2,77 Milliarden Dollar. So hoch waren laut dem jährlichen IC3-Bericht die vom FBI erfassten Verluste bei Business Email Compromise allein im Jahr 2024. Ein Teil dieser Angriffe war erfolgreich, obwohl die betroffenen Organisationen DMARC im Einsatz hatten. Das ist kein Paradoxon: DMARC schützt nur vor einer spezifischen Form des Missbrauchs, und das wissen die Angreifer. Die genauen Grenzen zu verstehen (die selbst in RFC 7489 dokumentiert sind), ist die Voraussetzung dafür, seine tatsächliche Abdeckung nicht zu überschätzen.
Was DMARC macht (und nichts anderes)
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein Protokoll, das auf SPF und DKIM basiert, um den empfangenden Mailservern Anweisungen zu geben: Emails zurückweisen, in Quarantäne stellen oder zustellen, deren Domain-Identität nicht verifiziert werden kann. Mit einer p=reject-Richtlinie wird jede Nachricht blockiert, deren Header From nicht einer autorisierten SPF- oder DKIM-Quelle entspricht. Dieser Schutz ist real, aber sein Umfang ist strikt auf die genaue Domänenfälschung beschränkt. In der RFC 7489 steht klipp und klar: „DMARC adressiert nicht die Verwendung von visuell ähnlichen Domainnamen oder den Missbrauch des für Menschen lesbaren Absendernamens.“ Fünf häufige Angriffsvektoren bleiben somit außer Reichweite.
Das Display-Name-Spoofing entgeht ihm völlig
Eine Email mit dem Header „Kundendienst Amazon <phishing@n0treal.com>“ passiert DMARC ohne Probleme. DMARC überprüft nur die technische Domain des Absenders, nicht den im Mail-Client angezeigten Namen. Der Angreifer behält einen Absendernamen, der mit einer vertrauten Marke identisch ist, verwendet dabei jedoch seine eigene korrekt authentifizierte Domain. Für den Endbenutzer zeigt die „Von“-Zeile genau das, was der Angreifer dort platzieren möchte. Dieser Vektor erfordert keine kompromittierte Infrastruktur und umgeht definitionsgemäß alle DMARC-Kontrollen: Die technische Domain wird nicht gefälscht, sie hat lediglich nichts mit dem angezeigten Namen zu tun.
Ähnliche Domains sind nicht betroffen
DMARC schützt example.com. Es sagt nichts über examp1e.com, example-support.com oder example.fr. Diese sogenannten „ähnlichen“ Domains (Typosquatting, lookalike domains) können ihren eigenen gültigen DMARC-Eintrag veröffentlichen, mit korrekt konfigurierten SPF- und DKIM-Einstellungen, und perfekt authentifizierte Emails von einer Domain senden, die einer legitimen Organisation zum Verwechseln ähnlich sieht. Das Problem ist von PowerDMARC dokumentiert: Diese Domains „umgehen häufig den Anwendungsbereich von DMARC“, weil das Protokoll keine Kontrolle über das hat, was es nicht steuert. Die Überwachung registrierter ähnlicher Domains fällt in andere Kategorien von Tools: Markenüberwachung, DNS-Überwachung, Analyse kürzlich ausgestellter SSL-Zertifikate.
Ein kompromittiertes Konto passiert DMARC ohne Alarm
Wenn ein Angreifer über Credential Stuffing, anfängliches Phishing oder einen Datenleck Zugriff auf ein legitimes E-Mail-Konto erhält, passieren alle seine ausgehenden Nachrichten SPF, DKIM und DMARC normal. Die Nachricht stammt von der richtigen Domain, signiert mit dem richtigen DKIM-Schlüssel, von einer autorisierten IP. DMARC unterscheidet nicht zwischen einem legitimen Mitarbeiter und einem Angreifer, der dessen Zugangsdaten gestohlen hat. Dies ist genau das Modus Operandi des BEC (Business Email Compromise): Die 2,77 Milliarden Dollar Verluste, die das FBI 2024 erfasste, betrafen Angriffe, bei denen die Email-Infrastruktur der Opfer oft korrekt konfiguriert war. DMARC hat nichts bemerkt, weil technisch nichts zu sehen war.
Das Weiterleiten von Emails kann die Authentifizierung beeinträchtigen
Wenn eine Nachricht einen zwischengeschalteten Dienst (Unternehmensalias, Mailingliste wie Mailman oder Listserv, automatische Weiterleitung) durchläuft, schlägt SPF fast immer fehl: Die IP des Relays ist nicht im SPF-Eintrag der ursprünglichen Domain aufgelistet. Wenn die Mailingliste den Nachrichtentext ändert (Fußzeile hinzugefügt, Disclaimer eingefügt), kann auch DKIM scheitern. Völlig legitime Emails werden abgelehnt oder in Quarantäne gestellt. Laut dmarcian stammen 21 % der in aggregierten Berichten beobachteten DMARC-Fehler aus diesem Brechen von DKIM durch Inhaltsänderung. Die Standardlösung ist ARC (Authenticated Received Chain), aber sie erfordert eine explizite Konfiguration auf der Seite des Relays. Die Mehrheit der Mailinglisten hat dies noch nicht implementiert.
Subdomains können blinde Flecken bleiben
Ein auf example.com veröffentlichter DMARC-Eintrag schützt nicht automatisch alle seine Subdomains. Standardmäßig erben mail.example.com oder newsletter.example.com die Richtlinie der übergeordneten Domain, es sei denn, es gibt einen spezifischen DMARC-Eintrag für diese Subdomain, in diesem Fall hat dieser Vorrang, selbst wenn er auf p=none steht. Eine vergessene Subdomain, die für das Monitoring konfiguriert ist, hebt den Schutz p=reject der Hauptdomain für diesen Bereich auf. Valimail gibt an, dass mehr als 80 % der Domains keine zwingende DMARC-Politik haben; unter denen, die eine haben, wird die Konsistenz zwischen Hauptdomain und Subdomains selten systematisch überprüft. Nicht genutzte „Park“-Domains bleiben ebenfalls verfügbare Angriffsflächen.
DMARC in einer realistischen Strategie
Diese fünf Grenzen machen DMARC nicht nutzlos. Im November 2025 begann Gmail, nicht konforme Bulk-Emails zurückzuweisen, und Valimail schätzt, dass die Durchsetzung von DMARC im Jahr 2024 265 Milliarden nicht authentifizierte Nachrichten eliminierte. Es ist ein notwendiges Fundament. Aber es ist nur ein Fundament. Eine realistische Abdeckung erfordert darüber hinaus: eine Lösung, die den Anzeigenamen analysieren und ähnliche Domains erkennen kann, einen Schutz vor der Kompromittierung von Konten (obligatorische MFA, Anomalieerkennung im Verhalten), eine ARC-Konfiguration für legitime Weiterleitungsströme und eine regelmäßige Überprüfung der Subdomains, einschließlich derjenigen, die als „inaktiv“ angesehen werden. DMARC schließt eine Tür. Bevor man die Arbeit als erledigt betrachtet, muss man die anderen zählen.
