Blog

Die Geschichte von DMARC

Juli 14, 2025  |  4 Min. Lesezeit
Explore the history of DMARC, from its creation to widespread adoption, and understand how it has evolved to combat phishing and improve email security worldwide.

E-Mails sind seit Jahrzehnten ein Eckpfeiler der geschäftlichen Kommunikation, doch lange Zeit fehlte es ihnen an der nötigen Authentifizierung, um Cyberbedrohungen zu verhindern. Diese Schwachstelle ermöglichte es Angreifern, Absender zu fälschen und Marken zu imitieren, was weit verbreiteten Phishing und E-Mail-Betrug förderte und Unternehmen Milliarden kostete.

Um dem entgegenzuwirken, wurde DMARC (Domain-based Message Authentication, Reporting, and Conformance) als Protokoll eingeführt, um Absenderidentitäten zu überprüfen und Domains vor Missbrauch zu schützen. Seit seiner Einführung hat sich DMARC erheblich weiterentwickelt, und ab 2024 und 2025 erzwingen große E-Mail-Anbieter seine Anwendung, wodurch E-Mail-Authentifizierung zu einem entscheidenden Bestandteil der Unternehmenssicherheit wird.

In diesem Blog beleuchten wir die Ursprünge von DMARC, seine Entwicklung im Laufe der Zeit und warum die Implementierung heute für alle Unternehmen unerlässlich ist.

Was ist DMARC (und warum es existiert)

DMARC ist ein E-Mail-Authentifizierungsprotokoll, das mit SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) zusammenarbeitet, um zu überprüfen, ob der Absender berechtigt ist, eine Domain zu verwenden.

Es wurde als Reaktion auf den Anstieg von Phishing-Angriffen und Domain-Spoofing entwickelt. Ohne DMARC kann jeder eine E-Mail „von“ Ihrer Domain senden, was das Vertrauen der Kunden untergräbt und Ihre Marke gefährdet.

Die Entwicklung von DMARC: Eine Zeitleiste

2010–2011: Die Geburt von DMARC

Obwohl SPF und DKIM die E-Mail-Sicherheit verbesserten, adressierten sie Spoofing und Phishing nur teilweise. Dies führte zur Entwicklung von DMARC – Domain-based Message Authentication, Reporting, and Conformance. Im Jahr 2010 arbeiteten große Branchenakteure wie PayPal, Microsoft, Google und Yahoo! zusammen, um DMARC zu entwickeln und Domaininhabern mehr Kontrolle sowie Rückmeldungen zur E-Mail-Authentifizierung zu ermöglichen.

Die erste DMARC-Spezifikation wurde am 30. Januar 2012 veröffentlicht und stellte einen neuen Meilenstein in der E-Mail-Sicherheit dar.

2012–2020: Die langsame Einführungsphase

Trotz seines Potenzials verlief die Einführung von DMARC langsam, was auf technische Komplexität und mangelndes Bewusstsein zurückzuführen war. Viele Organisationen hatten nicht das Fachwissen, um SPF und DKIM umzusetzen – Voraussetzungen für die Implementierung von DMARC. Große Finanzinstitute und Technologieunternehmen begannen mit der Einführung von DMARC. Dennoch blieb die Einführung freiwillig. Viele Unternehmen betrachteten es als „nice to have“, aber nicht als essenziell.

In den Jahren 2015 und 2016 begannen Branchengrößen wie Google und Yahoo!, strengere DMARC-Richtlinien durchzusetzen, was darauf hinwies, dass Domains ohne DMARC mit Zustellbarkeitsproblemen rechnen mussten.

2021–2023: Anstieg von Spoofing-Angriffen

Liniendiagramm, das den Anstieg der weltweit erkannten Phishing-E-Mails zeigt – von 1,44 Millionen im Januar 2022 auf 9,45 Millionen im Dezember 2023.
Anzahl der weltweit erkannten Phishing-E-Mails von Januar 2022 bis Dezember 2023

Im Dezember 2023 erreichen Spoofing und Phishing Rekordwerte mit 9,45 Millionen weltweit erkannten Phishing-E-Mails, gegenüber 5,59 Millionen im September (Statista). Mit dem wachsenden Druck in der Branche wird die DMARC-Transparenz zunehmend in Cybersicherheitslösungen integriert, obwohl die Durchsetzung selten bleibt. Skysnags All-in-One-Plattform automatisiert die DMARC-Durchsetzung und hilft Unternehmen, sich innerhalb weniger Tage vollständig gegen Spoofing-Angriffe zu schützen – nicht erst nach Monaten.

Kostenlose Testversion starten

Februar 2024: Google und Yahoo setzen DMARC für Bulk-Versender durch

Google und Yahoo geben bekannt, dass Massenversender (mit mehr als 5.000 E-Mails pro Tag) eine gültige DMARC-Richtlinie haben müssen, andernfalls werden ihre E-Mails abgelehnt oder im Spam-Ordner landen.

Erforderlich sind:

  • Eine Domain mit gültigem SPF- und DKIM-Eintrag
  • Eine DMARC-Richtlinie (mindestens) p=none)
  • TLS-Verschlüsselung
  • Ein-Klick-Abmeldung

Die Nichteinhaltung der Anforderungen von Google und Yahoo für E-Mail-Versender führt zu Reputationsschäden und Zustellfehlern.

Mai 2025: Microsoft schließt sich der Initiative für DMARC-Konformität an

Microsoft beginnt am 5. Mai 2025 mit der aktiven Durchsetzung von DMARC für Geschäftssender über Outlook und Exchange Online. Authentifizierte E-Mails werden zum Standard, selbst für Versender mit geringem Volumen.

Ab diesem Datum weist Microsoft E-Mails zurück, die die strengen Authentifizierungsanforderungen nicht erfüllen. Wenn eine Domain die DMARC-Ausrichtung mit SPF oder DKIM nicht besteht, kann folgender Fehler auftreten:

550 5.7.515 Zugriff verweigert, die absendende Domain [IhreDomain] erfüllt nicht das erforderliche Authentifizierungsniveau.

Warum das jetzt wichtig ist

Wenn Sie E-Mails versenden – sei es über HubSpot, Mailchimp, Google Workspace oder Ihre eigenen Server – müssen Sie diese Plattformen ausdrücklich in den DNS-Einträgen Ihrer Domain autorisieren.

Ohne diese Autorisierung:

  • Ihre E-Mails könnten als Spam markiert oder vollständig abgelehnt werden
  • Sie verlieren die Sichtbarkeit darüber, wer Ihre Domain fälscht
  • Ihre Domain kann auf schwarzen Listen landen
  • Sie verlieren die Kontrolle über den E-Mail-Ruf Ihrer Marke

Die Rolle von SPF, DKIM, MTA-STS, TLS-RPT und BIMI

Obwohl DMARC die meiste Aufmerksamkeit erhält, ist es Teil einer vollständigen Suite von Authentifizierungsprotokollen, die zusammen:

  • Authentifizieren Ihre Identität (SPF, DKIM)
  • Sichern die Verbindung (MTA-STS, TLS-RPT)
  • Stärken das visuelle Vertrauen (BIMI, mit Ihrem Logo und einem verifizierten blauen Häkchen)

Diese Protokolle arbeiten zusammen, um Ihre Domain zu sichern, die Zustellbarkeit zu verbessern und sicherzustellen, dass Ihre E-Mails dort ankommen, wo sie hingehören: im Posteingang.

Abschließende Gedanken: E-Mail-Authentifizierung ist kein Optional

Die Botschaft von Google, Yahoo und Microsoft ist eindeutig: Authentifizieren Sie sich – oder riskieren Sie, blockiert zu werden.

DMARC und verwandte Protokolle sind keine Best Practices mehr, sondern grundlegende Anforderungen. Wenn Sie es noch nicht getan haben, ist jetzt der richtige Zeitpunkt, Ihre Domain korrekt zu konfigurieren, Ihre DMARC-Richtlinie durchzusetzen und Ihren Ruf zu schützen.

Skysnag automatisiert den gesamten E-Mail-Authentifizierungsprozess – von der Einrichtung von SPF, DKIM und DMARC bis hin zu MTA-STS, TLS-RPT, BIMI und Blacklist-Überwachung – alles mit nur wenigen Klicks und ganz ohne technisches Fachwissen.

Melden Sie sich jetzt an und testen Sie es kostenlos oder erhalten Sie in weniger als 30 Sekunden einen Domain-Gesundheitsbericht.

Das könnte Sie auch interessieren:

BUCHEN SIE EINE PERSONALISIERTE DEMO

Sind Sie bereit, Skysnag in Aktion zu sehen?

Skysnag schützt Ihre Organisation vor Cyberbedrohungen und bietet eine klare Übersicht über Ihre E-Mail-Umgebung.

Demo anfordern
Dashboard-Demo

Überprüfen Sie die DMARC-Sicherheitskonformität Ihrer Domain

Abonnieren Sie unseren monatlichen Newsletter