Alias-Strategie bei Cloudflare — Email Routing mit ARC-Seal
Cloudflare ist bei Aliasen ein Sonderfall, weil drei Produkte denselben Markennamen tragen: Cloudflare DNS hostet nur DNS-Records (keine Aliase), Cloudflare Email Routing ist ein kostenloser Forwarding-/Alias-Dienst für Custom-Domains (mit ARC-Sealing!), Cloudflare Email Security (ehemals Area 1) ist das vollwertige ICES. Anders als die früher verbreitete Aussage „Cloudflare hat keinen ARC-Support“ stimmt das nicht mehr — Cloudflare Email Routing erzeugt beim Forwarding einen eigenen ARC-Seal-Header und nutzt SRS (Sender Rewriting Scheme). Diese Anleitung trennt die drei Rollen sauber, zeigt die Routing-Rule-Konfiguration und die ARC-Sealing-Mechanik.
Cloudflare Email Routing als kostenloser Alias-Service mit ARC-Seal
Cloudflare ist bei Aliasen ein Sonderfall mit drei verschiedenen Produkten unter einem Markennamen — und entgegen einer früher verbreiteten Aussage hat Cloudflare Email Routing seit 2024 native ARC-Sealing-Unterstützung. Cloudflare DNS (NS-Pattern *.ns.cloudflare.com) hostet ausschließlich DNS-Records und hat keine eigene Alias-Funktion. Cloudflare Email Routing (MX-Pattern route1-3.mx.cloudflare.net) ist ein kostenloser Forwarding-/Alias-Dienst für Custom-Domains — die Cloudflare-Doku formuliert „Email Routing is free and private by design.“ Cloudflare Email Security (ehemals Area 1 Security, übernommen am 1. April 2022 für 162 Mio. USD) ist das vollwertige ICES und in MX-Records typischerweise nicht sichtbar (API-basiert).
Cloudflare Email Routing als Alias-Dienst: Pro Custom-Address legen Sie eine Routing Rule an — z.B. hubspot-2026@firma.de → marketing@gmail.com. Cloudflare setzt beim Aktivieren automatisch die nötigen MX-Records (route1-3.mx.cloudflare.net) und einen passenden SPF-TXT-Eintrag (include:_spf.mx.cloudflare.net). Beim Forwarding fügt Cloudflare einen eigenen ARC-Seal-Header hinzu, schreibt den Envelope-From per SRS (Sender Rewriting Scheme) auf srs.mx.cloudflare.net um und ergänzt zwei DKIM-Signaturen (eigene Cloudflare-Domain plus Kunden-Domain). Damit übersteht DMARC die Weiterleitung deutlich besser. Eingehende Mail muss bei Cloudflare entweder SPF bestehen oder DKIM-signiert sein — sonst wird sie abgelehnt.
Hardening-Pfad (Beispiel mit Microsoft 365 als Backend-Postfach): MX → SPF → DMARC → ARC & SEG → Alias-Strategie (dieser Guide).
Drei Cloudflare-Rollen trennen — DNS, Email Routing, Email Security
Vor jeder Konfiguration die richtige Cloudflare-Rolle identifizieren — DNS, Email Routing oder Email Security.
# ROLLE 1 — Cloudflare DNS: NS-Pattern (reines DNS-Hosting, keine Aliase)
dig NS ihre-domain.de +short
# Erwartet: zwei *.ns.cloudflare.com
# ROLLE 2 — Cloudflare Email Routing: MX-Pattern (Alias-/Forwarding-Service)
dig MX ihre-domain.de +short
# Bei aktivem Email Routing:
# route1.mx.cloudflare.net
# route2.mx.cloudflare.net
# route3.mx.cloudflare.net
# ROLLE 3 — Cloudflare Email Security: ICES (API-basiert, in MX nicht sichtbar)
# Erkennung nur ueber Cloudflare-Dashboard moeglich.
# DMARC-Policy (Voraussetzung fuer Forwarding-Schutz via ARC)
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...Eine gelegentlich verbreitete Aussage „Cloudflare Email Routing hat keinen ARC-Support“ ist veraltet — seit 2024 dokumentiert Cloudflare das ARC-Sealing nativ. Beim Forwarding wird automatisch ein ARC-Set angehängt (ARC-Authentication-Results, ARC-Message-Signature, ARC-Seal mit cv=none), plus SRS-Umschreibung des Envelope-From. Dadurch übersteht DMARC die Weiterleitung — Ziel-Postfächer wie Gmail oder Microsoft 365 erkennen das Cloudflare-ARC-Set und werten es aus.
Cloudflare Email Routing aktivieren und Routing Rules anlegen
Im Cloudflare Dashboard unter Email → Email Routing aktivieren — Cloudflare setzt automatisch die nötigen MX-Records und SPF-Eintrag.
# Cloudflare Email Routing aktivieren
# dash.cloudflare.com -> Zone waehlen -> Email -> Email Routing
# -> "Get Started" oder "Enable"
#
# Cloudflare setzt automatisch:
ihre-domain.de. IN MX 10 route1.mx.cloudflare.net.
ihre-domain.de. IN MX 20 route2.mx.cloudflare.net.
ihre-domain.de. IN MX 30 route3.mx.cloudflare.net.
ihre-domain.de. IN TXT "v=spf1 include:_spf.mx.cloudflare.net ~all"
# Routing Rules anlegen
# Email -> Email Routing -> Routing Rules -> "Create Address"
#
# Custom Address: hubspot-2026@firma.de
# Destination: marketing@gmail.com (oder externes Ziel)
#
# Pro Service-Alias eine eigene Routing Rule.
# Cloudflare-Doku: "Email Routing is free and private by design."
# Catch-All Routing Rule
# Match: Catch-all addresses
# Action: Send to / Drop / Reject
# WICHTIG: eingehende Mail muss SPF oder DKIM bestehen,
# sonst lehnt Cloudflare die Annahme ab.Die Cloudflare-Doku nennt für Email Routing „any number of custom email addresses“ — exakte Limits pro Domain sind in der jeweils aktuellen Cloudflare-Pricing-Doku zu finden. Wer sehr hohe Alias-Zahlen pro Domain plant, sollte die Limits vor dem Rollout verifizieren. Für übliche KMU-Setups mit 20-50 Service-Aliasen reicht Email Routing problemlos und ist im Free-Tier von Cloudflare enthalten.
Cloudflare Email Routing ARC-Sealing-Flow (Free-Alias-Service mit ARC seit 30.6.2025)
Cloudflare Email Routing als kostenlose Alias-Lösung mit ARC-Sealing seit 30.6.2025. Original Sender (SPF align + DKIM-Sign) wird via route1-3.mx.cloudflare.net empfangen, ARC-Seal cv=none gesetzt, SRS-Envelope umgeschrieben und 2 DKIM-Signaturen angebracht (d=email.cloudflare.net + d=customer-domain.de). Ziel-Postfach (M365/Google/Self-Hosted) erhält DMARC-Pass via ARC-Verifikation.
ARC-Sealing und SRS verstehen — Cloudflare als ARC-Sealer
Cloudflare Email Routing erzeugt beim Forwarding einen eigenen ARC-Seal-Header und schreibt den Envelope-From per SRS um — DMARC übersteht die Weiterleitung.
Cloudflare ist ein US-Konzern (Cloudflare Inc., San Francisco) und damit CLOUD-Act-exponiert. Für Kunden mit Anti-CLOUD-Act-Mandat (Berufsgeheimnisträger, Behörden) ist Cloudflare Email Routing daher trotz technischer Stärke (kostenlos, ARC-Seal, SRS) kritisch zu bewerten — DACH-/EU-souveräne Alternativen sind SimpleLogin (Proton AG, Genf) oder ein self-hosted addy.io. Für allgemeine KMU-Setups ohne explizites Anti-CLOUD-Act-Mandat ist Cloudflare Email Routing eine pragmatische Lösung. Detail in der Auswahl-Matrix im Kapitel-Index.
Verifikation und Leak-Erkennung via Custom-Address plus HIBP-Monitoring
Verifikation per ARC-Header-Check, SRS-Envelope-Check und Mail-Log im Ziel-Postfach.
# Verifikation: Test-Mail an Custom-Address senden,
# im Ziel-Postfach Original-Header pruefen
# Erwartete ARC-Header von Cloudflare Email Routing:
# ARC-Authentication-Results: i=1; ...
# ARC-Message-Signature: i=1; ...; d=...cloudflare.com
# ARC-Seal: i=1; ...; cv=none; d=...cloudflare.com
# Authentication-Results: ...; arc=pass ...
# SRS-Umschreibung sichtbar im Envelope-From:
# MAIL FROM:<...@srs.mx.cloudflare.net> (statt Original-Absender)
# DKIM-Signaturen: Cloudflare fuegt 2 Signaturen hinzu
# (eigene Cloudflare-Domain plus Kunden-Domain)
# Leak-Erkennung — Spam an Custom-Address = Leak-Quelle
# HIBP API v3 fuer Domain-Search
curl -H "hibp-api-key: IHR-32-ZEICHEN-API-KEY" \
https://haveibeenpwned.com/api/v3/breacheddomain/firma.de
# Wolf-Agents Email Security Check erkennt das NS-Pattern
# *.ns.cloudflare.com und das MX-Pattern route1-3.mx.cloudflare.net.Häufige Fehler bei der Cloudflare-Email-Routing-Alias-Strategie
„Cloudflare hat keinen ARC-Support“ als veraltete Annahme
Problem: Aussage in Online-Foren oder älteren Blog-Posts. Ursache: Frühe Cloudflare-Email-Routing-Version hatte tatsächlich kein ARC-Sealing — die aktuelle (seit 2024) hat es. Lösung: Live-Verifikation via Test-Mail und Header-Check — der ARC-Seal von Cloudflare ist klar sichtbar (d=...cloudflare.com).
Cloudflare DNS mit Cloudflare Email Routing verwechselt
Problem: Suche nach Alias-Funktion in der DNS-Konfiguration. Ursache: Drei Cloudflare-Produkte mit demselben Markennamen. Lösung: Aliase werden in Cloudflare Email Routing konfiguriert, nicht in Cloudflare DNS. Dashboard → Email → Email Routing.
Catch-All Routing Rule überwacht — Spam-Volumen explodiert
Problem: Catch-All ist auf „Send to“ gesetzt — alle ungültigen Adressen werden weitergeleitet. Ursache: Dictionary-Attack-Bots. Lösung: Catch-All auf „Drop“ oder „Reject“ setzen — nur explizit konfigurierte Custom-Addresses sollen weitergeleitet werden.
SPF-Eintrag manuell überschrieben — Cloudflare-Routing bricht
Problem: Eigener SPF-Eintrag überschreibt den von Cloudflare gesetzten include:_spf.mx.cloudflare.net. Ursache: Manuelle SPF-Pflege ohne Berücksichtigung der Cloudflare-Routing-Anforderung. Lösung: Bei aktivem Email Routing den Cloudflare-include zwingend im SPF behalten — sonst lehnt Cloudflare die eigene Forwarding-Mail ab.
DSGVO Art. 32 und CLOUD-Act-Bewertung bei Cloudflare Email Routing
Eine Alias-Strategie via Cloudflare Email Routing zahlt auf DSGVO Art. 32 (Sicherheit der Verarbeitung) ein. Cloudflare ist US-Konzern (San Francisco) — bei Anti-CLOUD-Act-Mandaten als Lieferketten-Risiko nach NIS2 Art. 21 Abs. 2 lit. d zu bewerten.
Cloudflare-Email-Routing-Alias-Compliance-Stack: DSGVO Art. 32 (Pseudonymisierung als TOM) + DSGVO Art. 17 (Alias-Deaktivierung als Lösch-Maßnahme) + NIS2 Art. 21 Abs. 2 lit. d (Lieferketten-Bewertung Cloudflare als US-Konzern) + MITRE M1054. Wolf-Agents-USP: Der Email Security Check erkennt Cloudflare über NS-Pattern *.ns.cloudflare.com und MX-Pattern route1-3.mx.cloudflare.net und prüft Catch-All sowie Role-Mailboxes (RFC 2142). Cross-Verweis: DMARC bei Cloudflare DNS, ARC & SEG bei Cloudflare und Hetzner DNS als alternative DNS-only-Variante.
Mehrwert — Cloudflare Email Routing ARC-Sealing Detail plus Migration zu Cloudflare Email Service
Cloudflare Email Routing ist der einzige kostenlose Alias-Service mit ARC-Sealing — eine substanzielle Mehrwert-Eigenschaft gegenüber den meisten Free-Tier-Konkurrenten. Beim Forwarding fügt Cloudflare drei Authentifizierungs-Elemente hinzu (developers.cloudflare.com/email-routing/postmaster, WebFetch 24.5.2026): (1) ARC-Set (ARC-Authentication-Results + ARC-Message-Signature + ARC-Seal mit cv=none beim ersten Hop) — ermöglicht beim Ziel-Empfänger einen erfolgreichen DMARC-Pass trotz Forwarding-IP-Wechsel; (2) SRS-Envelope-Rewriting — der Envelope-From wird auf eine Cloudflare-SRS-Adresse umgeschrieben, der sichtbare Header-From bleibt unverändert; (3) zwei DKIM-Signaturen — eine im Namen von email.cloudflare.net (Cloudflare-Domain), eine im Namen der Customer-Domain (z.B. example.com).
Anforderung an eingehende Mail seit 30. Juni 2025 (per Cloudflare-Changelog verschärft): Eingehende Mail muss entweder SPF-Verifikation bestehen ODER korrekt DKIM-signiert sein, sonst lehnt Cloudflare Email Routing die Annahme ab. DMARC ist zusätzlich empfohlen, aber keine harte Pflicht. Migration zu Cloudflare Email Service: Cloudflare migriert Email Routing in den Nachfolger Cloudflare Email Service (developers.cloudflare.com/email-service/) — für neue Projekte verlinkt die Dokumentation auf das aktualisierte Produkt. Stand 24. Mai 2026: Email Routing bleibt produktiv, Email Service ergänzt API-zentrierte Workflows. Wer aktiv migriert, sollte die ARC-Header-Verifikation am Ziel-Empfänger nach Migration erneut prüfen.
DACH-Souveränitäts-Einordnung: Cloudflare ist US-Konzern (San Francisco) — bei Anti-CLOUD-Act-Mandaten ist Cloudflare Email Routing als Lieferketten-Risiko nach NIS2 Art. 21 Abs. 2 lit. d zu bewerten. Alternativ-Empfehlung für CH/AT-Kunden: SimpleLogin (Proton-Tochter seit 8.4.2022, Plan-les-Ouates Genf — kostenpflichtig (Premium) für unbegrenzte Aliase + Custom Domain) oder addy.io self-hosted (Will Browning UK, AGPL-3.0, github.com/anonaddy/anonaddy). Wer trotz US-Konzern-Caveat Cloudflare nutzt, gewinnt einen kostenlosen Alias-Service mit nativer ARC-Mechanik — eine Mechanik, die selbst kostenpflichtige Konkurrenten nicht durchgängig bieten. Wolf-Agents-USP: Der Scanner erkennt Cloudflare über NS-Pattern *.ns.cloudflare.com und MX-Pattern route1-3.mx.cloudflare.net, prüft Catch-All und RFC-2142-Role-Mailboxes (Dave Crocker, IMC, Mai 1997) als Hygiene-Indikator. Cross-Verweis: ARC bei Cloudflare und Hetzner DNS (alternative DNS-only-Variante).
Alias-Strategie-Anleitung für weitere Provider:
Wie steht Ihre Domain bei Alias-Strategie · Cloudflare Email Routing?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.