeitung
- Datenzugriffskontrollen
- Verschlüsselungsmodell
- Vertragliche Schutzmaßnahmen
- Übermittlungsmechanismus
- Richtlinie für staatlichen Zugriff
- Transparenzberichterstattung
- Datenminimierungspraktiken
- Aufbewahrungsfristen
- Kundenkontrolle über Daten
- Ob Support- oder Engineering-Zugriff außerhalb der EU erfolgt
Eine ernsthafte Bewertung betrachtet das vollständige Betriebsmodell, nicht nur das Land, in dem der Server gehostet wird.
V. DMARC-Anbieterrisikobereiche, die EU-Unternehmen prüfen sollten

Bei der Auswahl oder Überprüfung eines DMARC-Anbieters sollten EU-Organisationen mehrere Bereiche bewerten.
VI. 1. Rechtliche Struktur
Verstehen Sie, wer die Vertragspartei ist.
Ein EU-basierter Anbieter, ein US-basierter Anbieter und eine EU-Tochtergesellschaft einer US-Gruppe können unterschiedliche rechtliche und operative Überlegungen aufwerfen.
Zu stellende Fragen:
- Welche juristische Person erbringt die Dienstleistung?
- Welche Einheit unterzeichnet die Vereinbarung zur Auftragsverarbeitung?
- Welche Unternehmen haben Zugriff auf Kundendaten?
- Werden Support-, Engineering- oder Sicherheitsoperationen außerhalb der EU durchgeführt?
- Unterliegt der Anbieter den US-Regelungen zum rechtmäßigen Zugriff?
- Sind Unterauftragsverarbeiter beteiligt?
Die Antwort sollte in der Anbieterrisikobewertung dokumentiert werden.
VII. 2. Datenresidenz und Verarbeitungsort
Datenresidenz ist wichtig, sollte aber genau verstanden werden.
Ein Anbieter kann Daten in der EU speichern, während Support- oder Analysezugriffe anderswo stattfinden. Ein anderer Anbieter kann Berichte außerhalb der EU verarbeiten und gleichzeitig EU-Abrechnung oder EU-Vertragsgestaltung anbieten.
Zu stellende Fragen:
- Wo werden DMARC-Berichte gespeichert?
- Wo werden Berichte analysiert und ausgewertet?
- Wo werden Backups aufbewahrt?
- Wo werden Protokolle gespeichert?
- Können Administratoren die Datenverarbeitung auf die EU beschränken?
- Nutzt der Anbieter Unterauftragsverarbeiter außerhalb der EU?
- Erfordert der Support-Zugriff grenzüberschreitenden Zugriff?
Das Ziel ist es, den tatsächlichen Datenpfad zu verstehen, nicht nur die Marketingaussage.
VIII. 3. DMARC-Berichtstypen
Nicht alle DMARC-Daten haben die gleiche Sensibilität.
Aggregationsberichte sind in der Regel weniger invasiv als forensische oder Fehlerberichte. Aggregationsberichte enthalten normalerweise Authentifizierungsergebnisse und Informationen zur Sendequelle. Fehlerberichte können je nach Empfängerimplementierung Daten auf Nachrichtenebene enthalten.
Für EU-Organisationen ist die sicherste Standardeinstellung:
- Verwendung von Aggregationsberichten über
rua=zur Überwachung. - Vermeidung forensischer Berichte über
ruf=, es sei denn, Datenschutz-, Rechts- und Sicherheitsteams genehmigen dies. - Anwendung von Datenminimierung und Aufbewahrungsfristen.
- Vermeidung der Erfassung von mehr als für Authentifizierung und Durchsetzung erforderlich.
Fehlerberichterstattung hat bei großen Empfängern eine begrenzte Akzeptanz und kann zusätzliche Datenschutz- und Aufbewahrungsverpflichtungen schaffen. Sie sollte nicht leichtfertig aktiviert werden.
IX. 4. Zugriffskontrollen
DMARC-Plattformen können sensible Telemetrie für interne Benutzer offenlegen.
Organisationen sollten überprüfen:
- Rollenbasierte Zugriffskontrollen
- Administrator-Berechtigungen
- MFA-Anforderungen
- Audit-Protokolle
- API-Zugriffskontrollen
- Sitzungskontrollen
- Export-Berechtigungen
- Support-Zugriffsprozeduren
- Trennung zwischen Kunden
Sicherheitstelemetrie sollte nicht ohne Governance breit zugänglich sein.
X. 5. Staatlicher Zugriff und Transparenz
EU-Organisationen sollten verstehen, wie der Anbieter mit rechtmäßigen Zugriffsanfragen umgeht.
Zu stellende Fragen:
- Veröffentlicht der Anbieter Transparenzberichte?
- Benachrichtigt der Anbieter Kunden, wenn dies rechtlich zulässig ist?
- Wehrt sich der Anbieter gegen übermäßig weit gefasste oder rechtswidrige Anfragen?
- Legt der Anbieter Unterauftragsverarbeiter offen?
- Erklärt der Anbieter, wie er mit Anfragen umgeht, die EU-Kundendaten betreffen?
- Sind vertragliche Benachrichtigungspflichten enthalten?
Dies beseitigt nicht alle Risiken, verbessert aber Transparenz und Rechenschaftspflicht.
XI. 6. Aufbewahrung und Löschung
Je länger DMARC-Telemetrie aufbewahrt wird, desto größer wird die Angriffsfläche.
Organisationen sollten bestätigen:
- Standard-Aufbewahrungsfrist
- Kundenkonfigurierbare Aufbewahrung
- Zeitpläne für Backup-Löschung
- Export- und Löschungsrechte
- Richtlinien zur Protokollaufbewahrung
- Löschprozess bei Kontokündigung
Die Aufbewahrung sollte dem operativen Bedarf entsprechen.
Für viele Organisationen ist die unbefristete Speicherung von rohen DMARC-Telemetriedaten unnötig.
XII. DSFA und Bewertung der Übermittlungsfolgen
EU-Organisationen sollten prüfen, ob eine Datenschutz-Folgenabschätzung oder Bewertung der Übermittlungsfolgen bei der Implementierung eines DMARC-Anbieters angemessen ist.
Dies ist besonders relevant, wenn:
- DMARC-Daten an einen Drittland-Anbieter weitergeleitet werden.
- Die Organisation in einem regulierten Sektor tätig ist.
- Der Anbieter Daten außerhalb des EWR verarbeitet.
- Fehlerberichte aktiviert sind.
- Die Domain für sensible Kommunikation verwendet wird.
- Der Anbieter Zugriff auf detaillierte operative Sicherheitstelemetrie hat.
- Kunden- oder Mitarbeiterkommunikationsmuster abgeleitet werden können.
Eine praktische Bewertung sollte abdecken:
- Welche Daten erfasst werden
- Warum die Daten notwendig sind
- Ob die Daten personenbezogene Daten umfassen
- Welcher Übermittlungsmechanismus gilt
- Welche Schutzmaßnahmen vorhanden sind
- Welche Unterauftragsverarbeiter beteiligt sind
- Wie lange Daten aufbewahrt werden
- Wer auf die Daten zugreifen kann
- Wie mit staatlichen Zugriffsanfragen umgegangen wird
- Ob weniger invasive Alternativen verfügbar sind
Der Zweck besteht nicht darin, Papierkram um seiner selbst willen zu erstellen.
Der Zweck besteht darin, den Datenfluss vertretbar zu machen.
XIII. Technische Schutzmaßnahmen, die das Risiko reduzieren
Rechtliche Schutzmaßnahmen sind wichtig, aber technische Schutzmaßnahmen sind ebenso wichtig.
EU-Organisationen sollten nach DMARC-Anbietern suchen, die Folgendes unterstützen:
- EU-Datenresidenzoptionen
- Datenminimierung
- Verschlüsselung während der Übertragung und im Ruhezustand
- Starke Zugriffskontrollen
- MFA-Durchsetzung
- Audit-Protokollierung
- Kundengesteuerte Aufbewahrung
- Begrenzter Support-Zugriff
- Transparenz bei Unterauftragsverarbeitern
- Sichere Berichtsaufnahme
- Trennung zwischen Mandanten
- Klare Löschverfahren
- API-Sicherheitskontrollen
Diese Schutzmaßnahmen reduzieren die Exposition und verbessern die Vertretbarkeit.
Keine einzelne Schutzmaßnahme löst die CLOUD-Act- oder DSGVO-Übermittlungsfrage für sich allein. Die Stärke ergibt sich aus der Kombination von vertraglichen, technischen, organisatorischen und Governance-Kontrollen.
XIV. Operative Governance für DMARC-Daten
DMARC sollte nicht als einmaliges DNS-Projekt behandelt werden.
Es sollte Teil eines laufenden Governance-Programms sein.
Organisationen sollten pflegen:
- Domain-Inventar
- Absender-Inventar
- DMARC-Berichtszieleinträge
- Anbieterrisikobewertungen
- Vereinbarungen zur Auftragsverarbeitung
- Übermittlungsbewertungen, wo zutreffend
- Überprüfungen von Unterauftragsverarbeitern
- Aufbewahrungsentscheidungen
- Überprüfungen von Zugriffskontrollen
- Verfahren zur Reaktion auf Vorfälle
- Änderungsmanagement-Aufzeichnungen
- Nachweis der Überwachung und Behebung
Diese Dokumentation hilft nachzuweisen, dass DMARC-Daten aktiv verwaltet und nicht einfach ausgelagert werden.
XV. Fragen an einen DMARC-Anbieter
Bevor Sie einen DMARC-Anbieter wählen oder verlängern, sollten EU-Organisationen fragen:
- Welche juristische Person erbringt die Dienstleistung?
- Wo werden DMARC-Berichtsdaten gespeichert?
- Wo werden DMARC-Berichtsdaten verarbeitet?
- Welche Unterauftragsverarbeiter werden eingesetzt?
- Kann die Verarbeitung auf die EU beschränkt werden?
- Wird auf Kundendaten durch Support- oder Engineering-Teams außerhalb der EU zugegriffen?
- Welcher Übermittlungsmechanismus gilt, wenn Daten den EWR verlassen?
- Sind Standardvertragsklauseln verfügbar, wo erforderlich?
- Ist der Anbieter unter dem EU-US Data Privacy Framework zertifiziert, falls zutreffend?
- Sind forensische Berichte standardmäßig deaktiviert?
- Was ist die Standard-Aufbewahrungsfrist für Daten?
- Kann die Aufbewahrungsfrist verkürzt werden?
- Welche Zugriffskontrollen sind verfügbar?
- Sind Audit-Protokolle verfügbar?
- Veröffentlicht der Anbieter Transparenzberichte?
- Benachrichtigt der Anbieter Kunden über staatliche Zugriffsanfragen, wenn dies rechtlich zulässig ist?
- Wie werden Daten nach Vertragsbeendigung gelöscht?
- Können Kunden ihre Daten exportieren?
- Wie werden Backups gehandhabt?
- Unterstützt der Anbieter EU-fokussierte Bereitstellungsanforderungen?
Diese Fragen helfen dabei, eine vage Diskussion über Datenresidenz in eine praktische Anbieterbewertung umzuwandeln.
XVI. Prüfen Sie, ob Ihr DMARC-Anbieter in der EU oder außerhalb der EU ansässig ist
Viele EU-Unternehmen wissen nicht, wohin ihre DMARC-Berichte gesendet werden.
Eine Domain kann DMARC aktiviert haben, aber das Berichtsziel kann auf einen Nicht-EU-Anbieter, einen alten Anbieter, ein nicht verwaltetes Postfach oder einen Drittanbieter-Prozessor verweisen, der nie von Rechts-, Sicherheits- oder Compliance-Teams überprüft wurde.
Dies ist wichtig, da viele DMARC-Anbieter nicht in der EU ansässig sind.
Für EU-Organisationen sollten Standort und rechtliche Struktur des DMARC-Anbieters Teil der Anbieterrisikobewertung sein.
DMARC-Berichte können offenlegen:
- Autorisierte Absender
- E-Mail-Flüsse
- Authentifizierungsfehler
- Drittanbieter
- Domain-Schutzlücken
- Unbefugte Versandversuche
Diese Daten sollten nicht blind weitergeleitet werden.
