BIMI für Strato — TXT-Record über DNS-Verwaltung

Strato bündelt Webhosting, Mail-Service, Registrar und DNS — der BIMI-Record wird im Strato-Kundenbereich über die DNS-Verwaltung als TXT-Record gesetzt, das SVG-Logo kann auf dem gleichen Strato-Webspace gehostet werden. Diese Anleitung zeigt das vollständige Setup mit DMARC-Enforcement, SVG Tiny PS, BIMI-Record und Verifikation — inklusive Konzern-Hintergrund Strato seit April 2017 United Internet AG, IONOS Group SE-Marke.

BIMI prüfen Plattform entdecken

Strato · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 19. Mai 2026

BIMI für Strato-gehostete Domains

Strato ist seit April 2017 United Internet AG, IONOS Group SE-Marke — neben IONOS, 1&1, GMX, WEB.DE und mail.com gehört Strato in den gleichen Konzernverbund (Mehrheits-Eigentümer der IONOS Group SE ist die United Internet AG aus Montabaur mit Stand 31.12.2025 ungefähr 63,8 Prozent). Strato betreibt Rechenzentren in Berlin (Pankow) und Karlsruhe, ISO-27001-zertifiziert, deutsche Datensouveränität. Für BIMI bündelt Strato Webhosting, Mail-Service und DNS-Verwaltung im Kundenbereich — das SVG-Logo lässt sich auf dem gleichen Strato-Webspace hosten, der BIMI-TXT-Record wird über die Strato-DNS-Verwaltung angelegt. Die offizielle Strato-Doku (www.strato.de/faq, Abruf 2026-05-19) erläutert DNS-Editor, Domain-Einstellungen und Webhosting-Tarife.

Strato selbst stellt keinen BIMI-Tab im Kundenbereich bereit — BIMI ist kein Strato-Mandat, sondern Best Practice nach dem IETF Internet-Draft Version 14 (1. Mai 2026) und NIS2 Art. 21 Abs. 2 lit. a sowie lit. h. Der BIMI-Record wird wie jeder andere TXT-Record über die DNS-Verwaltung erfasst. Strato unterstützt DNSSEC über die Domain-Guard-Funktion, die Sie für eine vollständig abgesicherte BIMI-Kette aktivieren sollten (siehe DNS-Sicherheit bei Strato).

Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → BIMI (dieser Guide). Bedrohungs-Cluster: BIMI hilft Empfängern visuell, Email-Spoofing und Phishing-Versuche im Namen Ihrer Marke zu erkennen.

Domain Guard härtet die BIMI-Trust-Chain

Ein BIMI-Record verweist empfangende Clients auf Ihr Markenlogo — ein hochwertiges DNS-Ziel, das ohne Signierung manipulierbar bleibt. Die Strato-DNSSEC-Funktion Domain Guard signiert die Zone kryptografisch: Der BIMI-TXT-Record, der DMARC-Record und die Auflösung der Logo- und VMC-Hostnamen werden integritätsgeschützt — ein DNSSEC-validierender Resolver verwirft einen unterwegs gefälschten Record. Aktivieren Sie Domain Guard vor oder mit dem BIMI-Setup, damit die Vertrauenskette lückenlos geschlossen ist. Konzern-Reichweite: Strato gehört seit April 2017 zur United Internet AG (IONOS Group SE-Marke) — demselben Konzern wie GMX und WEB.DE, die zusammen rund 52,1 Prozent der deutschen Hauptpostfächer stellen und BIMI seit 2024 anzeigen. Authentifizierte Strato-Mail erreicht dort das Markenlogo.

Ausführliche Einführung in BIMI und VMC

1 Schritt 1 von 4

DMARC-Enforcement-Status für Strato-Domain prüfen

BIMI ist die Belohnung für DMARC-Enforcement — kein Client wertet einen BIMI-Record aus, wenn die DMARC-Policy auf p=none steht. Prüfen Sie daher zuerst den DMARC-Status Ihrer Strato-Domain mit dig TXT _dmarc.ihre-domain.de. Sollte die Policy noch auf p=none stehen, folgen Sie zunächst dem DMARC-Enforcement-Guide für Strato.

# DMARC-Status für Strato-gehostete Domain prüfen
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# Bei p=none: BIMI bleibt wirkungslos.

# Nameserver-Pattern (Stack-Detection Strato)
dig NS ihre-domain.de +short
# Erwartet typisch: docks01.rzone.de., docks02.rzone.de. (Strato-eigene NS)
# oder: ns.zone.id., ns2.zone.id. (Strato-Alternative)

# MX-Pattern bei Strato-Mail (optional)
dig MX ihre-domain.de +short
# Erwartet: 10 mxstore0.strato.de. oder mxstore-[NODE].strato.de.

Strato-Stack-Detection — Nameserver und Mail-Hosting

Strato-Nameserver folgen typisch den Pattern docks*.rzone.de oder ns.zone.id/ns2.zone.id. Sind Ihre Nameserver bereits auf einen externen Anbieter umgestellt (Cloudflare, deSEC, Hetzner DNS Console), müssen Sie den BIMI-Record dort statt in der Strato-DNS-Verwaltung anlegen. Strato bietet sowohl Webhosting (für SVG-Hosting) als auch eigene Mailboxen (mxstore*.strato.de) — BIMI funktioniert unabhängig davon, welcher Mail-Provider Ihre Domain bedient.

2 Schritt 2 von 4

SVG Tiny PS Logo erstellen und auf Strato-Webspace hosten

Das Logo muss als SVG Tiny Portable/Secure (SVG Tiny PS) vorliegen — Standard-SVG-Exporte aus Adobe Illustrator oder Figma sind fast nie BIMI-kompatibel. Konvertieren Sie Ihr Logo mit dem offiziellen BIMI Group SVG Converter. Pflicht-Attribute: baseProfile="tiny-ps", version="1.2", quadratischer viewBox, deckender Hintergrund (keine Transparenz, keine opacity). Verboten: animate, script, externe Referenzen, eingebettete Rasterbilder. Empfohlene Dateigröße unter 32 KB.

Logo-Hosting auf der gleichen Strato-Domain

Strato-Webhosting-Tarife enthalten Webspace, FTP-Zugang und optional WebFTP im Kundenbereich — Sie können das SVG-Logo direkt unter einem stabilen Pfad wie /bimi/logo.svg hinterlegen und Strato liefert es per HTTPS aus. SSL ist bei Strato-Webhosting per Let's Encrypt automatisch eingerichtet, der Content-Type image/svg+xml wird per Standard-Mime-Type aus der Endung .svg bestimmt — falls nötig per .htaccess mit AddType image/svg+xml .svg verifizieren.

3 Schritt 3 von 4

BIMI-Record über Strato-DNS-Verwaltung setzen

Im Strato Kundenbereich navigieren Sie zu Domains → Domain auswählen → DNS-Verwaltung. Klicken Sie auf Eintrag hinzufügen und wählen Sie den Typ TXT. Als Präfix (Hostname) tragen Sie default._bimi ein (Strato ergänzt die Hauptdomain automatisch). Im Wert-Feld der BIMI-String, TTL gemäß Strato-Default (typisch 3600 Sekunden).

; BIMI-Record für Strato-gehostete Domain — in der Strato-DNS-Verwaltung
; Selector immer: default._bimi
;
; v=BIMI1   Version (Pflicht, einziger Wert)
; l=URL     SVG-Logo-URL, HTTPS Pflicht
; a=URL     VMC-Zertifikat-URL, optional (Gmail blaues Häkchen Pflicht)

default._bimi.ihre-domain.de.  IN  TXT  "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem"

; Variante OHNE VMC (Budget-BIMI für Yahoo/Fastmail/AOL):
default._bimi.ihre-domain.de.  IN  TXT  "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a="

; CAA-Records für VMC-Ausstellung empfohlen (RFC 8659)
ihre-domain.de.  IN  CAA  0 issue "letsencrypt.org"
ihre-domain.de.  IN  CAA  0 issue "digicert.com"

CAA-Records für VMC-Beantragung in der DNS-Verwaltung ergänzen

Wenn Sie für Gmail das blaue Verifizierungshäkchen anstreben, benötigen Sie ein VMC (Verified Mark Certificate) von DigiCert, Sectigo oder GlobalSign. Damit die VMC-Ausstellung nicht durch CAA blockiert wird, ergänzen Sie in der gleichen Strato-DNS-Verwaltung CAA-Records für die gewählte CA (typisch digicert.com) und für letsencrypt.org (TLS-Zertifikat). Hinweis: Entrust hat sein VMC-Geschäft 2025 an Sectigo verkauft — alte Tutorials, die Entrust als VMC-CA listen, sind überholt.

4 Schritt 4 von 4

Verifikation per dig, curl und Test-Mail

Nach DNS-Propagation (bei Strato-Nameservern typisch 5-60 Minuten, in Einzelfällen bis 24 Stunden) verifizieren Sie den BIMI-Record per dig und die SVG/VMC-Erreichbarkeit per curl. Senden Sie dann Test-Mails an Konten bei Gmail, Apple Mail (iPhone/Mac), Yahoo, GMX, WEB.DE, Fastmail und AOL Mail. Outlook (Web, Desktop, Mobile) zeigt KEIN Logo, falls die Domain in M365-Mail genutzt wird — das ist erwartet und kein Fehler (Outlook unterstützt BIMI Stand Februar 2026 NICHT).

# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.de +short
# Erwartet: "v=BIMI1; l=https://...svg; a=https://...pem"

# SVG-Erreichbarkeit (Content-Type Pflicht)
curl -sI https://ihre-domain.de/bimi/logo.svg | head -5
# Erwartet:
#   HTTP/2 200
#   content-type: image/svg+xml

# VMC-Erreichbarkeit prüfen
curl -sI https://ihre-domain.de/bimi/vmc.pem | head -5
# Erwartet: HTTP/2 200, content-type: application/x-pem-file oder application/octet-stream

# Test-Mail an Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail, AOL Mail senden —
# Outlook zeigt das Logo Stand Februar 2026 NICHT.

Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Strato-Nameserver-Patterns (rzone.de, zone.id) automatisch über Stack-Detection, validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Tiny-PS-Konformität und VMC-Erreichbarkeit. Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift (Logo-URL ungültig, VMC abgelaufen, Record entfernt).

Häufige Fehler bei BIMI für Strato

Präfix mit nachgestelltem Punkt eingetragen

Problem: Im Strato-DNS-Editor wurde der Präfix als default._bimi. (mit Punkt am Ende) oder als default._bimi.ihre-domain.de (vollqualifiziert) eingetragen — der Record landet doppelt verschachtelt. Ursache: Strato ergänzt die Hauptdomain automatisch. Lösung: Im Präfix-Feld nur default._bimi eintragen, ohne Punkt am Ende und ohne Hauptdomain. Mit dig TXT default._bimi.ihre-domain.de +short verifizieren.

SVG-Logo nicht über HTTPS erreichbar

Problem: Logo ist über http://-URL hinterlegt, oder das Let's-Encrypt-Zertifikat ist noch nicht aktiv. Ursache: Webhosting-Tarif ohne automatisches SSL oder Domain-Wechsel ohne neue Zertifikatsausstellung. Lösung: Im Strato-Kundenbereich SSL für die Domain aktivieren und nach Zertifikatsausstellung das BIMI-l=-Feld auf die HTTPS-URL umstellen.

DNSSEC-Drift durch Domain-Guard-Aktivierung

Problem: Nach Aktivierung von Strato Domain Guard (DNSSEC) zeigt kein Client mehr das BIMI-Logo, obwohl alles korrekt scheint. Ursache: DS-Record bei Registrar (z.B. externer Registrar) nicht synchronisiert oder Algorithmus-Inkompatibilität. Lösung: DS-Record-Übermittlung an die übergeordnete Zone verifizieren und mit dig DS ihre-domain.de +short prüfen.

Falsche Annahme: Strato unterstützt BIMI im UI

Problem: Suche nach BIMI-Tab im Strato-Kundenbereich. Ursache: Strato bietet keinen BIMI-Wizard — BIMI ist ein generischer TXT-Record über die DNS-Verwaltung. Lösung: Im DNS-Editor manuell einen TXT-Record mit Präfix default._bimi anlegen.

Compliance · NIS2 · BSI · DSGVO

Compliance: NIS2 lit. a + lit. h mit Strato und IONOS Group SE

Eine korrekt konfigurierte BIMI-Plus-VMC-Kombination für Strato-Domains erfüllt zwei NIS2-Buchstaben gleichzeitig: lit. a (Risikoanalyse und Sicherheit für Informationssysteme) durch die visuelle Brand-Identity-Authentifizierung und lit. h (Kryptografie und Verschlüsselung) durch die X.509-PKI-Logo-Bindung im VMC. Strato betreibt Rechenzentren in Berlin (Pankow) und Karlsruhe, ISO-27001-zertifiziert mit deutscher Datensouveränität. Konzern-Hintergrund: Strato ist seit April 2017 United Internet AG, IONOS Group SE-Marke — Konzern-Mehrheits-Eigentümer der IONOS Group SE ist United Internet AG (Stand 31.12.2025 ungefähr 63,8 Prozent).

Strato-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. h (VMC-Kryptografie) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing) + Strato DE-Datensouveränität Berlin/Karlsruhe. Wolf-Agents-USP: Der Email Security Check erkennt Strato-Nameserver-Patterns automatisch (rzone.de/zone.id Stack-Detection), prüft die kombinierte DMARC-BIMI-VMC-Kette, validiert SVG-Tiny-PS-Konformität, warnt vor abgelaufenen VMCs (Standardlaufzeit 397 Tage) und dokumentiert die Outlook-BIMI-Lücke (Outlook unterstützt BIMI Stand Februar 2026 NICHT). Cross-Verweis: Email-Spoofing und Phishing.

BIMI-Anleitung für weitere Provider:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint Infomaniak World4You Proton Mail Postfix Exim Mailcow Cloudflare DNS Hetzner DNS

Wie steht Ihre Domain bei BIMI · Strato?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten