ARC & SEG bei Cloudflare — DNS, Email Routing und Email Security
Cloudflare ist ein Sonderfall: Hinter dem Namen stehen drei verschiedene Produkte, die bei ARC und SEG strikt zu trennen sind. Cloudflare DNS ist reines DNS-Hosting ohne Mailserver und damit ohne eigene ARC- oder SEG-Funktion. Cloudflare Email Routing ist ein kostenloser Weiterleitungsdienst, der beim Weiterleiten einen eigenen ARC-Seal-Header erzeugt. Cloudflare Email Security — ehemals Area 1 Security — ist das vollwertige Secure Email Gateway gegen Phishing, Malware und BEC. Diese Anleitung ordnet die drei Rollen, zeigt das ARC-Sealing von Email Routing und die SEG-Optionen.
ARC und SEG bei Cloudflare: drei Produkte sauber trennen
Cloudflare ist bei ARC und SEG ein Sonderfall, weil drei verschiedene Produkte denselben Markennamen tragen. Reines Cloudflare DNS hostet ausschließlich DNS-Records und betreibt keinen Mailserver — es hat damit selbst keine ARC- und keine SEG-Funktion. ARC-Sealing und SEG-Filterung laufen nicht im DNS, sondern bei dem Dienst, der die E-Mails tatsächlich annimmt: bei Cloudflare Email Routing oder bei Cloudflare Email Security. Wer das verwechselt, sucht ARC-Einstellungen an der falschen Stelle.
Die drei Rollen im Überblick: (a) Cloudflare DNS verwaltet die Zone-Records — der MX-Record entscheidet hier nur, wohin Mail zugestellt wird, das DNS prüft oder signiert nichts. (b) Cloudflare Email Routing ist ein kostenloser Weiterleitungsdienst: Er nimmt eingehende E-Mails an und leitet sie an ein Ziel-Postfach weiter — und erzeugt dabei einen eigenen ARC-Seal-Header, ergänzt SRS (Sender Rewriting Scheme) und setzt beim Aktivieren automatisch einen passenden SPF-Eintrag. Eine Basis-Spam-Erkennung ist enthalten, ein vollwertiges SEG ist Email Routing aber nicht. (c) Cloudflare Email Security — hervorgegangen aus dem von Cloudflare übernommenen Anbieter Area 1 Security — ist das vollwertige Secure Email Gateway gegen Phishing, Malware und Business Email Compromise. Die Cloudflare-Dokumentation (developers.cloudflare.com/email-routing, Abruf 2026-05-21) beschreibt das Routing-Verhalten.
Hardening-Pfad (Mail-Backend-Beispiel Microsoft 365): MX → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit Cloudflare DNS → ARC & SEG (dieser Guide). Bedrohungs-Cluster: Ein SEG ist die zentrale Abwehr gegen Phishing und Business Email Compromise.
Cloudflare Email Routing seal-t ARC heute real und funktioniert — gleichzeitig sollten Sie wissen, dass ARC (RFC 8617) den IETF-Status Experimental trägt und das Working-Group-Dokument draft-ietf-dmarc-arc-to-historic (Stand 22. April 2026) eine Reklassifizierung als Historic empfiehlt. Nachfolger ist DKIM2 (IETF-Arbeitsgegenstand seit März 2026). Für die Praxis heißt das: Email Routing weiter nutzen, sein ARC-Sealing wirkt für Forwarding-Szenarien — aber keine darüber hinausgehenden ARC-Eigeninvestitionen planen.
Die drei Cloudflare-Rollen klären — DNS, Email Routing, Email Security
Bevor Sie irgendetwas konfigurieren, klären Sie die Ausgangslage: Welche der drei Cloudflare-Funktionen ist bei Ihrer Domain aktiv? Cloudflare DNS allein bedeutet, dass nur die Nameserver bei Cloudflare liegen — Mailannahme, ARC-Validierung und SEG-Filterung passieren dann vollständig bei dem Provider, auf den der MX-Record zeigt. Erst der MX-Record verrät, ob Cloudflare Email Routing als Forwarder im Spiel ist oder ein externer Mailserver.
Der erste dig-Befehl liest das NS-Pattern *.ns.cloudflare.com — das belegt nur das DNS-Hosting. Der zweite Befehl liest den MX-Record: Zeigt er auf route1-3.mx.cloudflare.net, ist Cloudflare Email Routing aktiv (Schritt 2); zeigt er auf *.mail.protection.outlook.com, smtp.google.com oder einen eigenen Mailserver, läuft ARC und SEG dort. Der dritte Befehl prüft die DMARC-Policy als Voraussetzung der gesamten Kette.
# Rolle 1 — Cloudflare DNS: NS-Pattern (reines DNS-Hosting)
dig NS ihre-domain.de +short
# Erwartet: zwei *.ns.cloudflare.com
# z.B. "alex.ns.cloudflare.com." + "kate.ns.cloudflare.com."
# Cloudflare DNS hostet nur DNS-Records — keine ARC-, keine SEG-Funktion.
# Rolle 2/3 — Wo liegt der Mailserver? (ARC + SEG laufen dort)
dig MX ihre-domain.de +short
# Cloudflare Email Routing: route1.mx.cloudflare.net
# route2.mx.cloudflare.net
# route3.mx.cloudflare.net
# Microsoft 365: ihrtenant.mail.protection.outlook.com
# Google Workspace: smtp.google.com
# Eigener Mailcow/Postfix: mail.ihre-domain.de
# DMARC-Policy der eigenen Domain (Voraussetzung der gesamten Kette)
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...Cloudflare DNS speichert TXT-, MX-, CAA- und andere Records — es nimmt aber keine E-Mail an, validiert keine ARC-Kette und filtert keinen Inhalt. Wenn der MX-Record auf einen externen Mailserver zeigt, suchen Sie die ARC- und SEG-Konfiguration bei diesem Provider: bei Microsoft 365 im Defender-Portal, bei Google Workspace in der Admin-Konsole, bei einem eigenen Mailserver in der Server-Konfiguration. Das Cloudflare-Dashboard (dash.cloudflare.com) ist für reines DNS-Hosting bei ARC und SEG nicht der richtige Ort — es sei denn, Sie nutzen Email Routing oder Email Security.
Cloudflare Email Routing mit ARC-Sealing einrichten und verstehen
Cloudflare Email Routing ist der kostenlose Weiterleitungsdienst von Cloudflare — und genau hier findet das ARC-Sealing statt. Beim Weiterleiten einer eingehenden Nachricht erzeugt Email Routing ein eigenes ARC-Set aus drei Headern, sodass das Ziel-Postfach die ursprünglichen SPF-, DKIM- und DMARC-Ergebnisse über den ARC-Seal nachvollziehen kann. Zusätzlich schreibt SRS den Envelope-Absender um, und beim Aktivieren setzt Cloudflare automatisch einen passenden SPF-Eintrag.
Die Einrichtung erfolgt im Cloudflare-Dashboard unter Email → Email Routing: Sie legen eine Custom Address an, hinterlegen die Destination Address (das tatsächliche Ziel-Postfach) und Cloudflare trägt die route1-3.mx.cloudflare.net-MX-Records sowie den SPF-Include automatisch in die Zone ein. Wichtig zur Einordnung: Email Routing leitet ausschließlich eingehende Mail weiter — es ist kein Outbound-SMTP-Sender. Für den Versand brauchen Sie weiterhin einen eigenen Mailserver oder Mailversand-Dienst. Die Basis-Spam-Erkennung von Email Routing ersetzt kein vollwertiges SEG (Schritt 3).
# Cloudflare Email Routing erzeugt beim Weiterleiten einen ARC-Seal.
# Pfad im Cloudflare-Dashboard:
# dash.cloudflare.com -> (Zone) -> Email -> Email Routing
# -> Routing rules: Custom address -> Destination address
# SPF-Eintrag, den Cloudflare beim Aktivieren automatisch setzt:
ihre-domain.de. IN TXT "v=spf1 include:_spf.mx.cloudflare.net ~all"
# ARC-Header, den Email Routing der weitergeleiteten Mail hinzufügt
# (sichtbar im Ziel-Postfach, Original anzeigen / Internetkopfzeilen):
# ARC-Authentication-Results: i=1; ...
# ARC-Message-Signature: i=1; ...
# ARC-Seal: i=1; ...; cv=none; ...
#
# Wirkung: das Ziel-Postfach (Gmail, M365, Yahoo) sieht über den
# ARC-Seal die Original-SPF/DKIM/DMARC-Ergebnisse vor der Weiterleitung.
# SRS schreibt den Envelope-From auf eine cloudflare-Adresse um,
# damit das reine SPF nach der Weiterleitung nicht hart bricht.Ohne ARC bricht eine Weiterleitung die Authentifizierung: Das reine SPF prüft die IP des weiterleitenden Servers, und DKIM bricht, sobald sich die Nachricht verändert — beides lässt DMARC scheitern. Weil Cloudflare Email Routing beim Weiterleiten einen eigenen ARC-Seal setzt, kann das Ziel-Postfach den geprüften Original-Authentifizierungsstatus aus dem ARC-Set übernehmen, sofern es Cloudflare als ARC-Sealer auswertet. Damit überleben über Email Routing weitergeleitete Nachrichten eine DMARC-Policy mit p=reject. Das Ziel-Postfach muss ARC allerdings selbst auswerten — Gmail, Microsoft 365 und Yahoo tun das, Apple iCloud Mail nicht.
Cloudflare Email Security (ex-Area 1) als SEG vorschalten — oder ein anderes SEG
Das vollwertige Secure Email Gateway im Cloudflare-Portfolio ist Cloudflare Email Security — hervorgegangen aus Area 1 Security, einem auf E-Mail-Sicherheit spezialisierten Anbieter, den Cloudflare übernommen hat. Die Übernahme wurde am 23. Februar 2022 angekündigt und am 1. April 2022 zu einem Kaufpreis von rund 162 Millionen US-Dollar abgeschlossen. Cloudflare Email Security filtert Phishing, Malware und Business Email Compromise und ist damit die SEG-Schicht, die Email Routing nicht leistet.
Cloudflare Email Security lässt sich auf zwei Wegen einbinden: inline über eine MX-Umstellung, bei der der MX-Record im Cloudflare DNS auf das Gateway zeigt, oder API-basiert per Anbindung an Microsoft 365 oder Google Workspace ohne MX-Änderung. Wenn Sie statt Cloudflare Email Security ein anderes SEG bevorzugen — etwa von einem unabhängigen DACH-Anbieter — funktioniert das gleichermaßen: Der MX-Record wird im Cloudflare DNS auf das SEG umgestellt, das SEG reicht saubere Mail an Ihren Mailserver weiter. Cloudflare DNS bleibt dabei reiner DNS-Träger; die SEG-Logik liegt vollständig beim Gateway.
Cloudflare Email Routing ist ein Weiterleitungsdienst mit ARC-Sealing und Basis-Spam-Erkennung — geeignet, um Adressen einzusammeln, aber kein Sicherheits-Gateway. Cloudflare Email Security ist das vollwertige SEG mit Anti-Phishing, Anti-Malware und Impersonation-Schutz. Ein externes SEG ist sinnvoll, wenn Sie einen bestimmten Anbieter oder eine bestimmte Datenresidenz brauchen. In allen Fällen gilt: Der MX-Record wird im Cloudflare DNS gepflegt, aber die ARC- und SEG-Funktion selbst gehört nicht zu Cloudflare DNS. Ein SEG ersetzt außerdem nie SPF, DKIM und DMARC — es ergänzt sie um die inhaltliche Filterschicht.
Cloudflare Email Security ist die Nachfolge-Marke des Area-1-Security-Produkts, das Cloudflare am 23. Februar 2022 für rund 162 Mio. USD ankündigte und am 1. April 2022 abschloss. Architektonisch interessant ist, dass Cloudflare drei Deployment-Modi anbietet (laut Cloudflare-Developer-Dokumentation, Abruf 23. Mai 2026): (1) MX / Inline (Pre-Delivery) — klassischer SEG-Modus, MX-Record zeigt auf Cloudflare-Hostnames, vollständige Pre-Delivery-Filterung. (2) BCC / Journaling (Post-Delivery) — eingehende Mail wird parallel per BCC an Cloudflare gesendet, Cloudflare analysiert post-delivery und entfernt bösartige Mail nachträglich. (3) API — Anbindung an Microsoft 365 oder Google Workspace per Graph/Gmail-API, kein MX-Eingriff. DACH-Einordnung: Cloudflare Email Security ist ein US-Konzern-Produkt (Cloudflare Inc., San Francisco) — vergleichbar mit Mimecast (Permira) oder Hornetsecurity (seit 8.12.2025 Proofpoint/Thoma Bravo) hinsichtlich CLOUD-Act-Exposition. Stärken: tiefe DNS- und CDN-Integration mit Cloudflare-Zero-Trust-Suite, gute KI-/ML-basierte Anti-Phishing-Erkennung (Area-1-Erbe), starkes Threat-Intelligence-Netzwerk durch Cloudflares globalen Datenfluss. Schwächen für DACH-Souveränität: kein EU-only-Deployment dokumentiert, US-Konzern-Eigentum, geringe MSP-DACH-Tiefe gegenüber NoSpamProxy/Retarus/Hornetsecurity. Praxis-Empfehlung: Wenn Cloudflare bereits als DNS/CDN-Plattform im Einsatz ist und keine strengen DACH-Souveränitäts-Auflagen bestehen, ist Cloudflare Email Security eine kohärente Wahl. Bei Anti-CLOUD-Act-Mandat oder KRITIS-Anforderung weichen Sie zu DACH-inhabergeführt aus.
Verifikation per dig und ARC-Header
Die Verifikation prüft zwei Dinge: ob das MX-Pattern die erwartete Cloudflare-Email-Routing-Konfiguration zeigt und ob eine weitergeleitete Nachricht tatsächlich einen ARC-Seal von Cloudflare trägt. Senden Sie dazu eine Test-Mail von extern an eine Cloudflare-Email-Routing-Adresse und öffnen Sie im Ziel-Postfach die Original-Ansicht der Nachricht.
Im Header der weitergeleiteten Mail muss ein vollständiges ARC-Set erscheinen — ARC-Authentication-Results, ARC-Message-Signature und ARC-Seal mit cv=none für den ersten Hop. Der zusammenfassende Authentication-Results-Header sollte arc=pass ausweisen. Ist Cloudflare Email Security als SEG aktiv, zeigt das Cloudflare-Dashboard unter Email Security die erkannten Phishing- und Malware-Funde.
# 1. MX-Pattern bestätigen (Stack-Detection)
dig MX ihre-domain.de +short
# route1-3.mx.cloudflare.net -> Cloudflare Email Routing aktiv
# 2. Test-Mail von extern an eine Cloudflare-Email-Routing-Adresse
# senden, im Ziel-Postfach "Original anzeigen" öffnen.
# 3. Prüfen, dass ein ARC-Set von Cloudflare vorhanden ist:
# ARC-Seal: i=1; ...; cv=none; d=...cloudflare...
# Authentication-Results: ...; arc=pass ...
# 4. SEG-Wirkung: bei aktivem Cloudflare Email Security zeigt das
# Dashboard -> Email Security die erkannten Phishing-/Malware-Funde.
# Wolf-Agents Email Security Check: erkennt das NS-Pattern
# *.ns.cloudflare.com und das MX-Pattern route1-3.mx.cloudflare.net,
# unterscheidet reines DNS-Hosting vom Email-Routing-Forwarder und
# prüft ARC-Detection plus SEG-Status der Domain.
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Cloudflare-DNS-Hosting über das NS-Pattern *.ns.cloudflare.com, unterscheidet Cloudflare Email Routing (MX route1-3.mx.cloudflare.net) von einem externen Mail-Backend, bewertet die ARC-Detection und gleicht die MX-Records gegen die SEG-Provider-Datenbank ab. Das Monitoring überwacht die E-Mail-Sicherheit alle 6 Stunden.
Häufige Fehler bei ARC & SEG im Cloudflare-Kontext
ARC- oder SEG-Einstellungen im Cloudflare-DNS-Bereich gesucht
Problem: Im Cloudflare-Dashboard wird unter DNS nach einer ARC- oder SEG-Option gesucht und keine gefunden. Ursache: Cloudflare DNS ist reines DNS-Hosting und hat keine ARC- oder SEG-Funktion — diese Funktionen gehören zu Email Routing beziehungsweise Email Security oder zum externen Mailserver. Lösung: ARC-Sealing unter Email → Email Routing verstehen, das SEG über Cloudflare Email Security oder ein externes Gateway abbilden — oder die ARC-/SEG-Konfiguration beim Provider hinter dem MX-Record vornehmen.
Cloudflare Email Routing als „ohne ARC-Support“ eingeschätzt
Problem: Email Routing wird als simpler Forwarder ohne ARC betrachtet und das Forwarding deshalb anders gelöst. Ursache: Falschannahme — Cloudflare Email Routing erzeugt beim Weiterleiten tatsächlich einen eigenen ARC-Seal-Header und ergänzt SRS sowie einen automatischen SPF-Eintrag. Lösung: Das ARC-Sealing von Email Routing nutzen; in einer weitergeleiteten Test-Mail prüfen, dass ein ARC-Seal von Cloudflare vorhanden ist und das Ziel-Postfach (Gmail, M365, Yahoo) ihn als arc=pass auswertet.
Email Routing für ein vollwertiges SEG gehalten
Problem: Die Basis-Spam-Erkennung von Email Routing wird als Phishing-, Malware- und BEC-Schutz verstanden. Ursache: Email Routing ist ein Weiterleitungsdienst mit Basisfilter, kein Secure Email Gateway. Lösung: Für vollwertigen Schutz Cloudflare Email Security (ehemals Area 1 Security) oder ein anderes SEG vorschalten — Email Routing bleibt für die reine Weiterleitung zuständig.
„Cloudflare DNS aktiv — wir brauchen kein DMARC“
Problem: Das DNS-Hosting oder ein SEG bei Cloudflare wird als Ersatz für SPF, DKIM und DMARC betrachtet. Ursache: Verwechslung der Schutzrichtungen — DMARC verhindert den Missbrauch der eigenen Domain durch Dritte, ein SEG schützt die eigenen Postfächer vor eingehenden Bedrohungen, und das ARC-Sealing von Email Routing greift nur bei einer korrekten DMARC-Policy. Lösung: SPF, DKIM und DMARC mit Enforcement-Policy korrekt im Cloudflare DNS pflegen und ARC sowie SEG als Ergänzung betreiben.
Compliance: NIS2 lit. a + lit. d, BSI APP.5.3.A4, DSGVO mit Cloudflare
Ein Secure Email Gateway — ob Cloudflare Email Security oder ein externes Gateway — zahlt direkt auf NIS2 Art. 21 Abs. 2 lit. a ein („Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“) und setzt die BSI-IT-Grundschutz-Basis-Anforderung APP.5.3.A4 um (Spam- und Schadsoftware-Prüfung auf dem E-Mail-Server). Das ARC-Sealing von Cloudflare Email Routing sichert die Authentifizierungskette über Weiterleitungen ab und unterstützt damit lit. d (Sicherheit der Lieferkette). Cloudflare DNS selbst ist reines DNS-Hosting ohne Mailfunktion — die Compliance-Wirkung entsteht durch Email Routing beziehungsweise das SEG, nicht durch das DNS.
Cloudflare-ARC-SEG-Compliance-Stack: NIS2 lit. a (SEG als Defense-in-Depth-Schicht) + NIS2 lit. d (ARC-Sealing von Email Routing sichert die Forwarding-Lieferkette) + BSI IT-Grundschutz APP.5.3.A4 (Spam-/Schadsoftware-Prüfung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing-bedingtem Abfluss). Wolf-Agents-USP: Der Email Security Check erkennt Cloudflare-DNS-Hosting über das NS-Pattern *.ns.cloudflare.com, unterscheidet Email Routing (MX route1-3.mx.cloudflare.net) vom externen Mail-Backend, bewertet ARC-Detection und SEG-Status im 165-Punkte-Scanner (ARC und SEG als je 5 Bonuspunkte) und weist transparent aus, dass API-basierte SEG-Anbindungen für die MX-basierte Erkennung unsichtbar bleiben. Cross-Verweis: Phishing und Business Email Compromise.
ARC- und SEG-Anleitung für weitere Provider:
Wie steht Ihre Domain bei ARC & SEG · Cloudflare DNS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.