DKIM für Strato einrichten

Schritt-für-Schritt-Anleitung: DKIM-Signierung über CNAME-Record auf rzone.de konfigurieren, Selektor strato-dkim-0002 prüfen und automatische Key Rotation nutzen — inklusive externer DNS-Verwaltung.

DKIM prüfen Plattform entdecken

Strato · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 6. April 2026

DKIM für Strato (CNAME-Delegation)

Strato nutzt den Selektor strato-dkim-0002 und delegiert die DKIM-Schlüsselverwaltung über einen CNAME-Record auf rzone.de, sodass Strato die kryptografischen Schlüssel automatisch rotieren kann. Wenn Sie die Strato-Nameserver verwenden, ist DKIM häufig bereits vorkonfiguriert. Bei externer DNS-Verwaltung müssen Sie den CNAME-Record manuell anlegen.

BSI TR-03182 fordert DKIM als Pflichtmaßnahme für E-Mail-Authentifizierung. Stratos automatische CNAME-Delegation auf rzone.de erleichtert die Umsetzung und übernimmt die Schlüsselrotation — prüfen Sie den Status Ihrer Domain mit dem Wolf-Agents Email Security Check, der Selektor-Auflösung, Schlüssellänge und Signatur auf 22 Kriterien analysiert.

Hardening-Pfad: Nach DKIM folgt DMARC für STRATO — die Policy, die SPF- und DKIM-Ergebnisse für empfangende Server bindend macht.

Ausführliche Einführung in DKIM

1 Schritt 1 von 3

DKIM-Status prüfen

Prüfen Sie zuerst, ob Strato DKIM bereits automatisch für Ihre Domain eingerichtet hat — bei Nutzung der Strato-Nameserver ist der CNAME-Record häufig schon vorhanden. Nutzen Sie den folgenden Befehl, um den aktuellen Status zu ermitteln.

dig CNAME strato-dkim-0002._domainkey.ihre-domain.de +short

# Erwartete Ausgabe (wenn aktiv):
# strato-dkim-0002._domainkey.rzone.de.

Option A: Strato-Nameserver (automatisch)

Wenn Ihre Domain die Strato-Nameserver nutzt, richtet Strato DKIM in der Regel automatisch ein. Erhalten Sie die erwartete Ausgabe, ist keine weitere Aktion nötig — fahren Sie direkt mit Schritt 3 zur Verifikation fort.

Option B: Externer DNS-Provider (z. B. Cloudflare)

Wenn Sie einen externen DNS-Provider nutzen, liefert der Befehl kein Ergebnis. In diesem Fall müssen Sie den CNAME-Record manuell anlegen — weiter mit Schritt 2.

2 Schritt 2 von 3

CNAME-Record bei externem DNS-Provider anlegen

Erstellen Sie einen CNAME-Record bei Ihrem externen DNS-Provider, der den DKIM-Selektor auf die Strato-Schlüsselverwaltung unter rzone.de verweist. Der Vorteil: Strato rotiert die DKIM-Schlüssel automatisch hinter dem CNAME — Sie müssen sich nicht um Key Rotation kümmern.

DNS-Eintrag erstellen

Melden Sie sich bei Ihrem DNS-Provider an (z. B. Cloudflare, Hetzner DNS Console)
Erstellen Sie einen neuen CNAME-Record
Name: strato-dkim-0002._domainkey
Ziel: strato-dkim-0002._domainkey.rzone.de
TTL: 3600 (oder Auto)

Option C: Eigener Mailserver (nicht Strato-Mail)

Wenn Sie einen eigenen Mailserver betreiben und nicht den Strato-Mailservice nutzen, benötigen Sie statt des CNAME-Records einen TXT-Record mit Ihrem eigenen DKIM-Public-Key. Folgen Sie in diesem Fall der Postfix- oder Exim-Anleitung.

3 Schritt 3 von 3

DKIM verifizieren

Verifizieren Sie nach der Einrichtung, dass der CNAME-Record korrekt aufgelöst wird und die DKIM-Signatur bei ausgehenden E-Mails gültig ist. DNS-Änderungen brauchen je nach Provider 5 Minuten bis 24 Stunden.

# CNAME-Auflösung prüfen
dig CNAME strato-dkim-0002._domainkey.ihre-domain.de +short
# Erwartete Ausgabe: strato-dkim-0002._domainkey.rzone.de.

# DKIM-Public-Key dahinter prüfen
dig TXT strato-dkim-0002._domainkey.ihre-domain.de +short
# Erwartete Ausgabe: "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

# Windows (PowerShell)
Resolve-DnsName -Name strato-dkim-0002._domainkey.ihre-domain.de -Type CNAME

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft DKIM auf 22 Einzelkriterien inklusive Schlüssellänge, Algorithmus und Signatur-Header.

Häufige Fehler bei Strato

Die folgenden drei Fehler treten bei Strato-DKIM-Konfigurationen am häufigsten auf und führen dazu, dass die DKIM-Signatur fehlschlägt oder gar nicht erst geprüft werden kann.

DKIM nur für @strato.de Webmail aktiv

Problem: Strato aktiviert DKIM automatisch für E-Mails, die über das Strato-Webmail versendet werden. Wenn Sie jedoch Ihre eigene Domain nutzen (z. B. info@ihre-domain.de), muss der CNAME-Record explizit für Ihre Domain existieren — die automatische Konfiguration greift nur bei den Strato-Nameservern.

Lösung: Prüfen Sie mit dig CNAME strato-dkim-0002._domainkey.ihre-domain.de +short, ob der Record existiert. Falls nicht, legen Sie ihn manuell bei Ihrem DNS-Provider an.

Externer DNS ohne CNAME-Replikation

Problem: Die Domain nutzt einen externen DNS-Provider (z. B. Cloudflare), aber der CNAME-Record strato-dkim-0002._domainkey wurde nicht repliziert. Strato signiert die E-Mails zwar mit dem Selektor, empfangende Mailserver können den Public Key aber nicht auflösen — DKIM schlägt fehl.

Lösung: Erstellen Sie bei Ihrem externen DNS-Provider einen CNAME-Record: strato-dkim-0002._domainkey → strato-dkim-0002._domainkey.rzone.de. Nach DNS-Propagierung funktioniert die Validierung.

TXT-Record statt CNAME bei RSA-4096

Problem: Manche Administratoren versuchen, den DKIM-Public-Key direkt als TXT-Record einzutragen statt den CNAME zu nutzen. Bei RSA-4096-Schlüsseln überschreitet der TXT-Record die 255-Zeichen-Grenze eines einzelnen DNS-Strings — der Record wird abgeschnitten und ist ungültig.

Lösung: Nutzen Sie den CNAME-Record auf rzone.de statt eines eigenen TXT-Records. Strato verwaltet die Schlüssellänge und -rotation automatisch hinter dem CNAME. Nur wenn Sie einen eigenen Mailserver betreiben, benötigen Sie einen TXT-Record — splitten Sie diesen dann in mehrere 255-Zeichen-Strings.

DKIM-Anleitung auch für:

Microsoft 365 Google Workspace IONOS All-Inkl Hetzner Postfix Exim Generisch

Wie steht Ihre Domain bei DKIM?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten