diff --git a/DOC/DMARC_Rejections_SOP.md b/DOC/DMARC_Rejections_SOP.md
new file mode 100644
index 0000000..22c5034
--- /dev/null
+++ b/DOC/DMARC_Rejections_SOP.md
@@ -0,0 +1,36 @@
+# Analyse und Begründung von DMARC-Rejects
+## (Postfix + OpenDMARC 1.4.2)
+
+### 1. Zweck
+Diese SOP beschreibt, wie DMARC-Rejects auf dem Mailserver revisionssicher analysiert und begründet werden, ohne die betroffene E-Mail anzunehmen oder erneut senden zu lassen.
+
+### 2. Systemkontext
+- MTA: Postfix
+- DMARC-Filter: OpenDMARC 1.4.2
+- SPF-Prüfung: policyd-spf
+- DKIM-Prüfung: OpenDKIM
+- Entscheidungspunkt: SMTP END-OF-MESSAGE
+
+### 3. Grundprinzip
+OpenDMARC loggt nur das Endergebnis der DMARC-Evaluation, nicht die Detailursachen. Die Ursache eines Rejects wird durch Log-Korrelation ermittelt.
+
+### 4. Relevante Logquellen
+- Postfix (SMTP-Rejects)
+- policyd-spf (SPF-Ergebnis, identity)
+- OpenDMARC (pass/fail/none pro Domain)
+
+### 5. Entscheidungslogik
+DMARC besteht nur, wenn mindestens ein Mechanismus DMARC-konform erfolgreich ist:
+- SPF(mailfrom) aligned
+- DKIM valid + aligned
+
+SPF über HELO ist für DMARC nicht verwertbar.
+
+### 6. Ableitungsregel
+Wenn SPF nur über HELO erfolgreich war und DMARC fail meldet, muss DKIM fehlgeschlagen sein.
+
+### 7. Revisionssichere Begründung
+Die E-Mail wurde gemäß der DMARC-Policy der Absenderdomain abgelehnt, da keine DMARC-konforme Authentifizierung vorlag.
+
+### 8. Referenzen
+RFC 7489 (DMARC), RFC 7208 (SPF), RFC 6376 (DKIM)
diff --git a/DOC/DMARC_Rejections_SOP.pdf b/DOC/DMARC_Rejections_SOP.pdf
new file mode 100644
index 0000000..4b57178
Binary files /dev/null and b/DOC/DMARC_Rejections_SOP.pdf differ
diff --git a/install_postfix_advanced.sh b/install_postfix_advanced.sh
index d7d0c89..00ba8d4 100755
--- a/install_postfix_advanced.sh
+++ b/install_postfix_advanced.sh
@@ -2126,7 +2126,9 @@ smtpd_tls_key_file = $_TLS_KEY_FILE
 #smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh_1024.pem
 ## - also possible to use 2048 key with that parameter
 ## -
-smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh_2048.pem
+## - DEPRECATED parameter-
+## -
+#smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh_2048.pem
 
 ## - File with DH parameters that the Postfix SMTP server should use with EDH ciphers.
 ## -
diff --git a/install_postfix_base.sh b/install_postfix_base.sh
index 2286054..787778c 100755
--- a/install_postfix_base.sh
+++ b/install_postfix_base.sh
@@ -929,7 +929,9 @@ smtpd_tls_key_file = $_TLS_KEY_FILE
 #smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh_1024.pem
 ## - also possible to use 2048 key with that parameter
 ## -
-smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh_2048.pem
+## - DEPRECATED parameter-
+## -
+#smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh_2048.pem
 
 ## - File with DH parameters that the Postfix SMTP server should use with EDH ciphers.
 ## -