Verwenden Sie den Scanner von Skysnag, um zu prüfen, ob Ihr DMARC-Berichtsziel auf einen EU- oder Nicht-EU-Anbieter verweist:
Der Scanner hilft dabei, Ihren aktuellen DMARC-Eintrag und Ihr Berichtsziel zu identifizieren, damit Ihr Team überprüfen kann, ob Ihr Anbieter Ihren DSGVO-, Datenresidenz- und internen Compliance-Erwartungen entspricht.
Ein öffentlicher Scan kann keine vollständige rechtliche oder Übermittlungsbewertung ersetzen. Er kann jedoch schnell zeigen, ob Ihre DMARC-Einrichtung eine tiefergehende Überprüfung verdient.
XVII. Wie Skysnag Protect hilft
Skysnag Protect hilft Organisationen bei der Implementierung von DMARC und erhält gleichzeitig Transparenz und Kontrolle über E-Mail-Authentifizierungsdaten.
Für EU-Organisationen kann Skysnag Protect die DMARC-Implementierung mit Compliance-fokussierten Kontrollen unterstützen, wie:
- DMARC-Überwachung
- Absenderidentifizierung
- Erkennung unbefugter Quellen
- SPF- und DKIM-Alignment-Transparenz
- Verfolgung der Durchsetzungsbereitschaft
- MTA-STS- und TLS-RPT-Unterstützung
- Berichterstattung für Sicherheits- und Compliance-Teams
- Data-Governance-Unterstützung für DMARC-Telemetrie
- Europäische Datenresidenzoptionen, wo erforderlich
Das Ziel ist nicht nur, einen DMARC-Eintrag zu veröffentlichen.
Das Ziel ist es, ein kontrolliertes E-Mail-Authentifizierungsprogramm aufzubauen, das Sicherheits-, Datenschutz- und Compliance-Erwartungen unterstützt.
Organisationen können hier mehr über Skysnag Protect erfahren:
XVIII. Wichtigste Erkenntnisse
Der US-amerikanische CLOUD Act ist kein DMARC-Gesetz und schafft keine spezifischen DMARC-Anforderungen.
Er kann jedoch relevant sein, wenn EU-Organisationen US-basierte oder US-kontrollierte Technologieanbieter zur Verarbeitung von DMARC-Berichtsdaten nutzen.
DMARC-Berichte können sensible operative Sicherheitstelemetrie offenlegen, einschließlich Absender, Anbieter, Authentifizierungsfehler, E-Mail-Flüsse und Domain-Schutzlücken.
EU-Organisationen sollten DMARC-Anbieter aus DSGVO-, Anbieterrisiko-, Übermittlungs- und Data-Governance-Perspektive bewerten.
Wichtige Prüfungsbereiche umfassen:
- Rechtliche Struktur
- Datenresidenz
- Verarbeitungsort
- Unterauftragsverarbeiter
- Übermittlungsmechanismen
- Zugriffskontrollen
- Aufbewahrung
- Forensische Berichterstattung
- Richtlinien für staatlichen Zugriff
Aggregierte DMARC-Berichterstattung sollte normalerweise die Standardeinstellung sein. Forensische Berichterstattung sollte nur nach rechtlicher, datenschutzrechtlicher und sicherheitstechnischer Überprüfung aktiviert werden.
Die Nutzung eines US-basierten Anbieters bedeutet nicht automatisch Nichteinhaltung, und die Nutzung eines EU-Rechenzentrums beseitigt nicht automatisch alle Risiken. Das vollständige Betriebsmodell ist wichtig.
Ein ausgereiftes DMARC-Programm sollte die Domain schützen und gleichzeitig die durch diesen Schutz erzeugten Daten kontrollieren.
Für EU-Organisationen lautet die richtige Frage nicht nur:
„Haben wir DMARC?“
Die stärkere Frage lautet:
„Wissen wir, wohin unsere DMARC-Daten gehen, wer darauf zugreifen kann und ob diese Verarbeitung im Rahmen unserer rechtlichen und Compliance-Verpflichtungen vertretbar ist?“
Wenn Sie ein EU-Unternehmen sind, beginnen Sie damit zu prüfen, wohin Ihre DMARC-Berichte gehen. Verwenden Sie den Scanner von Skysnag, um zu sehen, ob Ihr aktueller DMARC-Anbieter in der EU oder außerhalb der EU ansässig zu sein scheint: