Der Domain-Inhaber informiert alle potenziellen Mail-Empfänger (bzw. deren Mailserver), dass er seine Mails mit DKIM signiert und/oder mit SPF authentifiziert. Er fordert sie auf, alle Mails, die von seiner Domain kommen, entsprechend zu prüfen und im Verdachtsfall (wenn die Prüfung fehlschlägt) bestimmte Maßnahmen zu ergreifen. Er teilt dies mit, indem er einen entsprechenden Eintrag in der Domänenzone und im Mail-Header vornimmt.
Der empfangende Mailserver prüft, ob die Mail mindestens mit einem der beiden Verfahren – DKIM bzw. SPF – verifiziert werden kann. Ist dies nicht möglich, gilt sie als „verdächtig“. Es könnte sich um eine Fälschung handeln, d. h. jemand anders missbraucht die Absender-Adresse für seine Zwecke.
Als mögliche Maßnahme kann der Domain-Inhaber den Empfängern empfehlen,
- die verdächtige Mail zurückzuweisen,
- sie in Quarantäne zu stellen
- oder sie trotzdem entgegenzunehmen und sich mit einer Meldung an den Domain-Inhaber zu begnügen.
Welche dieser drei Maßnahmen er empfiehlt, legt er im DMARC-Record fest (s. u.).
Ebenfalls Teil von DMARC ist das Reporting. Die empfangenden Mailserver sollen in regelmäßigen Abständen einen Report über verdächtige Mails (d. h. solche, die weder mit DKIM noch mit SPF verifiziert werden konnten) an die Absender-Domain mailen. Die entsprechenden Mail-Adressen stehen ebenfalls im DMARC-Record.