So kalkulieren und verpacken Sie DMARC-Services für Ihr MSP

TL;DR:

Dieser Leitfaden hilft MSPs dabei, DMARC in eine profitable, wiederkehrende Einnahmequelle zu verwandeln. Es werden vier Preismodelle behandelt (pro Domain, pro Benutzer, gestaffelte Bundles und Pauschalpreis), wobei „pro Domain“ und gestaffelte Bundles am besten geeignet sind.

Die empfohlene Paketstruktur folgt der DMARC-Reise: Monitoring (Einstiegspunkt bei p=none), Enforcement (Hauptumsatztreiber, Umstellung auf p=reject) und Premium (BIMI, MTA-STS, forensisches Reporting). Für den Marktzugang sollte mit Risiko und Compliance statt mit technischen Features geführt werden, kostenlose Domain-Bewertungen dienen als Türöffner und die laufenden Gebühren werden durch automatisierte Berichte gerechtfertigt. Die Plattformwahl ist entscheidend – Mandantenfähigkeit, dynamisches SPF und skalierbare Preise sind für die Margen wichtig, wenn Sie mehr als nur eine Handvoll Kunden bedienen.

---

DMARC entwickelt sich rasch zu einer der überzeugendsten Service-Erweiterungen, die ein MSP seinem Security-Portfolio hinzufügen kann. Die Nachfrage ist da: Organisationen aller Branchen benötigen E-Mail-Authentifizierung, die meisten haben aber nicht das Know-how für die interne Umsetzung, und Compliance-Deadlines wichtiger Postfachanbieter erhöhen den Druck bei Inaktivität. 

Für MSPs, die Preisgestaltung und Packaging richtig angehen, bietet DMARC einen margenstarken, wiederkehrenden Umsatzstrom mit eingebautem Upsell-Potenzial. Anbieter wie Red Sift OnDMARC liefern hierzu die mandantenfähige Infrastruktur für DMARC im großen Maßstab, aber die unternehmensstrategische Entscheidung, wie und was in welcher Stufe berechnet wird, ist ausschlaggebend dafür, ob die Servicesparte tatsächlich Profit erzielt.

Dieser Leitfaden analysiert funktionierende Preismodelle für DMARC-Services, beschreibt, wie sich gestaffelte Pakete strukturieren lassen, und behandelt die grundlegenden Vermarktungsstrategien, die profitable MSP-Angebote von solchen unterscheiden, die nach wenigen Kunden stagnieren.

Inhaltsverzeichnis

• Das Umsatzpotenzial von DMARC für MSPs
• Gängige Preismodelle für DMARC-Services
• DMARC als Service-Tiers verpacken
• Go-to-Market-Strategie aufbauen
• Die richtige DMARC-Plattform für Ihr MSP wählen
• DMARC-Services über den Kundenstamm skalieren
• FAQ

Das Geschäftsmodell für DMARC-Services basiert auf einer einfachen Realität: E-Mails bleiben der primäre Angriffsvektor für Cyberkriminelle, und die meisten Organisationen nutzen noch immer keine Authentifizierungsprotokolle gegen Domain-Spoofing. Das Internet Crime Complaint Center des FBI meldete allein 2023 Schäden von 2,9 Milliarden US-Dollar durch Business-E-Mail-Compromise [1]. Diese Zahl betrifft Organisationen, die kein DMARC-Enforcement hatten oder deren Implementierung unvollständig war und so von Angreifern umgangen werden konnte.

Verschärfte Compliance-Vorgaben erhöhen den Nachfragedruck weiter. Google verlangt inzwischen DMARC von Organisationen mit mehr als 5.000 täglichen E-Mails, wobei nicht konforme Nachrichten zunehmend abgewiesen werden [2]. Auch Yahoo und Microsoft haben ähnliche Anforderungen eingeführt. Für den Großteil der mittelständischen Unternehmen bedeutet die Umsetzung im eigenen Haus, sich ohne spezialisierte E-Mail-Security-Expertise durch DNS-Konfiguration, SPF-Record-Management und DKIM-Setup hindurchzuarbeiten.

Hier liegt die Chance für MSPs: Viele Unternehmen empfinden DMARC-Implementierung als zu komplex für interne Teams, und der Wunsch nach Auslagerung der E-Mail-Authentifizierung an einen Managed Service nimmt zu. Der Cybersecurity-Markt wächst jährlich um 18 % und übertrifft damit das allgemeine MSP-Wachstum von 14 % [3]. DMARC steht an der Schnittstelle von Sicherheit und Zustellbarkeit – daher startet das Verkaufsgespräch mit dem Aspekt Schutz, erweitert sich aber auf betriebliche Notwendigkeit.

Was DMARC als MSP-Services besonders attraktiv macht:

• Wiederkehrende Einnahmen: DMARC erfordert laufendes Monitoring, Analyse von Berichten und Wartung der Richtlinien – nicht nur einmalige Einrichtung
• Geringe Betriebskosten im großen Maßstab: Mandantenfähige Plattformen ermöglichen, dass ein Techniker Dutzende Kundendomains betreut
• Eingebaute Upsell-Möglichkeiten: Enforcement schaltet BIMI (Markenlogo-Anzeige), MTA-STS und weitere Domain-Security-Services frei
• Compliance-getriebene Nachfrage: Bulk-Sender-Anforderungen der großen Postfachanbieter erleichtern das Verkaufsgespräch
• Verbrauchsabhängiger Service: Ist eine Organisation erst bei DMARC-Enforcement angekommen, ist ein Providerwechsel sehr aufwändig

MSPs, die DMARC-Preise kalkulieren, können sich an etablierten Pricing-Modellen im Managed-Services-Bereich orientieren und diese auf die Domain-zentriere E-Mail-Authentifizierung anpassen. Der breite MSP-Markt favorisiert Preise pro Benutzer, mit Standardpaketen zwischen 110 und 175 US-Dollar pro Nutzer/Monat sowie erweiterten Security-Tiers mit Preisen von 175 bis 400 US-Dollar [4]. DMARC-Services funktionieren jedoch anders, da die Leistungseinheit die Domain – und nicht der Nutzer – ist.

Pro-Domain-Pricing eignet sich besonders gut für DMARC-Dienstleistungen, da der Aufwand mit der Anzahl der Domains und nicht mit der Anzahl der Mitarbeitenden wächst. Eine Organisation mit 500 Mitarbeitenden und zwei Domains benötigt weniger DMARC-Betreuung als eine mit 50 Mitarbeitenden und fünfzehn Domains. Das Modell bildet diese Realität ab.

Nachteil: Die Marge ist bei Einzel-Domain-Kunden gering. MSPs sollten Mindestvertragswerte anstreben oder Einzel-Domain-DMARC als Teil eines größeren Security-Pakets und nicht als Einzelservice anbieten.

Für MSPs mit bestehender Abrechnung pro Nutzer im Managed Security Bereich vereinfacht die Integration von DMARC in den bestehenden Preis die Kundensprache. Risiko: DMARC wird „unsichtbar“ im Paket und der spezifische Mehrwert lässt sich schwer isoliert begründen, insbesondere bei Preiserhöhungen durch neue Enforcement-Funktionen.

Mit gestaffelten Paketen erhalten MSPs größtmögliche Flexibilität und eine klare Upsell-Option. Jede Stufe entspricht einer klar definierten DMARC-Reifestufe – vom Monitoring über vollständiges Enforcement bis zu weiteren Features. Besonders effizient ist dieses Modell in Kombination mit Plattformpartnern, die skalierbare MSP-Preise entlang des Domain-Volumens bieten.

Eine effektive Tiers-Struktur spiegelt die DMARC-Implementierungsreise wider. Jedes Paket sollte einen bedeutsamen Schutz-Schritt darstellen mit nachvollziehbaren Gründen, zur nächsten Stufe zu wechseln.

Zentrale Prinzipien für Pakete:

• Monitoring ist der Türöffner, nicht das Ziel: Preislich attraktiv gestalten, um Gespräche zu starten – so gestalten, dass die Kunden nach spätestens 60-90 Tagen, wenn die Reports die Lücke zwischen Monitoring und tatsächlichem Schutz zeigen, von sich aus weitergehen wollen.
• Enforcement ist der Umsatzbringer: Diese Stufe liefert den deutlichsten Mehrwert: Statt nur Alarm zu schlagen, werden Bedrohungen aufgehalten. Der Weg zum DMARC-Enforcement dauert mit der richtigen Plattform in der Regel 6–8 Wochen – ein klares, kalkulierbares Angebotsprojekt.
• Premium monetarisiert laufenden Wert: Nach Enforcement bringt BIMI Markenpräsenz in kompatiblen Clients, forensische Berichte liefern laufende Erkenntnisse. Dieses Paket rechtfertigt eine weitere Gebühr nach Abschluss des Enforcement-Projekts.

DMARC lässt sich problemlos mit anderen Security-Services eines MSP kombinieren. Bestehende Kunden mit Endpoint-Protection, Mail-Filterung oder Identity Management können leicht für ein Upsell angesprochen werden. Positionieren Sie DMARC als ausgehendes Pendant zur eingehenden E-Mail-Security: Filter stoppen eingehende Bedrohungen, DMARC schützt davor, dass Angreifer Mails im Namen des Kunden versenden.

Die meisten Entscheider, die DMARC-Services bewerten, sind keine DNS-Profis. Das Gespräch sollte sich an Geschäftsergebnissen orientieren: Markenreputation schützen, Anforderungen der Postfachanbieter erfüllen, finanzielle Schäden durch Spoofing verhindern. Technische Details wie SPF-Management oder DKIM-Key-Rotation sind für das Umsetzungsteam relevant, nicht für den Einkäufer.

Effektive Verkaufstrigger:

• Compliance-Deadlines: „Google lehnt nicht authentifizierte Massen-E-Mails ab – betrifft das Ihre Kunden?“
• Incident Response: Ein Phishing-Angriff, bei dem eine Kundendomäne gefälscht wird, schafft sofortige Dringlichkeit
• Sicherheitsaudits von Lieferanten: Viele Unternehmen prüfen inzwischen DMARC-Status bei neuen Anbietern
• Versicherungsvorgaben: Cyber-Versicherungen berücksichtigen E-Mail-Authentifizierung zunehmend bei der Risikoanalyse

Kostenlose Domain-Assessments verwandeln Interessenten in Gesprächspartner. Tools wie Red Sift Investigate erlauben MSPs, DMARC-, SPF- und DKIM-Status einer Domain in Sekunden zu prüfen. Eine solche Analyse im Verkaufstermin liefert sofort greifbare visuelle Fakten, die der Interessent selbst sieht.

Das funktioniert, weil das Gespräch damit von abstraktem Risiko auf greifbare Ergebnisse wechselt. Wer bei einem Live-Check sieht, dass seine Domain die Authentifizierungsprüfung nicht besteht, ist viel offener als für reine Branchendaten.

Kundenorientierte Berichte sind essenziell, um laufende DMARC-Fees zu begründen. Gute Reports zeigen:

1. Bedrohungsvolumen: Wie viele unerlaubte Sendeversuche wurden blockiert?
2. Compliance-Status: Aktuelles Policylevel und Fortschritt Richtung Enforcement
3. Sender-Inventar: Alle Services, die im Namen der Domain E-Mails senden
4. Zustellbarkeitsauswirkung: Rate der erfolgreichen Authentifizierung und etwaige Konfigurationsprobleme

Monatliches Reporting macht DMARC vom unsichtbaren Background-Service zum sichtbaren, messbaren Security-Ergebnis. Wer sein Reporting automatisiert, senkt interne Kosten und hält den Kundenkontakt hoch.

Die Wahl der Plattform hat direkten Einfluss auf Lieferkosten, Geschwindigkeit zur Umsetzung und Skalierbarkeit. Falsche Tools verursachen manuellen Aufwand und senken die Margen mit wachsendem Kundenbestand.

Wichtige Plattform-Features für MSPs:

• Mandantenverwaltung: Alle Kundendomains in einer Konsole mit sauberer Datenabtrennung
• Dynamisches SPF: Automatische Verwaltung der SPF-Records, um Lookup-Limits zu vermeiden
• API-First-Architektur: Integration in bestehende PSA/RMM-Tools für Workflow-Automatisierung
• Skalierbare Preise: Volumenrabatte, die die Margen mit wachsendem Domainbestand verbessern
• Umsetzungsunterstützung: Spezielles Partnerprogramm, nicht nur Self-Service-Doku

Red Sift OnDMARC erfüllt diese Anforderungen durch ein speziell entwickeltes MSP-Partnerprogramm mit mandantenfähigem Dashboard, umfassendem API-Zugang und Pauschalpreisen für Service Provider. Die Plattform erreicht DMARC-Enforcement im Schnitt in 6–8 Wochen – mit direktem Einfluss auf die Time-to-Revenue pro Kunde.

Dynamic SPF beseitigt das häufigste technische Hindernis beim Enforcement. Neue E-Mail-Services der Kunden werden automatisch im SPF-Record ergänzt, ohne manuelle DNS-Änderungen oder Lookup-Überschreitungen. Bei Dutzenden Kundendomains spart diese Automatisierung erheblichen Aufwand.

