DMARCPulse
Kostenlos starten
Alle Beiträge Microsoft verschärft E-Mail-Authentifizierung: DMARC-Enforcement ab Mai 2025 – was IT-Admins jetzt wissen müssen

Microsoft verschärft E-Mail-Authentifizierung: DMARC-Enforcement ab Mai 2025 – was IT-Admins jetzt wissen müssen

DMARCPulse Team

Microsoft zieht nach – und das hat Konsequenzen

Seit Mai 2025 gelten bei Microsoft neue, verbindliche Anforderungen an die E-Mail-Authentifizierung. Wer E-Mails an Outlook.com, Hotmail oder Microsoft 365-Postfächer sendet, muss SPF, DKIM und DMARC korrekt konfiguriert haben – sonst werden Nachrichten stillschweigend abgelehnt. Kein Bounce, keine Fehlermeldung, keine zweite Chance.

Google und Yahoo hatten diesen Schritt bereits Anfang 2024 vollzogen. Microsoft hat lange zugeschaut – und handelt jetzt. Für viele IT-Admins ist das ein Weckruf, der nicht ignoriert werden sollte.

Was Microsoft konkret verlangt

Die neuen Anforderungen orientieren sich eng an dem, was Google und Yahoo bereits durchsetzen. Im Kern geht es um drei Punkte:

  • SPF: Ein gültiger SPF-Record muss im DNS der sendenden Domain vorhanden sein und die sendenden Server autorisieren.
  • DKIM: E-Mails müssen mit einem DKIM-Schlüssel signiert sein, der zur sendenden Domain passt.
  • DMARC: Eine DMARC-Policy muss existieren – mindestens p=none, aber mit dem klaren Ziel, auf p=quarantine oder p=reject zu eskalieren.

Besonders kritisch: Microsoft lehnt nicht-konforme Mails ohne Bounce-Benachrichtigung ab. Das bedeutet, Absender erfahren unter Umständen gar nicht, dass ihre Nachrichten nie angekommen sind. Für Unternehmen, die auf E-Mail-Kommunikation angewiesen sind – und das sind praktisch alle – ist das ein ernstes Risiko.

Warum “p=none” nicht mehr ausreicht

Viele Organisationen haben DMARC eingerichtet, aber auf der niedrigsten Stufe belassen: p=none. Diese Policy sendet zwar Berichte, blockiert aber keine einzige Mail. Sie ist ein Beobachtungsmodus, kein Schutz.

Microsoft erwartet zwar zunächst nur das Vorhandensein eines DMARC-Records – aber die Richtung ist klar. Wer heute noch auf p=none steht, hat keine Puffer mehr, wenn die nächste Verschärfung kommt. Und sie wird kommen.

Der Weg von p=none zu p=reject ist keine technische Kleinigkeit. Er erfordert:

  • Vollständige Inventarisierung aller sendenden Systeme (CRM, ERP, Newsletter-Tools, Monitoring-Dienste)
  • Sicherstellung, dass jeder dieser Dienste korrekt per SPF oder DKIM autorisiert ist
  • Schrittweise Eskalation der Policy, begleitend durch DMARC-Aggregate-Reports

Wer diesen Prozess überstürzt, riskiert, legitime Mails selbst zu blockieren.

Die stille Gefahr: Mails verschwinden ohne Spur

Das Tückische an Microsofts Enforcement ist die fehlende Bounce-Benachrichtigung. Bei klassischen Zustellfehlern erhält der Absender eine Non-Delivery-Report (NDR). Hier nicht.

Das bedeutet: Eine Bestellbestätigung, ein Passwort-Reset, eine Vertragsunterlage – all das kann im Nirgendwo verschwinden, ohne dass jemand es bemerkt. Erst wenn Kunden oder Partner nachfragen, fällt auf, dass etwas nicht stimmt. Bis dahin können Stunden oder Tage vergangen sein.

Für MSPs, die mehrere Kunden betreuen, potenziert sich dieses Risiko. Ein einziger falsch konfigurierter Mandant kann zu Reputationsschäden und Supportaufwand führen, der weit über den eigentlichen technischen Fix hinausgeht.

Was jetzt zu tun ist – konkrete Schritte

1. DNS-Records prüfen Für jede sendende Domain sofort prüfen: Gibt es einen SPF-Record? Ist DKIM aktiviert und korrekt konfiguriert? Existiert ein DMARC-Record?

2. Alle sendenden Quellen inventarisieren Welche Systeme senden E-Mails im Namen der Domain? Neben dem primären Mailserver oft vergessen: Marketing-Automation, Ticketsysteme, Cloud-Dienste, Monitoring-Alerts.

3. DMARC-Aggregate-Reports auswerten DMARC-Reports zeigen, welche Quellen im Namen der Domain senden – und ob sie SPF/DKIM bestehen. Ohne diese Auswertung tappt man im Dunkeln.

4. Policy schrittweise eskalieren Von p=none zu p=quarantine, dann zu p=reject. Jede Stufe sollte begleitet werden durch mindestens zwei bis vier Wochen Beobachtung der Reports.

5. Subdomain-Policies nicht vergessen Mit sp=reject lassen sich auch Subdomains absichern, die selbst keine Mails versenden – ein häufig übersehener Angriffspunkt.

DMARC-Enforcement ist kein Projekt mehr – es ist Betrieb

Was Google und Yahoo 2024 begonnen haben, hat Microsoft 2025 abgeschlossen: DMARC-Enforcement ist jetzt bei den drei größten E-Mail-Plattformen der Welt Pflicht. Wer noch nicht bereit ist, riskiert Mailausfall – still, ohne Warnung.

Die gute Nachricht: Der Weg zur Enforcement-Readiness ist planbar. Er braucht Transparenz über die eigene Mailinfrastruktur, konsequente Auswertung der DMARC-Reports und eine klare Eskalationsstrategie.

Wo steht eure Domain gerade? Mit dem kostenlosen Domain-Check von DMARCPulse bekommt ihr in Sekunden eine Übersicht über SPF, DKIM, DMARC und weitere E-Mail-Sicherheitsparameter: https://dmarcpulse.io/de/free-domain-check