DMARC-Migrationshandbuch

Bei der Migration von DMARC-Plattformen ist es wichtig, dass Sie die aktuelle Konfiguration der bestehenden DMARC-Plattform verstehen. Eine gut geplante Migration stellt sicher, dass Ihre E-Mails weiterhin reibungslos fließen und gleichzeitig die Authentifizierung und Berichterstattung gestärkt werden. Dieser Leitfaden führt Sie durch jede Phase des Wechsels von DMARC-Anbietern (und den zugehörigen DNS-Konfigurationen).

Überblick

Dieser Leitfaden behandelt folgende Themen:

Planung und Bestandsaufnahme
Evaluierung und Vorbereitung
Parallele Einrichtung
DNS-Update-Sequenzierung
Tests und Überwachung
Durchführung der Umstellung
Überprüfung nach der Migration

Die Befolgung dieses Prozesses gewährleistet die Einhaltung bewährter Praktiken und ermöglicht es Ihnen, Automatisierungstipps zu nutzen, um Ausfallzeiten zu vermeiden, die Zustellbarkeit zu erhalten und die Berichterstattung und Durchsetzung zu maximieren.

1. Planung und Bestandsaufnahme

Diese erste Phase stellt sicher, dass Sie ein vollständiges Verständnis aller relevanten Bereiche der aktuellen Einrichtung haben.

Domains und Einträge inventarisieren

Katalogisieren Sie jede beteiligte Domain. Sammeln Sie für jede Domain die folgenden aktuellen DNS-Einträge:

DNS-Eintrag	Erwarteter Eintragstyp	Wie zu identifizieren
DMARC	TXT oder CNAME	Enthält `_dmarc` im Hostnamen
SPF	TXT	Beginnt mit `v=spf1` im Wertebereich
DKIM	TXT oder CNAME	Enthält `_domainkey` im Hostnamen
BIMI	TXT	Beginnt mit `v=BIMI1` im Wertebereich
MTA-STS	TXT	Enthält `_mta-sts` im Hostnamen
TLS-RPT	TXT	Enthält `_tls-rpt` im Hostnamen

Dokumentieren Sie die bestehende DMARC-Durchsetzung (p=none/quarantine/reject) und Berichtadressen (rua/ruf). Eine vollständige Bestandsaufnahme zu Beginn ist entscheidend – "erstellen Sie zuerst ein Inventar der Einstellungen Ihres bestehenden Schutzdienstes" bevor Sie Änderungen vornehmen.

Für große Umgebungen nutzen Sie Skripte oder DNS-Export-Tools zur Automatisierung der Datenerfassung.

Sendeserver identifizieren

Listen Sie alle Mail-Sender auf (On-Premises-Server, Cloud-Dienste, Marketing-Plattformen etc.) und deren aktuelle SPF-Includes oder DKIM-Schlüssel für jede Domain
Überprüfen Sie alle Subdomains oder Delegierungen an Dritte
Validieren Sie Ihr Inventar durch Nutzung bestehender DMARC-Berichte oder ausgehender E-Mail-Logs

Aktuelle Berichtsflüsse überprüfen

Notieren Sie, wohin DMARC-Aggregat-/Fehlerberichte und TLS-RPT-Berichte gesendet werden (E-Mail-Adressen)
Planen Sie die Aufrechterhaltung der Sichtbarkeit durch Übergang dieser Berichte zur neuen DMARC Manager-Plattform
DMARC-Einträge können mehrere Berichts-URIs auflisten (durch Kommas getrennt), um Daten gleichzeitig an alte und neue Systeme zu senden

Baseline-Performance festlegen

Vor Änderungen dokumentieren Sie aktuelle E-Mail-Metriken (Bounce-Raten, Spam-Beschwerden, Zustellbarkeit) und DMARC-Compliance-Level. Dies ermöglicht die Überprüfung von Verbesserungen nach der Migration und stellt sicher, dass keine Rückschritte auftreten.

2. Evaluierung und Vorbereitung

Die Evaluierungs- und Vorbereitungsphase stellt sicher, dass Sie für einen möglichen Rollback vorbereitet sind. Für kleinere Umgebungen ist möglicherweise nicht alles Nachfolgende erforderlich, nutzen Sie Ihr Ermessen.

Backup existierender DNS-Einträge

Exportieren oder speichern Sie Ihre Zonendateien
Bewahren Sie Kopien aller aktuellen Einträge für DMARC, SPF, DKIM-Selektoren, MTA-STS, TLS-RPT etc. auf

Neue Ziel-DNS-Einträge katalogisieren

Öffnen Sie DMARC Manager und erfassen Sie die neuen Zieleinstellungen für jede Domain. Stellen Sie sicher, dass Sie die neuen erforderlichen Einträge von DMARC Manager für jede Domain haben (falls in der Legacy-Plattform abgedeckt):

DMARC
SPF
DKIM
MTA-STS
TLS-RPT
BIMI

Beispiel: Ein Beispiel dafür, wo die Einrichtungsanweisungen für DMARC zu finden sind. Die anderen Einstellungen können durch einfaches Wechseln zum entsprechenden Standards-Einstellungen-Tab gefunden werden.

Stakeholder-Rollen

Weisen Sie Verantwortlichkeiten zu. Definieren Sie, wer DNS aktualisiert, wer den neuen DMARC Manager konfiguriert, wer die Berichte überwacht und wer einen Rollback durchführt, falls etwas fehlschlägt. Zum Beispiel könnte IT-Operations DNS-Änderungen handhaben, während Security-Teams Berichte überprüfen. Klare Rollen und Kommunikationskanäle sind entscheidend.

Risikobewertung und Zeitplanung

Identifizieren Sie Risiken (z.B. temporäre Fehlkonfiguration, die Bounces verursacht) und planen Sie Gegenmaßnahmen
Erwägen Sie die Migration während verkehrsschwacher Zeiten oder in Phasen nach Domaingruppen
Bei vielen Domains, staffeln Sie die Migration (z.B. 100 Domains gleichzeitig) um die Auswirkungen zu begrenzen

Neue Umgebung vorbereiten

Lassen Sie Ihr Team sich mit der Oberfläche/API der neuen Plattform vertraut machen
Sammeln Sie alle benötigten Informationen (neue öffentliche DKIM-Schlüssel, SPF-Include-Werte, Berichtadressen, MTA-STS-Endpunkte)
Stellen Sie sicher, dass Sie Zugriff auf DNS für die Einträge des neuen DMARC Managers haben
Notieren Sie alle erforderlichen DNS CNAME- oder TXT-Einträge

DNS-TTLs reduzieren

Reduzieren Sie einige Tage vor den Änderungen die TTLs wichtiger Einträge (DMARC, SPF, DKIM, MTA-STS, TLS-RPT) auf einen niedrigen Wert (z.B. 300–3600 Sekunden)
Dies minimiert Propagierungsverzögerungen während der Umstellung
Denken Sie daran, höhere TTLs nach der Stabilisierung wiederherzustellen

Rollendelegation und Dokumentation

Dokumentieren Sie jede geplante Änderung und bereiten Sie schrittweise Runbooks vor
Notieren Sie für jede Domain (oder Domain-Vorlage) die exakten DNS-Änderungen und deren Reihenfolge
Führen Sie prüffähige Änderungsprotokolle, um Compliance nachweisen und Änderungen nachverfolgen zu können

3. Parallele Konfiguration

Während die alte DMARC-Plattform aktiv bleibt, konfigurieren Sie den neuen DMARC Manager parallel, sodass beide Systeme gleichzeitig E-Mails empfangen oder validieren. Diese "Dual-Write"-Phase vermeidet Ausfallzeiten oder blinde Flecken und wird auf alle relevanten DNS-Einträge angewendet.

Domains zum neuen DMARC Manager hinzufügen

Fügen Sie alle neuen Domains im DMARC Manager hinzu
Verifizieren Sie den DNS-Besitz wie erforderlich (z.B. via DNS TXT oder E-Mail)

DMARC-Konfiguration

Setzen Sie die initiale DMARC-Policy der neu hinzugefügten Domain auf die aktuelle, veröffentlichte Policy
Fügen Sie die Berichtadressen der alten DMARC-Plattform im DMARC Manager hinzu
Konfigurieren Sie unter 'Einstellungen bearbeiten' in der Domains-Schnittstelle:
- Fügen Sie RUA-Adresse im Bereich für Aggregierte Berichte hinzu
- Fügen Sie RUF-Adresse im Bereich für Fehlerberichte hinzu

SPF-Konfiguration

Aktualisieren Sie den SPF TXT-Eintrag jeder Domain im DMARC Manager auf den aktuell veröffentlichten SPF-Eintrag
Stellen Sie sicher, dass alle Includes im DMARC Manager erscheinen
Verifizieren Sie, dass der 'all'-Tag auf dieselbe Policy gesetzt ist (typischerweise ~all)
Entfernen Sie die alten SPF-Includes in der Legacy-DMARC-Plattform noch nicht

DKIM-Konfiguration

Fügen Sie die DKIM-Schlüssel zum DKIM-Schlüsselmanagement des neuen DMARC Managers hinzu
Entfernen Sie die alten DKIM-Einträge noch nicht

BIMI-Konfiguration

Kopieren Sie die Zertifikatsdateien zum DMARC Manager
Kopieren Sie die Bilddatei zum DMARC Manager (verwenden Sie exaktes SVG)
Entfernen Sie die alten BIMI-Einträge noch nicht

MTA-STS-Konfiguration

Wenn Sie MTA-STS verwenden, stellen Sie sicher, dass die MTA-STS-Policy des neuen DMARC Managers die alte spiegelt.

4. Reihenfolge der Eintrags-Updates

Die richtige Reihenfolge der DNS-Änderungen minimiert Risiken. Folgen Sie dieser Ordnung:

TTLs reduzieren (in der Vorbereitung erledigt)
Ersetzen Sie bestehenden SPF durch neuen SPF:
- Folgen Sie den DMARC Manager Anweisungen
- Überprüfen Sie Syntax und Lookup-Limits
- Warten Sie auf DNS-Propagierung (Minuten bis eine Stunde)
Veröffentlichen Sie neue DKIM-Schlüsselmanagement-Einträge:
- Fügen Sie neue DKIM-Management NS-Einträge hinzu
- Behalten Sie alte DKIM-Einträge für Rollback aktiv
Ersetzen Sie bestehenden DMARC-Eintrag:
- Verwenden Sie DMARC Manager Eintrag
- Überprüfen Sie Syntax (ein DMARC TXT/CNAME pro Domain)
Ersetzen Sie bestehenden BIMI-Eintrag:
- Entfernen Sie alten BIMI-Eintrag
- Fügen Sie neue BIMI NS-Einträge hinzu
Aktualisieren Sie MTA-STS DNS-Eintrag
Aktualisieren Sie TLS-RPT DNS TXT
Validierungspause (24–48 Stunden)
Optionale Durchsetzungsanpassung

Verifizierungsschritte

Überprüfen Sie bei jedem Schritt die E-Mail-Authentifizierung:

SPF: Prüfen Sie Authentifizierung mit Tools oder Test-E-Mails
DKIM: Senden Sie Testnachrichten und validieren Sie Header
DMARC: Bestätigen Sie geteilte Berichterstattung zwischen Anbietern

5. Tests und Überwachung

DMARC-Berichte

Bestätigen Sie, dass beide Dienste Berichte erhalten
Vergleichen Sie Beispielberichte
Verifizieren Sie legitime E-Mail-Quellen

Authentifizierungstests

Senden Sie Test-E-Mails von jeder Quelle
Verifizieren Sie SPF=pass und DKIM=pass
Untersuchen Sie alle Fehler

MTA-STS-Verifizierung

Nutzen Sie Online-MTA-STS-Checker
Testen Sie externe Domain-E-Mails
Prüfen Sie Google Workspace Admin-Konsole (falls zutreffend)

TLS-RPT-Überprüfung

Überprüfen Sie Berichte nach einigen Tagen
Beheben Sie alle Probleme
Bestätigen Sie, dass neuer Anbieter Berichte erhält

Zustellbarkeits-Überwachung

Beobachten Sie Bounce-Raten
Überwachen Sie Spam-Berichte
Verfolgen Sie Nutzerbeschwerden

6. Durchführung der Umstellung

Nach der Verifizierung führen Sie die finale Umstellung durch:

Entfernen Sie alte DKIM-Schlüssel (nach 48–72 Stunden)
Bereinigen Sie SPF-Includes

Finalisieren Sie DMARC-Eintrag:

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Aktualisieren Sie MTA-STS-Konfiguration
Entfernen Sie alte TLS-RPT URI
Nehmen Sie alten Anbieter außer Betrieb

Hinweis: Führen Sie Entfernungen während Wartungsfenstern mit bereiten Backup-Plänen durch.

7. Überprüfung nach der Migration

Validierungs-Checkliste

[ ] Alle Domains berichten an DMARC Manager
[ ] Nur DMARC Manager Einträge bleiben
[ ] Verifizieren Sie mit dig oder DNS-Management-Interface

Performance-Überprüfung

Überwachen Sie E-Mail-Ablehnungsraten
Prüfen Sie DMARC-Compliance
Vergleichen Sie Metriken vor/nach Migration

Dokumentation

Erstellen Sie Audit-Logs
Dokumentieren Sie DNS-Änderungen
Protokollieren Sie Umstellungsdaten
Speichern Sie Bestätigungsnachrichten

Policy-Verbesserung

Planen Sie Durchsetzungserhöhungen
Bewegen Sie sich Richtung p=reject
Regelmäßige SPF-Überprüfungen

Fazit

Durch sorgfältige Bestandsaufnahme, Vorbereitung und parallelen Systembetrieb stellen Sie Null-Ausfallzeit während der Umstellung sicher. Multi-Empfänger-Berichterstattung hält Zustellbarkeit und Sichtbarkeit ununterbrochen aufrecht. Schließlich vervollständigt die Bereinigung alter Einträge und Verschärfung von Policies die Migration, sodass Sie mit stärkerer E-Mail-Authentifizierung und umfassender Überwachung unter DMARC Manager zurückbleiben.

DMARC-Migrationshandbuch ​

Überblick ​

1. Planung und Bestandsaufnahme ​

Domains und Einträge inventarisieren ​

Sendeserver identifizieren ​

Aktuelle Berichtsflüsse überprüfen ​

Baseline-Performance festlegen ​

2. Evaluierung und Vorbereitung ​

Backup existierender DNS-Einträge ​

Neue Ziel-DNS-Einträge katalogisieren ​

Stakeholder-Rollen ​

Risikobewertung und Zeitplanung ​

Neue Umgebung vorbereiten ​

DNS-TTLs reduzieren ​

Rollendelegation und Dokumentation ​

3. Parallele Konfiguration ​

Domains zum neuen DMARC Manager hinzufügen ​

DMARC-Konfiguration ​

SPF-Konfiguration ​

DKIM-Konfiguration ​

BIMI-Konfiguration ​

MTA-STS-Konfiguration ​

4. Reihenfolge der Eintrags-Updates ​

Verifizierungsschritte ​

5. Tests und Überwachung ​

DMARC-Berichte ​

Authentifizierungstests ​

MTA-STS-Verifizierung ​

TLS-RPT-Überprüfung ​

Zustellbarkeits-Überwachung ​

6. Durchführung der Umstellung ​

7. Überprüfung nach der Migration ​

Validierungs-Checkliste ​

Performance-Überprüfung ​

Dokumentation ​

Policy-Verbesserung ​

Fazit ​