Wiederholbare Abläufe sorgen für kalkulierbare Kosten im Wachstum. Ein standardisiertes DMARC-Onboarding sollte enthalten:

1. Domain-Audit: Prüfung von DMARC-, SPF- und DKIM-Konfiguration
2. Sender-Ermittlung: Alle legitimen E-Mail-Dienstleister für die Domain identifizieren
3. Record-Deployment: DMARC mit p=none veröffentlichen und Berichterfassung starten
4. Authentication-Remediation: SPF und DKIM pro Sender korrekt konfigurieren
5. Policy-Progression: Schrittweise Umstellung von Quarantine zu Reject basierend auf Reports
6. Laufendes Monitoring: Automatische Alerts bei neuen Sendervorfällen, Konfigurationsänderungen und Spoofing-Versuchen

Jeder Schritt hat messbare Ein- und Austrittskriterien und eine Schätzzeit. So können Angebote sauber kalkuliert und das Team passend besetzt werden – egal ob zehn oder hundert Domains zu betreuen sind.

Nach Erreichen von Enforcement lässt sich der Service einfach um angrenzende Security-Bereiche erweitern. BIMI bringt Markenlogo-Präsenz in kompatiblen Clients und messbaren Marketingwert. DNS-Monitoring und Erkennung von Domain-Imitationen sind passende Erweiterungen, die die Kundenbindung erhöhen und Zusatzumsätze liefern – ohne komplett neue Vertriebszyklen.

Die Kombination aus DMARC-Enforcement, fortschrittlichem DNS-Schutz und Markenüberwachung positioniert MSPs als ganzheitlichen Domain-Security-Partner statt Anbieter von Einzellösungen.

[1] FBI IC3. „FBI Internet Crime Complaint Center 2023 Annual Report." FBI.gov, 2023. https://www.ic3.gov/AnnualReport/Reports/2023_IC3Report.pdf 

[2] Google. „Email sender guidelines." Google Workspace Admin Help, 2024. https://support.google.com/a/answer/81126 

[3] Channel Partners. „MSP Market Trends 2026.” channelpartners.net, 2026. https://channelpartners.net/market-trends-msps-2026/ 

[4] Solution Builders. „Ultimate 2026 Guide to Managed IT Services Pricing.” solutionbuilders.com, 2026. https://solutionbuilders.com/technology/2026-guide-to-managed-it-services-pricing/

DMARC-Services haben hohe Margen, weil die Bereitstellungskosten mit steigendem Portfolio sinken. Mandantenfähige Plattformen ermöglichen, dass ein Techniker viele Kundendomains gleichzeitig betreut. Automatisierte Reportings senken den laufenden Arbeitsaufwand. Das Erstprojekt (Enforcement) bringt Projektumsatz, laufendes Monitoring generiert wiederkehrende Einnahmen.

Der Preis hängt von Service-Stufe und Komplexität beim Kunden ab. Monitoring-Only-Pakete rangieren am unteren Preisspektrum, vollständiges Enforcement und Premium mit BIMI erzielen höhere Gebühren. Das Modell pro Domain ist für DMARC am natürlichsten, viele MSPs bündeln es aber auch in breiteren Pro-User-Security-Paketen.

Mit der richtigen Plattform erreichen MSPs in 6–8 Wochen für die meisten Organisationen vollständiges DMARC-Enforcement (p=reject). Der Zeitbedarf hängt davon ab, wie viele E-Mail-Dienste zu authentifizieren sind und wie schnell der Kunde Konfigurationsänderungen freigibt. Bei komplexen Umgebungen mit vielen Sendequellen dauert es länger.

Plattformen mit geführten Workflows und automatischer Sender-Erkennung senken die Eintrittshürde deutlich. Grundkenntnisse zu DNS und E-Mail-Authentifizierung sind hilfreich, spezialisierte DMARC-Plattformen übernehmen aber die komplexe Analyse und zeigen klare Korrekturmaßnahmen pro Konfigurationsfehler auf.

Am wichtigsten sind Mandantenverwaltung, dynamisches SPF-Handling, API-Integrationsfähigkeit, skalierbare Preise und reaktiver Support durch das Partnerteam des Anbieters. MSPs sollten Tools daran messen, wie effizient 50–100+ Domains verwaltet werden können, nicht nur an der Einzelinstallation beim Endkunden.