Red Sifts Leitfaden zur weltweiten DMARC-Einführung

Zuletzt aktualisiert: Januar 2026

Domain-based Message Authentication, Reporting, and Conformance (DMARC) gibt Domaininhabern Kontrolle darüber, wie E-Mail-Empfänger mit nicht authentifizierten Nachrichten umgehen, verhindert Spoofing und schützt ausgehende Kommunikation. Doch damit DMARC das Internet tatsächlich sicherer macht, muss die Einführung weltweit geschehen. Ein fragmentierter Ansatz hinterlässt Angriffsflächen, die Täter ausnutzen können.

Universelle Durchsetzung von DMARC würde:

• Cybersicherheit stärken: Eine großflächige Einführung von Quarantäne- oder Ablehnungsrichtlinien würde Phishing- und Spoofing-Angriffe drastisch reduzieren.
• Vertrauen schaffen: Die Sicherstellung, dass legitime E-Mails nicht fälschlicherweise als Spam markiert werden, schützt Kundenbeziehungen und den Markenruf.
• Compliance vereinfachen: DMARC hilft Unternehmen, den sich entwickelnden Anforderungen an Cybersicherheit nachzukommen, einschließlich der Microsoft, Google und Yahoo Bulk Sender-Anforderungen.
• Zusammenarbeit fördern: Ein globaler Standard für E-Mail-Sicherheit nützt sowohl dem öffentlichen als auch dem privaten Sektor und schützt Absender und Empfänger gleichermaßen.

Trotz zunehmendem Bewusstsein ist die DMARC-Einführung weltweit weiterhin gering. Stand Dezember 2025 haben nur 14,9 % der Domains aus einer Stichprobe von 73,3* Millionen Domains ihre DMARC-Reise begonnen, indem sie eine Richtlinie von mindestens p=none (Reporting) implementiert haben. Immerhin gibt es positive Entwicklungen: seit Februar 2025 ist die Zahl um 5,2 % gestiegen.

Der Anteil der Domains, die die strengste und sicherste DMARC-Richtlinie (p=reject) durchsetzen, beträgt 2,5 % (rund 1,8 Millionen). Erschreckende 83,9 % aller analysierten Domains besitzen jedoch keinen sichtbaren DMARC-Eintrag. Diese Lücke verdeutlicht den dringenden Bedarf an stärkerer Durchsetzung und breiterer Einführung, um Unternehmen und Einzelpersonen vor Bedrohungen per E-Mail zu schützen.

*Die Stichprobe stammt von den weltweit am häufigsten genutzten/aufgerufenen Websites.

Untersuchungen von Red Sift haben 73+ Millionen Domains einiger der größten börsennotierten Unternehmen, Indizes und regulierter Gruppen weltweit betrachtet. Nachfolgend eine Aufschlüsselung nach den größten börsennotierten Unternehmen, unterteilt nach Ländern für die DMARC-Bereitschaft (das heißt Domains, die die für BIMI – Brand Indicators for Message Identification – erforderliche DMARC-Richtlinie haben, also mindestens p=quarantine oder p=reject).

*Datenstand: Januar 2026.

Der Ausblick für die größten börsennotierten Unternehmen hat sich seit Februar 2025 verbessert: In 19 von 28 Ländern liegt die DMARC-Durchsetzung bei über 50 %. Die Vereinigten Staaten, Indien und Australien verzeichnen die stärkste Einführung, bei allen weltweit nachgehaltenen börsennotierten Unternehmen beträgt die Bereitschaft 57,6 %.

Dennoch haben einige Länder noch einen langen Weg vor sich. Die größten Lücken in der Durchsetzung bestehen bei:

• Südkorea: Nur 10,1 % der börsennotierten Unternehmen haben p=reject umgesetzt. Das ist ein Plus von 4 % zum Vorjahr.
• Japan: Nur 25 % haben p=quarantine oder p=reject erreicht, ein Zuwachs von 4,3 % seit Februar 2025.
• Thailand: Die Durchsetzung liegt bei nur 31,3 %, ein Anstieg um 4 %.

Während die globale Einführung in die richtige Richtung geht, verdeutlichen diese Unterschiede den Bedarf nach stärkeren brancheneinheitlichen und regulatorischen Maßnahmen, um Lücken zu schließen und E-Mail-Sicherheit weltweit zu gewährleisten.

Red Sift erhebt auch Daten zu SEC-regulierten Gruppen, Aktienmärkten und amerikanischen Marktindizes. Nachfolgend ein Leistungsvergleich nach Markt bzw. Gruppe.

*Datenstand: Januar 2025.

Börsenindizes gehen beim DMARC-Vollzug voran und erreichen alle mindestens 50 % p=reject-Umsetzung. S&P 500 und Fortune 500 stechen mit einem DMARC-Bereitschaftswert von 81 % bzw. 81,2 % hervor und zeigen starke Cybersicherheitspraktiken unter den größten börsennotierten US-Unternehmen.

Allerdings hinken von der SEC regulierte Unternehmen deutlich hinterher: Nur 30,8 % erreichen BIMI-Bereitschaft (DMARC p=quarantine oder p=reject). Diese Lücke zeigt, dass stärkerer regulatorischer Druck und branchenweite Umsetzung notwendig sind, um Finanzunternehmen besser vor E-Mail-basierten Bedrohungen zu schützen.

Viele Länder verfügen bereits über Cybersicherheits- und Datenschutzregeln, die als Grundlage für die Durchsetzung von DMARC dienen könnten. Zum Beispiel:

• General Data Protection Regulation (GDPR) in der Europäischen Union betont Datensicherheit und könnte um Anforderungen an E-Mail-Authentifizierung erweitert werden.
• California Consumer Privacy Act (CCPA) in den USA konzentriert sich auf den Schutz von Verbraucherdaten, dazu können auch proaktive Maßnahmen wie die Einführung von DMARC zählen.
• Digital Operational Resilience Act (DORA) in der EU schreibt robuste Cybersicherheitspraktiken für Finanzinstitute vor, einschließlich Empfehlungen zur Implementierung von DMARC.
• Das National Institute of Standards and Technology (NIST) empfiehlt explizit DMARC, SPF und DKIM zur Verhinderung von Phishing und Spoofing. Veröffentlichungen wie NIST 800-177 und 800-53 betonen die Durchsetzung von p=reject, damit nur authentifizierte E-Mails zugestellt werden.

Die DMARC-Übernahme nimmt weltweit stetig zu, da Regierungen und Cybersicherheitsorganisationen die Rolle bei der Verhinderung von E-Mail-Betrug erkannt haben.

Die Internet Engineering Task Force (IETF) und die Global Cyber Alliance (GCA) haben DMARC-Standards entwickelt, während das European Cybercrime Centre (EC3) aktiv die Verbreitung von DMARC, SPF und DKIM vorantreibt.

Viele Regierungen und Regulierungsbehörden betrachten DMARC inzwischen als Basisanforderung für E-Mail-Hygiene und nicht mehr als optionale Best Practice. Diese Vorgaben zeigen, dass authentifizierte, durch Richtlinien geschützte E-Mails zunehmend Mindestanforderung für den öffentlichen Sektor und risikoreiche Domains sind.​

• Im Vereinigten Königreich verlangen das Regierungs-Handbuch für Cybersicherheitspolitik und die Anleitung „Securing government email“, dass Regierungsdomains DMARC neben SPF, DKIM und TLS-Schutz implementieren. In den USA verpflichtet die Binding Operational Directive 18‑01 der CISA Bundesbehörden zur Umsetzung von DMARC mit p=reject-Richtline in Verbindung mit SPF und DKIM.​
• Niederlande und Neuseeland führten ab 2018 nationale Vorgaben ein, die DMARC für Regierungsdomains verpflichtend machen und damit E-Mails im öffentlichen Sektor von nicht authentifiziertem Versand abgrenzen. Neuseeland hat dies mit der expliziten Vorgabe untermauert, dass Regierungsbehörden Domains mit SPF, DKIM und DMARC im Informationssicherheits-Handbuch schützen müssen.​
• Dänemark verpflichtet alle Regierungsbehörden zur DMARC-Durchsetzung bei p=reject, was zu einer der höchsten Umsetzungsraten Europas beiträgt. Kanada schreibt SPF, DKIM und DMARC für Behörden-E-Mails per Regelwerk und zugehöriger Anleitung vor.​
• Die australischen Behörden empfehlen in den E-Mail-Sicherheitsvorgaben DMARC mit p=reject-Richtlinie für Behörden und machen dies damit de facto zur Voraussetzung für konforme Implementierungen. Zusammengenommen zeigen diese staatlichen Vorgaben, regulatorischen Rahmenwerke und Regeln der Postfächer-Provider, dass DMARC vom „Best Practice“ zum globalen Standard für vertrauenswürdige Zustellung geworden ist.

Red Sift empfiehlt:

Eine Partnerschaft mit internationalen Cybersicherheitsorganisationen ist entscheidend, um die DMARC-Verbreitung zu erhöhen und E-Mail-basierte Bedrohungen wie Phishing, E-Mail-Betrug und Business Email Compromise (BEC) zu bekämpfen.

Das European Cybercrime Centre (EC3), gegründet von Europol, ist eine treibende Kraft für Cybersicherheit in der EU. Es fördert die Verbreitung von DMARC, SPF und DKIM, arbeitet mit Strafverfolgung, Experten und Industrie zusammen und bekämpft E-Mail-Spoofing und Domain-Imitation. EC3 betreibt auch die No More Ransom-Initiative, die seit 2016 international Cyberkriminalität bekämpft.

Über Europa hinaus könnten Organisationen wie die Vereinten Nationen (UN) und die International Telecommunication Union (ITU) eine verpflichtende DMARC-Einführung bei ihren Mitgliedern vorantreiben und einen globalen Standard für E-Mail-Authentifizierung etablieren. Auch Nichtregierungsorganisationen spielen eine Rolle, indem sie sich für Richtlinien einsetzen, die Menschen und Unternehmen vor Cyberbedrohungen schützen und das Internet als sicheren Kommunikationsraum erhalten.

• USA: Die USA haben im öffentlichen Sektor große Fortschritte bei der DMARC-Einführung gemacht. Das Department of Homeland Security (DHS) verpflichtet Bundesbehörden zu DMARC, aber in der Privatwirtschaft besteht Nachholbedarf.
• Kanada: Auch Kanada verzeichnet Fortschritte, mit Unterstützung des Canadian Centre for Cyber Security (CCCS).

Red Sift empfiehlt:

Bundesweite Vorschriften sollten auf Privatunternehmen ausgeweitet werden, insbesondere in kritischen Bereichen wie Finanzen, Telekommunikation, Energie und Gesundheit.

• Europäische Union: Der Fokus der EU auf Cybersicherheit, z. B. in DORA und der NIS2-Richtlinie, bildet eine solide Basis für die Durchsetzung von DMARC und schreibt umfangreiche Cyberhygiene-Praktiken für bestimmte Organisationen vor.
• Vereinigtes Königreich: Das National Cyber Security Centre (NCSC) ist führend in der Förderung von DMARC.

Red Sift empfiehlt:

Um die E-Mail-Sicherheit in Europa zu stärken, sollten DMARC-Vorgaben in bestehende EU-Richtlinien integriert werden, um eine weite Umsetzung zu gewährleisten. Förderprogramme für kleine und mittlere Unternehmen (KMU) könnten finanzielle Hürden abbauen und die Einführung von E-Mail-Sicherheitsprotokollen erleichtern.

Auch die britische Regierung kann bei der DMARC-Umsetzung vorangehen, indem sie Organisationen nicht nur aufklärt, sondern dem Privatsektor zusätzlich subventionierte Förderungen für britische KMU bietet. Wenn DMARC-Einführung erleichtert wird, können sowohl EU als auch UK besseren Cybersicherheitsstandards, weniger Phishing und Schutz für Unternehmen vorantreiben.

• Indien: Die indische Regierung hat DMARC für eigene Domains vorgeschrieben, im Privatsektor steht die Verbreitung jedoch am Anfang.
• Australien: Das Australian Cyber Security Centre (ACSC) hat Richtlinien für DMARC veröffentlicht, eine Durchsetzung fehlt allerdings noch.

Red Sift empfiehlt:

Regierungen können die Umsetzung beschleunigen, indem sie mit öffentlichen und privaten Partnern Aufklärungskampagnen durchführen.

Ein starkes Beispiel liefert das britische NCSC, das durch das Mail Check-Programm Behörden und Unternehmen zum DMARC-Einsatz bei p=reject motivierte und so Spoofing deutlich reduzierte.

• Afrika: Viele afrikanische Länder fehlt Infrastruktur und Ressourcen für DMARC, aber einzelne Sektoren wie Finanzen verbessern sich.
• Lateinamerika: In Ländern wie Brasilien und Mexiko gibt es Fortschritte bei Cybersicherheit, aber der Rahmen für DMARC ist noch ausbaufähig.

Red Sift empfiehlt:

Entwicklungsländer brauchen finanzielle und technische Unterstützung, denn begrenzte Ressourcen erschweren die Einhaltung von verpflichtenden E-Mail-Sicherheitsvorgaben. Ohne Umsetzung bleiben diese Regionen anfällig für Phishing, Spoofing und Cyberbedrohungen.

Internationale Organisationen sollten mit Finanzhilfen, technischer Unterstützung und Schulungen helfen, damit Unternehmen und Behörden DMARC effektiv einführen. Mit zugänglichen Ressourcen können weltweit mehr Schutzmaßnahmen umgesetzt werden und Entwicklungsländer werden weniger zur Zielscheibe für Cyberkriminelle.

Regierungen, Unternehmen und gemeinnützige Organisationen sollten gemeinsam DMARC vorantreiben. Zum Beispiel:

• Red Sift bietet kostenlose Tools wie Red Sift Investigate, mit denen Sie Ihren DMARC-Eintrag und weitere Protokolle überprüfen können.
• Die Global Cyber Alliance (GCA) stellt kostenlose Tools und Ressourcen zur DMARC-Einführung bereit.
• Messaging, Malware und Mobile Anti-Abuse Working Group (M3AAWG): Bietet Best Practices für E-Mail-Authentifizierung.
• Das National Cyber Security Centre (NCSC) hat kürzlich Änderungen am Mail Check Service bekannt gegeben, darunter die Einstellung des DMARC-Aggregat-Reportings – diese Leistung wird nun von empfohlenen Privatunternehmen wie Red Sift bereitgestellt.

Gesundheitswesen und Finanzbranche arbeiten mit hochsensiblen Daten und sind daher bevorzugte Ziele für Phishing und Betrug. Im Jahr 2024 meldeten 48 % der Gesundheitseinrichtungen und 73 % der Finanzinstitute Phishing-Angriffe, während 61 % der Gesundheitseinrichtungen keinen ausreichenden Schutz vor Datenlecks haben.

DMARC hilft, betrügerische E-Mails, die sich als Krankenhäuser, Versicherer, Banken oder Zahlungsdienstleister ausgeben, zu erkennen und zu verhindern – so sinkt das Risiko für Phishing, Identitätsdiebstahl und unbefugten Zugriff. Die Durchsetzung von p=reject gewährleistet, dass nur autorisierte Absender die Domain einer Organisation nutzen dürfen, unterstützt die Betrugsprävention, hilft bei der Einhaltung von Vorgaben und stärkt das Kundenvertrauen. 

DMARC ist kein Nice-to-have. Ab dem 31. März 2025 verpflichtet PCI DSS v4.0 Unternehmen, die Kartenzahlungen abwickeln, DMARC-Policies auf „quarantine“ oder „reject“ zu setzen, um E-Mail-Spoofing zu verhindern und die Sicherheit zu erhöhen. Nichteinhaltung kann zu erheblichen Sanktionen von 5.000 bis 100.000 USD pro Monat führen – je nach Schwere und Dauer des Verstoßes.

Red Sift empfiehlt:

DMARC verbessert nicht nur die Sicherheit, sondern auch die Zustellbarkeit legitimer E-Mails und reduziert Spam und Phishing. Durch die Einführung von DMARC können Organisationen im Gesundheits- und Finanzwesen Risiken senken, sensible Daten schützen und die sichere Kommunikation sicherstellen. 

In kritischen Sektoren bestehen weiterhin Schutzlücken, die häufig Opfer von Cyberangriffen werden. Schutzmaßnahmen sind verfügbar – doch viele haben bisher nicht gehandelt. 

Organisationen, die DMARC nicht kennen oder ohne Anreize und Unterstützung von Behörden keine Expertise zur eigenständigen Umsetzung haben. Bisher treiben nur wenige nationale Stellen die DMARC-Einführung voran. Beispiele sind: 

• CISA (Cybersecurity and Infrastructure Security Agency): Schreibt DMARC-Durchsetzung für US-Bundesbehörden mit der Binding Operational Directive (BOD) 18-01 vor. Agenturen müssen DMARC auf p=reject setzen, um Spoofing- und Phishing-Angriffe zu verhindern.
• ENISA (European Union Agency for Cybersecurity): Gibt Empfehlungen und Best Practices für DMARC-Einführung in ganz Europa heraus – mit Schwerpunkt auf dem Schutz der Kommunikation von Behörden und Unternehmen, aber ohne explizite Durchsetzung wie bei CISA.
• NCCs (National Cybersecurity Centers): Das NCSC in Großbritannien fördert DMARC-Umsetzung und bietet technische Hilfestellungen für besser geschützte Regierungs-E-Mails. Weitere NCCs setzen sich auf Landesebene für DMARC-Aufklärung und Einführung ein – mit Tools, Schulungen und Empfehlungen, individuell je nach nationaler Cybersicherheitspolitik.

Studiengänge in Informatik und Cybersicherheit an Hochschulen und in der Weiterbildung sollten DMARC stets berücksichtigen und vertiefend E-Mail-Sicherheit sowie den Umgang mit zunehmenden, komplexen Attacken lehren. Auch wenn nicht ausschließlich auf DMARC fokussiert, gibt es Kurse wie:

Vereinigtes Königreich und Europa:

• SANS Institute: Bietet spezialisierte Trainings in London an und vermittelt Praxis im Bereich Cybersicherheit, auch in der E-Mail-Abwehr.
• OPSWAT Academy: Ein umfassendes Programm, um Know-how und Sensibilität für E-Mail-Bedrohungen und Schutzmaßnahmen aufzubauen.
• University of Southampton: Bietet einen von UK National Cyber Security Centre akkreditierten Kurs “Comprehensive Cybersecurity” an, der viele Cybersicherheitsbereiche und vermutlich auch E-Mail-Sicherheit beinhaltet.

Kanada und USA:

• Cisco – Securing Email with Cisco Email Security Appliance (SESA): Ein praxisorientierter Kurs zum Schutz von Mailsystemen mit der Cisco Email Security Appliance, etwa gegen Phishing und Ransomware.
• SANS Institute (US und Kanada): Bietet in Nordamerika zahlreiche Präsenzkurse zu Themen der Cybersicherheit einschließlich E-Mail-Security an.
• Texas A&M Engineering Certificate Series: Umfassende Zertifikatsreihe für Cybersicherheit, zugeschnitten auf Beschäftigte von Behörden und Privatwirtschaft sowie Studierende. Die Kurse sind dank Fördergeldern vom U.S. Department of Homeland Security (DHS) Federal Emergency Management Agency (FEMA) kostenlos verfügbar.

Mit der Entwicklung der Cyberbedrohungen muss auch DMARC weiterentwickelt werden. Organisationen müssen hinsichtlich E-Mail-Authentifizierung und Cybersicherheit auf dem Laufenden bleiben. Branchenverbände und Interessenvertreter müssen weiter dafür eintreten, dass DMARC-Vollzug für Politik und Wirtschaft Priorität bleibt.

Technologische Innovationen bieten Kriminellen neue Angriffspunkte – auch per E-Mail. Über DMARC hinaus gibt es vier Bereiche, in denen stärkere Durchsetzung den Nutzern künftig zugute kommen würde:

1. KI-gestützte Bedrohungserkennung mit DMARC Stärkere DMARC-Durchsetzung durch Integration KI-basierter Threat Intelligence, um Phishing-, BEC- und Deepfake-E-Mails in Echtzeit zu erkennen. KI-gestützte Auswertung hilft, SPF-, DKIM- und DMARC-Policies zu optimieren und Angriffswege frühzeitig zu blockieren. Red Sift Radar findet und behebt Sicherheitsprobleme bis zu 10-mal schneller – verfügbar über die Red Sift Pulse Platform.
2. Zero-Trust-E-Mail-Sicherheit mit DMARC Zero-Trust-Architekturen lassen sich mit DMARC (p=reject) und kontinuierlicher E-Mail-Verifikation stärken. KI-gestützte Anomalieerkennung und Identitätsprüfung verhindern Identitätsdiebstahl, Insider-Bedrohungen und unbefugten E-Mail-Zugriff.
3. Blockchain mit DMARC für die Lieferkettensicherheit Absicherung externer E-Mail-Kommunikation durch Kombination aus DMARC und Blockchain: manipulationssichere E-Mail-Protokolle können Angriffe in der Lieferkette, Vendor-Spoofing und Rechnungsbetrug abwehren.
4. KI-Chatbots und DMARC für Security Awareness Einsatz KI-basierter Chatbots zur Echtzeitanalyse DMARC-Logs und um Mitarbeitende sofort verdächtige E-Mails überprüfen zu lassen. Automatisierte Phishing-Warnungen per Slack, Teams oder WhatsApp sorgen für bessere Aufklärung und schnelle Reaktion.

Ein globaler DMARC-Konsens ist nicht nur eine technische, sondern eine gemeinschaftliche Aufgabe. Durch Nutzung bestehender Vorschriften, Bearbeitung regionaler Herausforderungen und Förderung von Zusammenarbeit können wir das digitale Umfeld für alle sicherer machen.

Red Sift OnDMARC wurde speziell entwickelt, um Ihre Reise von der Überwachung hin zur vollständigen DMARC-Durchsetzung zu beschleunigen – ganz ohne den üblichen Komplexitätsgrad und die Verzögerungen bei DMARC-Projekten. Unsere Plattform verbindet umfassendes Reporting mit Dynamic SPF Technologie, die Ihre SPF-Einträge automatisch an Veränderungen Ihrer Versandquellen anpasst und einen der größten Stolpersteine auf dem Weg zur Durchsetzung beseitigt.

In der Regel erreichen wir volle DMARC-Durchsetzung in 6 bis 8 Wochen – gegenüber dem Branchenschnitt von 6 bis 12 Monaten – inklusive direkter Unterstützung durch auf E-Mail-Authentifizierung spezialisierte Experten mit Erfahrung in komplexen Unternehmensumgebungen. Egal, ob Sie neu starten oder bei „quarantine“ hängen: OnDMARC bietet die notwendige Transparenz, Automatisierung und Expertise, um Ihre Domain vor Spoofing zu schützen und gleichzeitig Geschäftskontinuität zu gewährleisten.

Weltweit führt die Verpflichtung zu DMARC-Durchsetzung dazu, dass Behörden und Branchen ein erhöhtes Niveau an E-Mail-Authentifizierung erwarten. Eine zögerliche Einführung ist deshalb nicht nur ein Sicherheitsrisiko – sondern auch ein Wettbewerbsnachteil. OnDMARC nimmt Ihnen technische Hürden ab und beschleunigt die Umsetzung, damit Sie sich weiter auf Ihr Geschäft konzentrieren können und wir die Komplexität der E-Mail-Authentifizierung übernehmen.

1. Regierungen: Vorschriften anpassen und DMARC vorschreiben.
2. Unternehmen: DMARC einrichten, um Ihre Domains und Kunden zu schützen. Entscheiden Sie sich für Red Sift OnDMARC und starten Sie einfach durch.
3. Internationale Organisationen: DMARC als globalen Standard und als Schutzwerkzeug gegen Angreifer fördern.
4. Individuen: Setzen Sie sich für starke E-Mail-Sicherheit in Ihrer Community ein, prüfen Sie den DMARC-Status Ihres Unternehmens kostenlos und melden Sie Schwachstellen mit Red Sift Investigate.

Gemeinsam kommen wir einer Welt näher, in der E-Mail-Angriffe der Vergangenheit angehören. Lassen Sie uns den globalen DMARC-Vollzug realisieren.