DMARCPulse
Kostenlos starten
Alle Beiträge External Destination Verification: Warum deine DMARC-Reports lautlos verschwinden

External Destination Verification: Warum deine DMARC-Reports lautlos verschwinden

DMARCPulse Team

Was ist External Destination Verification?

Wenn du DMARC-Aggregate-Reports an eine externe E-Mail-Adresse schickst — also an eine Domain, die nicht deine eigene ist — greift ein Mechanismus, den viele übersehen: External Destination Verification (EDV). Die Idee dahinter ist simpel, aber folgenreich.

Der empfangende Mailserver prüft, ob die Zieldomain überhaupt bereit ist, Reports für deine Domain entgegenzunehmen. Ist das nicht explizit bestätigt, landen die Reports schlicht nirgendwo. Kein Fehler, keine Bounce-Mail, kein Hinweis. Stille.

Warum existiert dieser Mechanismus?

Ohne EDV könnte jeder beliebige Domain-Inhaber in seinem DMARC-Record eine fremde E-Mail-Adresse als Report-Ziel eintragen. Das wäre ein einfaches Mittel, um Dritte mit unerwünschten Daten zu fluten — oder schlimmer, sensible Informationen über den E-Mail-Traffic einer Organisation abzugreifen.

Der RFC 7489 (DMARC-Standard) hat deshalb festgelegt: Wenn rua= oder ruf= auf eine externe Domain zeigt, muss diese Domain aktiv zustimmen. Das passiert über einen DNS-TXT-Eintrag auf der Zieldomain.

Wie sieht die Zustimmung konkret aus?

Angenommen, deine Domain ist example.com und du willst Reports an reports@dmarc-tool.io schicken. Dann muss auf der Domain dmarc-tool.io folgender DNS-Eintrag existieren:

_report._dmarc.dmarc-tool.io  IN  TXT  "v=DMARC1"

Genauer gesagt lautet das vollständige Format:

example.com._report._dmarc.dmarc-tool.io  IN  TXT  "v=DMARC1"

Diese subdomain-spezifische Variante erlaubt der Zieldomain, Reports nur für bestimmte Absender-Domains zu akzeptieren. Fehlt dieser Eintrag, ignorieren konforme Mailserver die rua=-Adresse stillschweigend.

Das Problem in der Praxis

Das klingt nach einem Detail — ist aber in der Praxis einer der häufigsten Gründe, warum DMARC-Deployments keine Daten liefern.

Typische Szenarien:

  • Du verwendest ein externes DMARC-Monitoring-Tool und hast die rua=-Adresse des Anbieters eingetragen, aber der Anbieter hat den Verification-Record noch nicht gesetzt (oder du hast ihn für deine Domain nicht aktiviert).
  • Du leitest Reports an eine interne Abteilung weiter, die eine andere Domain betreibt.
  • Du wechselst den DMARC-Anbieter und trägst die neue Adresse ein — ohne zu prüfen, ob die neue Domain den Verification-Record kennt.

In allen Fällen: Die sendenden Mailserver versuchen, Reports zu liefern. Sie scheitern lautlos. Du siehst nichts.

Wie erkennst du das Problem?

Ein paar direkte Prüfschritte:

  • Schau in deinen DMARC-Record: Zeigt rua= auf eine externe Domain?
  • Prüfe per DNS-Lookup, ob der _report._dmarc-Eintrag auf der Zieldomain existiert.
  • Vergleiche: Bekommst du tatsächlich Reports, oder ist dein Dashboard seit Tagen leer?
  • Frag deinen DMARC-Anbieter explizit, ob der Verification-Record für deine Domain gesetzt ist.

Ein einfacher dig-Befehl reicht für die Prüfung:

dig TXT example.com._report._dmarc.dmarc-tool.io

Keine Antwort bedeutet: Reports werden nicht akzeptiert.

Was tun, wenn der Eintrag fehlt?

Wenn du selbst Kontrolle über die Zieldomain hast, setzt du den TXT-Eintrag selbst. Wenn du ein externes Tool nutzt, ist der Anbieter in der Pflicht — aber du musst nachfragen. Viele Tools setzen diesen Eintrag automatisch, sobald du deine Domain im Dashboard registrierst. Manche tun es nicht.

Falls du Reports an mehrere Adressen schickst (was RFC 7489 erlaubt), muss jede externe Zieldomain ihren eigenen Verification-Record haben.

Der blinde Fleck im DMARC-Deployment

EDV ist kein exotisches Edge-Case. Es ist ein regulärer Bestandteil des DMARC-Standards, der in der Praxis regelmäßig übersehen wird — gerade von technischen Praktikern, die den DMARC-Record sorgfältig aufgebaut haben, aber beim letzten Schritt stolpern.

Das Tückische: DMARC selbst funktioniert weiterhin. E-Mails werden geprüft, Policies werden durchgesetzt. Nur die Sichtbarkeit fehlt. Du fliegst blind — und merkst es oft erst, wenn du aktiv nachschaust.

Ein vollständiges DMARC-Monitoring bedeutet deshalb nicht nur, einen rua=-Eintrag zu setzen. Es bedeutet, zu wissen, dass die Reports auch wirklich ankommen.

Prüf jetzt, ob deine Domain korrekt konfiguriert ist — inklusive External Destination Verification: Kostenloser Domain-Check auf DMARCPulse