Die erste deutsche dedizierte DMARC-Plattform

Wer als Managed Service Provider oder IT-Dienstleister in Deutschland DMARC für seine Kunden betreibt, hat bisher eine Wahl getroffen, die kaum jemand bewusst getroffen hat: sicherheitsrelevante E-Mail-Daten auf US-amerikanischer Infrastruktur verarbeiten, unter US-amerikanischem Recht, mit Support in einer anderen Zeitzone.

DMARCDKIM.com ist die erste dedizierte DMARC-Plattform aus Deutschland. Nicht angepasst für den deutschen Markt, sondern von Grund auf für ihn gebaut.

 

Warum DMARC für MSPs ein Dauerproblem bleibt

DMARC landet im MSP-Betrieb regelmäßig als Einmalaufgabe im Onboarding. Wird abgehakt. Und taucht trotzdem immer wieder auf.

Ein neuer SaaS-Dienst beim Kunden, ohne IT-Beteiligung eingeführt. Ein Vendorwechsel im Hintergrund. Ein Marketing-Tool, das plötzlich E-Mails über die Kundendomain verschickt. Jedes dieser Ereignisse kann die SPF-Alignment brechen, DKIM-Signaturen ungültig machen oder die DMARC-Policy ins Leere laufen lassen.

Das Ergebnis ist meistens dasselbe: Der Kunde bemerkt es zuerst. E-Mails landen im Spam. Rechnungen kommen nicht an. Das Vertrauen leidet und die Frage landet beim MSP, auch wenn er technisch nichts falsch gemacht hat.

DMARC ist keine Aufgabe. Es ist dauerhafter Infrastrukturbetrieb. Und genau dafür ist DMARCDKIM.com gebaut.

 

Das Problem mit US-amerikanischen DMARC-Plattformen

Die bekanntesten DMARC-Lösungen auf dem Markt — Proofpoint, Valimail, Dmarcian, EasyDMARC und Agari — wurden in den USA entwickelt. Das sind keine schlechten Produkte. Aber sie wurden für einen anderen Markt gebaut.

Für MSPs in Deutschland bedeutet das konkret drei Probleme.

Erstens: Datenschutzrechtliches Risiko. DMARC-Aggregate-Reports und Failure-Reports enthalten Informationen über den E-Mail-Verkehr der Kunden. Failure-Reports können E-Mail-Header und Nachrichteninhalte enthalten, die nach deutschem DSGVO-Verständnis als personenbezogene Daten einzustufen sind. Werden diese Daten auf US-amerikanischer Infrastruktur verarbeitet, greift der CLOUD Act, US-Behörden können unabhängig vom physischen Speicherort Datenzugang verlangen. Das ist kein theoretisches Risiko. Es ist ein rechtliches Faktum, das MSPs gegenüber ihren Kunden verantworten müssen.

Zweitens: Compliance-Mehraufwand. Als MSP sind Sie Auftragsverarbeiter Ihrer Kunden. Wenn Sie einen US-amerikanischen Unterauftragsverarbeiter einsetzen, müssen Sie das dokumentieren, Standardvertragsklauseln nachweisen und den Drittlandtransfer DSGVO-konform absichern. Das kostet Zeit und erklärt sich gegenüber dem Kunden nicht von selbst.

Drittens: Support im falschen Zeitfenster. Wenn bei einem Kunden am Dienstagmorgen in München die E-Mail-Zustellung bricht, warten Sie auf Antwort aus einer anderen Zeitzone.

 

Was NIS2, DSGVO und BSI jetzt von IT-Dienstleistern erwarten

DMARC ist nicht mehr nur eine Sicherheitsempfehlung. Es sitzt im Zentrum mehrerer regulatorischer Anforderungen, die deutsche MSPs und ihre Kunden heute direkt betreffen.

DSGVO verlangt, dass Sie als Auftragsverarbeiter wissen, wo Kundendaten verarbeitet werden, und dass entsprechende Auftragsverarbeitungsverträge vorliegen. Für Failure-Reports gilt besondere Sorgfaltspflicht.

NIS2, seit 6. Dezember 2025 in deutsches Recht umgesetzt (NIS2-Umsetzungsgesetz, in Kraft getreten nach Veröffentlichung im Bundesgesetzblatt), verpflichtet rund 30.000 Unternehmen in wesentlichen und wichtigen Sektoren zu technischen Maßnahmen zum Schutz der Netz- und Informationssysteme. DMARC nennt das Gesetz nicht namentlich — aber die BSI TR-03182, die als "Stand der Technik" im Sinne von NIS2 gilt, definiert DMARC-Implementierung als Pflichtanforderung.

BSI TR-03182 ("E-Mail-Authentifizierung") ist eine offizielle Technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik, die DMARC als verbindliche Anforderung (MUST) für E-Mail-Dienste definiert — nicht nur als Empfehlung. Ergänzend hat das BSI im Mai 2025 eine Cyber-Sicherheitsempfehlung "Upgrade für die E-Mail-Sicherheit" veröffentlicht, die SPF, DKIM und DMARC explizit für alle Unternehmen mit eigener Domain empfiehlt.

DORA, seit 17. Januar 2025 anwendbar für Finanzunternehmen und ihre IKT-Dienstleister, verlangt operative Resilienz digitaler Kommunikationsinfrastruktur. E-Mail-Authentifizierung ist Teil dieses Anforderungsbildes.

PCI DSS v4.0.1, seit 31. März 2025 verpflichtend, schreibt in Abschnitt 5.4.1 Anti-Phishing-Maßnahmen einschließlich DMARC, SPF und DKIM für alle Organisationen vor, die Kartenzahlungsdaten verarbeiten, speichern oder übermitteln. Das betrifft jeden MSP, der Kunden im Handel, E-Commerce oder Finanzbereich betreut.

Wer als MSP Kunden in diesen Bereichen betreut, braucht eine DMARC-Lösung, die diese Anforderungen von innen heraus erfüllt — nicht durch nachträgliche Compliance-Auflagen.

 

DmarcDkim.com: Die erste dedizierte DMARC-Plattform aus Deutschland

DmarcDkim.com ist seit April 2024 live, als erste dedizierte DMARC-Plattform, die speziell für den deutschen Markt und für MSP-Betrieb entwickelt wurde.

Daten bleiben in Deutschland. Die gesamte Infrastruktur ist in Deutschland gehostet. Kein Drittlandtransfer. Keine Standardvertragsklauseln als Notlösung. Die Daten liegen dort, wo sie nach deutschem und europäischem Recht liegen sollen — von Anfang an.

DSGVO-konform by Design. Wir operieren als Auftragsverarbeiter im Sinne der DSGVO. Ein klarer Auftragsverarbeitungsvertrag ist verfügbar. Failure-Reports werden mit den technischen Maßnahmen behandelt, die das deutsche DSGVO-Verständnis für personenbezogene Daten vorschreibt.

Gebaut für MSP-Betrieb. Mehrere Kundenmandanten. Klares Reporting. Monitoring, das Veränderungen in der Kundeninfrastruktur erkennt, bevor sie zum Support-Ticket werden. DMARC nicht als Einmalprojekt, sondern als dauerhaft betriebene Infrastruktur.

BSI- und NIS2-Alignment. Die Plattform begleitet den DMARC-Enforcement-Prozess — von p=none über p=quarantine bis p=reject — in einer Weise, die direkt auf die Kontrollziele von NIS2 und BSI-Grundschutz einzahlt.

Support in CET. Wenn etwas bricht, ist jemand erreichbar — in Ihrer Zeitzone, auf Deutsch.

 

Was IT-Dienstleister konkret davon haben

 

	DmarcDkim.com	US-amerikanische Anbieter
Hosting in Deutschland	Ja	Nein / vertraglich
DSGVO-konform by Design	Ja	Compliance-Layer nachträglich
Kein Drittlandtransfer	Ja	Nein
AVV verfügbar	Ja	Variiert
NIS2 / BSI-Alignment	Ja	Eingeschränkt
Gebaut für MSP-Betrieb	Ja	Nein
Support-Zeitzone	CET	US Eastern / Pacific

 

DMARC bleibt nicht gelöst

Das größte Missverständnis im MSP-Betrieb: DMARC einrichten und fertig.

Die Realität sieht anders aus. DMARC bricht, wenn Kunden neue SaaS-Tools ohne IT-Beteiligung einführen. Wenn Vendor-IPs sich ändern. Wenn ein Tochterunternehmen übernommen wird. Wenn die SPF-Lookup-Grenze von zehn DNS-Abfragen erreicht wird. Wenn jemand einen neuen Newsletterdienst testet.

Ohne kontinuierliches Monitoring merkt der MSP das zu spät, meistens dann, wenn der Kunde bereits betroffene E-Mails gesehen hat. Und dann wird aus einem technischen Problem ein Vertrauensproblem.

In einem post-NIS2, post-DORA Umfeld reicht "wir haben das letztes Jahr eingerichtet" nicht mehr als Antwort bei einem Audit.

DmarcDkim.com liefert das Monitoring, das dafür sorgt, dass Enforcement stabil bleibt, während sich die Kundeninfrastruktur verändert. Kontinuierlich. In Deutschland. Unter deutschem Recht.

 

Jetzt starten

Wenn Sie als IT-Dienstleister DMARC für Ihre Kunden betreiben und eine Plattform suchen, die DSGVO-Anforderungen, NIS2-Compliance und den deutschen Markt ernst nimmt, sprechen Sie mit uns.

Domain-Status Ihrer Kunden prüfen →

DMARC-Management für MSPs — jetzt anfragen →

Wie kann ich DMARC als Leistung anbieten?