Alias-Strategie für Strato — HiMail Aliase plus Privacy-Layer

Strato gehört seit April 2017 zur United Internet AG und ist als Marke Teil der IONOS Group SE. HiMail-Tarife erlauben je nach Tarif unterschiedlich viele Aliase pro Postfach — Aliase zählen bei Strato häufig gegen das Postfach-Kontingent. Diese Anleitung zeigt, wie Sie Aliase oder alternative Weiterleitungen im Strato Kunden-Login anlegen, wann Catch-All sinnvoll ist und wann eine externe Privacy-Empfehlung wie SimpleLogin (Proton-Tochter seit 8. April 2022) für Mitarbeiter mit EU-Souveränitäts-Mandat sinnvoll ist.

Email Security prüfen Plattform entdecken

Strato · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 24. Mai 2026

Alias-Strategie für Strato — HiMail-Aliase plus Privacy-Layer

Strato ist seit April 2017 Teil der United Internet AG und als Marke in der IONOS Group SE eingebunden — Strato und IONOS teilen seitdem Infrastruktur unter dem United-Internet-Dach. Die Alias-Mechanik in den Strato-HiMail-Tarifen ist tarifabhängig, Aliase zählen häufig gegen das Postfach-Kontingent. Die Strato-FAQ (strato.de/faq) dokumentiert die konkreten Limits pro Tarif.

Bei knappen Tarif-Limits bietet Strato wie IONOS die Wahl zwischen Aliasen und Weiterleitungen — der Effekt für die Leak-Erkennung ist identisch, weil die Source-Adresse beim Empfang sichtbar bleibt. Catch-All ist verfügbar, aber mit dem üblichen Dictionary-Attack-Risiko verbunden. Eine zusätzliche Privacy-Empfehlung wie SimpleLogin (Proton-Tochter seit 8. April 2022) deckt EU-Souveränitäts-Mandate ab — Strato selbst ist DACH-souverän, aber für besonders schutzbedürftige Identitäten oder klare Trennung von Firmen- und Privat-Adressen bringt SimpleLogin zusätzliche Mechanik (anonyme Reply, automatische Adress-Rotation).

Hardening-Pfad: MX → SPF → DKIM → DMARC → DMARC-Enforcement → ARC & SEG → Alias-Strategie (dieser Guide).

Ausführliche Einführung in die Alias-Strategie

1 Schritt 1 von 4

Tarif-Limit prüfen und vorhandene HiMail-Aliase auflisten

Im Strato Kunden-Login unter E-Mail sehen Sie pro Postfach die bereits konfigurierten Aliase und Weiterleitungen. Tarif-Details und Limits stehen im Vertragsbereich.

# Strato-MX-Pattern pruefen (Stack-Detection)
dig MX ihre-domain.de +short
# Typisch: mxext1.kundenserver.de., mxext2.kundenserver.de., ...
# (Strato + IONOS teilen Infrastruktur unter United-Internet-Dach)

# Aliase im Strato Kunden-Login pruefen
# kunden.strato.de/apps/CustomerService/login.prc
# Paket waehlen -> E-Mail -> Postfaecher -> Adresse waehlen
# "Aliase verwalten" oder "Weiterleitungen"

# Tarif-Limits: HiMail Standard vs HiMail Premium / Business
# Hinweis: Aliase zaehlen bei Strato haeufig gegen das
# Postfach-Kontingent — Tarif-Details im Vertragsbereich pruefen.

Strato und IONOS teilen Infrastruktur

Die MX-Records von Strato-Domains zeigen häufig auf kundenserver.de — eine United-Internet-gemeinsame Domain, die auch für IONOS-Kunden verwendet wird. Funktional sind die Mail-Server-Eigenschaften (Tarif-Limits, Aliase, Catch-All) aber strato-spezifisch im Kunden-Login zu verwalten.

2 Schritt 2 von 4

Service-Aliase oder Weiterleitungen je nach Tarif anlegen

Pro externem Dienst ein eigener Service-Alias — bei Tarif-Grenze als Weiterleitung. Beides erlaubt die Leak-Quellen-Identifikation.

# Service-Alias im Strato Kunden-Login anlegen
# kunden.strato.de -> Paket -> E-Mail -> Postfach waehlen
# "Aliase verwalten" -> "Alias hinzufuegen"
#   Alias:  hubspot-2026@firma.de
#   Ziel:   marketing@firma.de (vorhandenes Postfach)

# Alternative bei Tarif-Grenze: Weiterleitung
# kunden.strato.de -> Paket -> E-Mail -> "Weiterleitungen"
#   Quelle:  slack-2026@firma.de
#   Ziel:    it@firma.de

# Catch-All bei Strato
# E-Mail -> Catch-All-Adresse aktivieren (mit Vorsicht)
# Wie bei IONOS: Dictionary-Attack-Bots probieren systematisch
# gaengige Adressen — Spam-Volumen kann signifikant sein.

3 Schritt 3 von 4

Externe Privacy-Anbieter optional empfehlen

Strato-native Aliase decken die meisten Szenarien zentral ab. Für EU-Souveränitäts-Mandate oder besondere Schutzbedarfe ist ein zusätzlicher externer Privacy-Anbieter sinnvoll.

Privacy-Anbieter-Empfehlung mit Souveränitäts-Tag

EU-/CH-souverän: SimpleLogin (Proton-Tochter seit 8. April 2022, Genf) oder Proton Pass-Email. Self-Hosted: addy.io (vorher AnonAddy, Rebrand 9. August 2023). US-Konzern: Firefox Relay (Mozilla), DuckDuckGo Email Protection, Apple Hide My Email (iCloud+-Pflicht). Detail in der Auswahl-Matrix im Kapitel-Index.

4 Schritt 4 von 4

Verifikation und Leak-Erkennung via Service-Alias plus HIBP-Monitoring

Verifikation per Test-Mail, dauerhaft Spam-Erkennung an Service-Aliasen plus HIBP-Domain-Search.

# Test-Mail an Service-Alias senden (extern)
# Strato-Webmail oder per IMAP-Client pruefen

# Antwort-Absender: Strato-Webmail antwortet standardmaessig
# vom Hauptpostfach — fuer Alias-Antworten im Mail-Client
# eine zusaetzliche Identitaet anlegen.

# Leak-Erkennung — Spam an Service-Alias = Leak-Quelle
# Mail an "hubspot-2026@firma.de" von unbekanntem Absender
# -> HubSpot hat Adresse weitergegeben oder wurde geleakt.

# HIBP API v3 fuer Domain-Search (kostenpflichtig)
curl -H "hibp-api-key: IHR-32-ZEICHEN-API-KEY" \
  https://haveibeenpwned.com/api/v3/breacheddomain/firma.de

# Wolf-Agents Email Security Check: erkennt Strato ueber das
# MX-Pattern *.kundenserver.de und prueft Catch-All sowie
# Role-Mailboxes (RFC 2142) als Hygiene-Indikator.

Häufige Fehler bei der Strato-Alias-Strategie

Tarif-Limit überschritten — Aliase zählen gegen Kontingent

Problem: Alias-Erstellung schlägt fehl. Ursache: Aliase zählen bei Strato häufig gegen das Postfach-Kontingent. Lösung: Tarif-Upgrade oder Wechsel auf Weiterleitungen.

Strato-/IONOS-Konzern-Verwechslung beim Support

Problem: Bei Support-Anfragen wird auf IONOS-Hilfe verwiesen oder umgekehrt. Ursache: Beide gehören seit April 2017 zur United Internet, sind aber als Marken getrennt zu adressieren. Lösung: Strato-Kunden nutzen den Strato Kunden-Login und Strato-FAQ — die Mail-Konfiguration ist trotz gemeinsamer Infrastruktur über die Strato-Oberfläche zu verwalten.

Catch-All als „bequeme Alias-Strategie“ — Spam-Volumen explodiert

Problem: Catch-All ist dauerhaft aktiv, das Postfach füllt sich mit Dictionary-Attack-Spam. Ursache: Bots probieren admin@, info@, test@ systematisch. Lösung: Catch-All nur temporär aktivieren, danach einzelne Service-Aliase einrichten.

Antwort kommt von Hauptadresse — Alias-Isolation gebrochen

Problem: Antwort auf an Alias eingegangene Mail kommt vom Hauptpostfach. Ursache: Strato-Webmail antwortet standardmäßig vom Hauptpostfach. Lösung: Im Mail-Client eine zusätzliche Identität pro Alias anlegen.

Compliance · DSGVO · MITRE

DSGVO Art. 32 und deutsche Rechenzentren für Strato-DACH-Kunden

Eine Alias-Strategie in Strato zahlt direkt auf DSGVO Art. 32 (Sicherheit der Verarbeitung) ein. Strato hostet vollständig in deutschen Rechenzentren (Berlin/Karlsruhe) — DACH-souverän gegenüber US-Cloud-Providern, gleichzeitig United-Internet-Konzern-Eigentum.

Strato-Alias-Compliance-Stack: DSGVO Art. 32 (Pseudonymisierung als TOM) + DSGVO Art. 17 (Alias-Deaktivierung als Lösch-Maßnahme) + Strato DACH-Rechenzentren + MITRE M1054. Wolf-Agents-USP: Der Email Security Check erkennt Strato über MX-Pattern *.kundenserver.de und prüft Catch-All-Konfiguration plus Role-Mailboxes (RFC 2142). Cross-Verweis: DMARC für Strato und ARC & SEG für Strato.

Mehrwert — Strato HiMail-Tarif-Mechanik und United-Internet-Konzern-Kontext

Strato gehört seit April 2017 zur United Internet AG und ist Teil der IONOS Group SE — die gemeinsame Infrastruktur kundenserver.de teilen sich Strato und IONOS. Die HiMail-Tarif-Familie (HiMail S/M/L) staffelt Alias-Limits und Postfach-Anzahl gegen den monatlichen Preis. Die jeweils aktuelle Tarif-Matrix findet sich unter strato.de/faq — Strato dokumentiert die genauen Limits regelmäßig, weshalb wir hier keine zeichengenauen Limits zitieren (Pricing-Volatilität-Vermeidung analog R4-Mehrwert-W2 SEG-Pricing-Tabelle).

MX-Umstellungs-Hygiene für Strato-Tarif-Wechsel: Bei Migrationen zwischen Tarifen (z.B. S → L) ist die TTL der MX-Records vorab auf 300 Sekunden zu senken (mindestens 24 Stunden vor dem Wechsel, damit alte Resolver-Caches ablaufen). Service-Aliase explizit dokumentieren und beim Tarif-Wechsel migrieren; Catch-All nur am Ende der Alias-Liste — Strato wertet Alias-Definitionen Top-Down aus. RFC-2142-Role-Mailboxes (postmaster@, abuse@, hostmaster@, security@, info@, webmaster@ — Dave Crocker, IMC, Mai 1997 Proposed Standard) sind seriös-Domain-Pflicht.

Externe Privacy-Layer-Empfehlung für Strato-Kunden: Strato hostet in DE-Rechenzentren — native DACH-Souveränität. Für Mitarbeiter-Privacy-Workflows mit Pseudonym-Bedarf bleibt eine externe Pseudonym-Schicht sinnvoll: SimpleLogin (Proton-Tochter seit 8. April 2022, Plan-les-Ouates Genf — simplelogin.io/pricing, Free=10 Aliase / kostenpflichtiges Premium unbegrenzt + Custom Domain + Reverse Reply) als EU/CH-souveräner Anbieter; addy.io (Will Browning, UK; Rebrand 9.8.2023 — github.com/anonaddy/anonaddy, AGPL-3.0, PHP/Laravel) self-hostable für volle Datensouveränität. Wolf-Agents-USP: Der 165-Punkte-Scanner erkennt Strato über MX-Pattern mx.kundenserver.de + mxnp.kundenserver.de, prüft Catch-All und RFC-2142-Role-Mailboxes als Hygiene-Indikator.

Alias-Strategie-Anleitung für weitere Provider:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint Infomaniak World4You Proton Mail Postfix Exim Mailcow Cloudflare DNS Hetzner DNS

Wie steht Ihre Domain bei Alias-Strategie · Strato?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten