ARC & SEG für Strato — AntiSpam-Filter und optionales SEG

Strato bündelt Webhosting, Mail-Service, Registrar und DNS — der E-Mail-Schutz für Strato-Postfächer wird im STRATO Kunden-Login konfiguriert. Wie für Managed-Mail-Hosting typisch dokumentiert Strato keine eigene ARC-Signierung; die ARC-Validierung übernimmt der empfangende Provider. Der AntiSpam-Filter und der Schutz vor Viren-Wellen bilden die Basis-Inhaltsfilter-Schicht — kein Enterprise-SEG. Diese Anleitung zeigt Spam-Konfiguration, ARC-Strategie, optionales dediziertes SEG und Verifikation — inklusive Konzern-Hintergrund Strato seit April 2017 United Internet AG, IONOS Group SE-Marke.

ARC & SEG prüfen Plattform entdecken

Strato · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 21. Mai 2026

ARC und SEG für Strato-Postfächer

Strato ist seit April 2017 United Internet AG, IONOS Group SE-Marke — Strato gehört in denselben Konzernverbund wie IONOS, 1&1, GMX und WEB.DE. Für ARC gilt das, was für Managed-Mail-Hosting typisch ist: Strato dokumentiert keine eigene ARC-Signierung beim Weiterleiten von Nachrichten. Die ARC-Validierung — das Auswerten einer ARC-Kette — findet beim empfangenden Provider statt, etwa bei Gmail oder Microsoft 365. Als Inhaltsfilter-Schicht bringt Strato einen AntiSpam-Filter mit Schutzstufen sowie Black- und Whitelist und zusätzlich einen Schutz vor Viren-Wellen mit.

Der integrierte Schutz von Strato ist die Basis-Inhaltsfilter-Schicht, kein Enterprise Secure Email Gateway: Funktionen wie Multi-Engine-Sandboxing, URL-Rewriting mit Time-of-Click-Prüfung oder Impersonation Protection sind dort nicht enthalten. Wer höheren Schutz benötigt, schaltet ein dediziertes SEG per MX-Umstellung vor — der MX-Record zeigt dann auf das Gateway statt auf mxstore0.strato.de. Die offizielle Strato-Dokumentation (www.strato.de/faq, Abruf 2026-05-21) erläutert AntiSpam-Einstellungen und E-Mail-Funktionen.

Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → ARC & SEG (dieser Guide). Bedrohungs-Cluster: Ein SEG ist die zentrale technische Abwehr gegen Phishing, Business Email Compromise und gefährliche Anhänge.

ARC ist ein Experimental-Protokoll am Ende seines Lebenszyklus

ARC (RFC 8617) trägt seit der Veröffentlichung im Juli 2019 den IETF-Status Experimental. Das Working-Group-Dokument draft-ietf-dmarc-arc-to-historic (Stand 22. April 2026) empfiehlt, RFC 8617 als Historic einzustufen und von neuen Deployments abzuraten; als Nachfolger zeichnet sich DKIM2 ab. Für Strato-Kunden ist das praktisch entspannt: Da Strato ohnehin keine eigene ARC-Signierung anbietet, entstehen keine Migrationskosten. Wichtig bleibt eine saubere DMARC-Konfiguration — sie ist Voraussetzung sowohl für jede ARC-Auswertung beim Empfänger als auch für ein SEG.

Ausführliche Einführung in ARC und SEG

1 Schritt 1 von 4

ARC- und SEG-Ausgangslage der Strato-Domain prüfen

Bevor Sie etwas ändern, erheben Sie den Ist-Zustand: das MX-Pattern für die Stack-Detection, die DMARC-Policy als Voraussetzung der gesamten Authentifizierungs- und ARC-Kette und das ARC-Ergebnis im Header einer weitergeleiteten Test-Mail. Zeigt der MX-Record auf mxstore*.strato.de, bedient Strato Ihre Postfächer und es ist kein dediziertes SEG vorgeschaltet.

# Strato-Mail-MX-Pattern prüfen (Stack-Detection)
dig MX ihre-domain.de +short
# Erwartet bei Strato-Mail: 10 mxstore0.strato.de.
#   oder mxstore-[NODE].strato.de.

# DMARC-Policy der eigenen Domain (Voraussetzung der gesamten Kette)
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...

# ARC-Ergebnis im Header einer eingehenden, weitergeleiteten Mail
# (Strato Communicator: Mail öffnen -> Quelltext anzeigen)
# Hinweis: ARC-Header werden vom EMPFANGENDEN Provider ausgewertet -
# Strato dokumentiert keine eigene ARC-Signierung beim Weiterleiten.
grep -i "^Authentication-Results:" empfangene-mail.eml
# Erwartet bei intakter Kette: ...; arc=pass ...

Wo ARC wirklich geprüft wird

ARC ist ein Feature des E-Mail-Transports. Ein Managed-Hoster wie Strato dokumentiert keine eigene ARC-Signierung beim Weiterleiten — relevant ist ARC daher dort, wo Ihre Mail ankommt. Senden Sie eine Test-Mail über eine Mailingliste an ein Gmail- oder Microsoft-365-Postfach, sehen Sie im Authentication-Results-Header, ob die empfangende Plattform arc=pass setzt. Für eine Strato-Domain bedeutet das: Eine korrekte DMARC-Policy und sauberes SPF/DKIM sind die Stellschrauben, die Sie kontrollieren — ARC selbst läuft serverseitig beim Empfänger.

2 Schritt 2 von 4

Integrierten AntiSpam- und Viren-Wellen-Schutz im Strato Kunden-Login konfigurieren

Den E-Mail-Schutz für Strato-Postfächer konfigurieren Sie im STRATO Kunden-Login (www.strato.de). Öffnen Sie den Bereich E-Mail, wählen Sie die E-Mail-Adresse und dann den AntiSpam-Bereich. Dort stellen Sie die Schutzstufe ein und pflegen Black- und Whitelist. Der Schutz vor Viren-Wellen greift serverseitig automatisch.

# Strato AntiSpam- und Viren-Wellen-Schutz konfigurieren
# STRATO Kunden-Login (www.strato.de):
#   Menü "E-Mail" -> Postfach / E-Mail-Adresse auswählen
#   -> "AntiSpam" / "Spam-Schutz"
#   -> Schutzstufe einstellen
#   -> Black- und Whitelist pflegen
#
# Schutz vor Viren-Wellen:
#   Strato blockt bekannte Viren-Wellen serverseitig -
#   greift automatisch, keine eigene Konfiguration nötig.
#
# WICHTIG: der integrierte Filter ist die Basis-Inhaltsfilter-
# Schicht - kein Enterprise-SEG mit Sandboxing/URL-Rewriting.

Schutzstufe und Erwartungshaltung

Eine zu strenge Schutzstufe verschiebt legitime Mail in den Spam-Ordner, eine zu lockere lässt mehr durch — kalibrieren Sie die Stufe anhand der real eingehenden Mail und pflegen Sie wichtige Absender in die Whitelist. Verstehen Sie diese Schicht aber realistisch: Der Strato-AntiSpam-Filter erkennt Massen-Spam, der Viren-Wellen-Schutz blockt bekannte Malware-Wellen. Gegen gezieltes Spear-Phishing oder Zero-Day-Anhänge braucht es Sandboxing und URL-Rewriting — Funktionen, die erst ein dediziertes Gateway liefert (Schritt 3).

3 Schritt 3 von 4

ARC-Strategie klären und optionales dediziertes SEG vorschalten

Hier wird ehrlich getrennt: Strato signiert nicht ARC. Wenn Sie selbst Mail über Aliase oder Mailinglisten weiterleiten und diese ARC-versiegelt sein soll, brauchen Sie ARC-fähige Infrastruktur — einen eigenen MTA mit OpenARC oder eine Plattform wie Microsoft 365 beziehungsweise Google Workspace, die ARC nativ signiert. Für inhaltlichen Advanced-Threat-Schutz schalten Sie ein dediziertes SEG per MX-Umstellung vor.

Dediziertes SEG per MX-Umstellung — die Architektur

Ein SEG sitzt im Mailfluss vor dem Postfach: Der MX-Record zeigt auf das Gateway, das saubere Mail an Strato weiterreicht und Bedrohungen in Quarantäne hält. Im DACH-Raum kommen dafür Hornetsecurity (Hannover, seit 8. Dezember 2025 Business Unit von Proofpoint), NoSpamProxy von Net at Work (Paderborn, inhabergeführt und unabhängig) oder Retarus (München, inhabergeführtes Familienunternehmen) infrage. Praktisch bedeutet die Umstellung: MX-Record in der Strato-DNS-Verwaltung auf das SEG ändern, im SEG den Strato-Mailserver als Ziel-Relay hinterlegen und Strato so absichern, dass nur noch das SEG zustellt. ARC bleibt davon unberührt — ein SEG filtert Inhalt, es signiert keine Weiterleitungskette.

Information-Gain: MX-Umstellungs-Workflow Strato → Dedicated SEG mit Rollback-Strategie

Der konkrete Migrationsschritt vom Strato-Postfach zum vorgeschalteten SEG ist heikel — drei Stunden Mail-Verlust sind realistisch, wenn die TTL nicht vorbereitet ist. Empfohlener 4-Phasen-Workflow: (1) Vorbereitung 24–48 Stunden vorher: MX-Record-TTL in der Strato-DNS-Verwaltung auf 300 Sekunden senken (statt der üblichen 3.600 oder 86.400), DNSSEC-Status prüfen (dig +dnssec mx ihre-domain.de). (2) Cutover: MX-Record-Eintrag von mxstore0.strato.de auf den SEG-Hostname (z. B. mx.beispiel-seg.de mit Priorität 10) ändern, sofort im SEG-Backend den Strato-Mailserver als Ziel-Relay konfigurieren — Reihenfolge wichtig: erst SEG aufnahmebereit, dann MX umschalten. (3) Verifikation: nach 5–10 Minuten DNS-Propagation dig MX ihre-domain.de @1.1.1.1 +short gegen den neuen SEG-Hostname prüfen, dann Test-Mail von einer externen Domain senden und SEG-Logs kontrollieren. (4) Rollback-Strategie: Sollte SEG-Down-Time auftreten, MX-Eintrag innerhalb 10 Min. zurück auf mxstore0.strato.de; mit TTL 300s ist die Rückrolle für externe Absender nach ~10 Min. wirksam. Strato-Konzern-Kontext: Strato gehört seit April 2017 zur United Internet AG und ist seit 2023 als IONOS-Group-SE-Marke geführt — die DNS- und Mail-Stacks sind eng mit IONOS verzahnt, der Workflow ist daher zwischen Strato und IONOS weitgehend identisch.

4 Schritt 4 von 4

Verifikation per dig, Header-Analyse und Wolf-Agents Email Security Check

Prüfen Sie zuerst MX und DMARC erneut per dig. Senden Sie dann eine Test-Mail über eine Mailingliste an Ihr Strato-Postfach und öffnen Sie den Quelltext im Strato Communicator: Der Authentication-Results-Header zeigt das ARC-Ergebnis des empfangenden Systems, die X-Spam-Header das Verdikt des Strato-AntiSpam-Filters. Haben Sie ein SEG vorgeschaltet, muss der MX-Record auf das Gateway zeigen.

# 1. MX- und DMARC-Status erneut bestätigen
dig MX ihre-domain.de +short
dig TXT _dmarc.ihre-domain.de +short

# 2. Test-Mail über eine Mailingliste / Weiterleitung an ein
#    Strato-Postfach senden und den Quelltext öffnen.
# 3. Prüfen:
#    Authentication-Results: ...; arc=pass ...   (falls weitergeleitet)
#    X-Spam-Status / X-Spam-Score   (Strato-AntiSpam-Verdikt)

# 4. Bei vorgeschaltetem dediziertem SEG: MX zeigt auf das SEG,
#    nicht mehr auf mxstore0.strato.de.

# Wolf-Agents Email Security Check: erkennt das mxstore*.strato.de-MX-
# Pattern automatisch und prüft ARC-Detection plus SEG-Status.

Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Strato-Mail-Domains automatisch über das MX-Pattern mxstore*.strato.de, bewertet die ARC-Detection und gleicht die MX-Records gegen die SEG-Provider-Datenbank ab. Das Monitoring überwacht die E-Mail-Sicherheit alle 6 Stunden.

Häufige Fehler bei ARC & SEG für Strato

Strato-AntiSpam-Filter mit einem SEG verwechselt

Problem: Der integrierte Strato-AntiSpam-Filter wird als vollwertiges Secure Email Gateway betrachtet. Ursache: Beide filtern Mail-Inhalt, der Funktionsumfang unterscheidet sich aber deutlich — dem Strato-Filter fehlen Sandboxing, URL-Rewriting und Impersonation Protection. Lösung: Den Strato-Filter als Basis-Schicht verstehen und bei erhöhtem Schutzbedarf ein dediziertes SEG per MX-Umstellung vorschalten.

ARC-Signierung im Strato Kunden-Login gesucht

Problem: Im STRATO Kunden-Login wird eine Einstellung für ARC-Signierung gesucht. Ursache: ARC ist ein Feature des Mail-Transfer-Agents — Strato dokumentiert als Managed-Hoster keine eigene ARC-Signierung. Lösung: Akzeptieren, dass die ARC-Validierung beim Empfänger läuft; für eigene ARC-Signierung beim Weiterleiten einen MTA mit OpenARC oder eine ARC-fähige Plattform nutzen.

Schutzstufe zu streng — legitime Mail im Spam-Ordner

Problem: Nach Anheben der AntiSpam-Schutzstufe landen erwartete Geschäftsmails im Spam-Ordner. Ursache: Eine hohe Schutzstufe ohne gepflegte Whitelist verwirft auch grenzwertige, aber legitime Absender. Lösung: Schutzstufe moderat wählen und wichtige Absender und Domains explizit in die Whitelist des Strato-AntiSpam-Bereichs aufnehmen.

MX-Record nach SEG-Vorschaltung nicht auf das Gateway umgestellt

Problem: Ein SEG ist gebucht, der MX-Record zeigt aber weiterhin auf mxstore0.strato.de — eingehende Mail erreicht das Gateway nie. Ursache: Vergessene MX-Umstellung in der Strato-DNS-Verwaltung. Lösung: Den MX-Record auf den vom SEG vorgegebenen Hostnamen ändern und Strato als Ziel-Relay im SEG hinterlegen; mit dig MX ihre-domain.de +short verifizieren.

Compliance · NIS2 · BSI · DSGVO

Compliance: NIS2 lit. a + lit. d, BSI APP.5.3.A4, DSGVO mit Strato

Ein vorgeschaltetes Secure Email Gateway zahlt direkt auf NIS2 Art. 21 Abs. 2 lit. a ein („Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“) und setzt die BSI-IT-Grundschutz-Basis-Anforderung APP.5.3.A4 um — die Prüfung eingehender und ausgehender E-Mails samt Anhängen auf Spam-Merkmale und schädliche Inhalte. ARC sichert die Authentifizierungskette über Weiterleitungen ab und unterstützt damit lit. d (Sicherheit der Lieferkette); bei einer Strato-Domain läuft diese Validierung beim empfangenden Provider. Strato betreibt Rechenzentren in Deutschland — DSGVO-konform mit europäischer Datensouveränität.

Strato-ARC-SEG-Compliance-Stack: NIS2 lit. a (SEG als Defense-in-Depth-Schicht) + NIS2 lit. d (ARC sichert die Forwarding-Lieferkette) + BSI IT-Grundschutz APP.5.3.A4 (Spam-/Schadsoftware-Prüfung) + DSGVO Art. 32 (Schutz personenbezogener Daten) + Strato DE-Datensouveränität. Konzern-Hintergrund: Strato ist seit April 2017 United Internet AG, IONOS Group SE-Marke. Wolf-Agents-USP: Der Email Security Check erkennt Strato-Mail-Domains automatisch über das Pattern mxstore*.strato.de, bewertet ARC-Detection und SEG-Status im 165-Punkte-Scanner (ARC und SEG als je 5 Bonuspunkte) und weist transparent aus, dass API-basierte ICES-Lösungen für MX-basierte Erkennung unsichtbar bleiben. Cross-Verweis: Phishing, Business Email Compromise und gefährliche Anhänge.

ARC- und SEG-Anleitung für weitere Provider:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint Infomaniak World4You Proton Mail Postfix Exim Mailcow Cloudflare DNS Hetzner DNS

Wie steht Ihre Domain bei ARC & SEG · Strato?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten