DMARC Enforcement für Strato

Schritt-für-Schritt-Roadmap: TTL vor Enforcement-Start optimieren, erweiterte DNS-Verwaltung aktivieren, langsame DNS-Propagation einplanen und Policy von p=none über p=quarantine zu p=reject verschärfen.

DMARC-Policy prüfen Plattform entdecken
Strato · Enforcement-Roadmap
Von Wolf-Agents Security Team · Aktualisiert: 8. April 2026

DMARC Enforcement bei Strato

Strato bietet DKIM-Unterstützung über den Kunden-Login sowie manuelle SPF-Einträge über die DNS-Verwaltung. Die zentrale Herausforderung beim Enforcement sind die DNS-Propagationszeiten: Strato kann in einigen Tarifen Standard-TTLs von 3600 Sekunden oder mehr verwenden. Das bedeutet, dass jede pct-Erhöhung und jeder Rollback mehrere Stunden benötigt, bis die Änderung vollständig wirksam ist.

Aktivieren Sie die Erweiterte DNS-Verwaltung im Strato-Kunden-Login unter Domains → DNS-Verwaltung, bevor Sie mit Enforcement beginnen. Nur mit dieser Option haben Sie vollen Zugriff auf TXT-Records — einschließlich des _dmarc-Records. DMARC Aggregate Reports müssen über externe Tools wie dmarcian, Postmark DMARC oder EasyDMARC ausgewertet werden. Der Wolf-Agents Email Security Scanner prüft Ihre aktuelle DMARC-Policy-Stufe als Teil der 165 Prüfpunkte. Falls Sie DMARC noch nicht eingerichtet haben, starten Sie mit der DMARC-Anleitung für Strato. Nach Erreichen von p=reject ist der nächste Hardening-Schritt MTA-STS für Strato — Transport-Verschlüsselung erzwingen.

Strato-Kunden tragen die volle Verantwortung für ihre DMARC-Policy. NIS2 Art. 21 fordert Maßnahmen nach dem Stand der Technik — p=none ist kein ausreichender Schutz. Das BSI empfiehlt p=reject. Die längeren DNS-Propagationszeiten bei Strato erfordern sorgfältigere Planung, ändern aber nichts an der Compliance-Pflicht. §38 BSIG: Die Geschäftsleitung haftet persönlich.

Ausführliche DMARC Enforcement Roadmap

1 Phase 1 von 4

Beobachtungsphase bei Strato

Aktivieren Sie zuerst die Erweiterte DNS-Verwaltung im Strato-Kunden-Login — ohne diese Option ist kein Zugriff auf TXT-Records möglich. Setzen Sie anschließend den DMARC-Record mit p=none und konfigurieren Sie die rua-Adresse für Aggregate Reports. Nutzen Sie ein externes Tool für die Auswertung. Strato bietet kein natives DMARC-Dashboard.

Strato-spezifische Quellen in Reports

  1. Strato Mail-Server: IPs im Strato-ASN — sollten DKIM pass zeigen, sofern DKIM im Kunden-Login aktiviert ist
  2. DKIM-CNAME-Records: Strato nutzt für DKIM teilweise CNAME-Records statt TXT — prüfen Sie im Kunden-Login, ob der DKIM-Status aktiv und korrekt ist
  3. SPF-Konfiguration: SPF muss manuell als TXT-Record in der erweiterten DNS-Verwaltung gepflegt werden — prüfen Sie alle sendenden Strato-IPs
  4. Drittanbieter-Dienste: Newsletter-Tools, CRMs und andere externe Sender benötigen eigene DKIM-Signaturen oder SPF-Einträge
2–3 Phase 2 + 3

Quarantäne und Reject bei Strato

Setzen Sie die TTL vor dem ersten pct-Erhöhungsschritt auf den niedrigstmöglichen Wert — bei Strato sind je nach Tarif mindestens 300 Sekunden möglich. Falls Ihr Tarif nur höhere TTLs erlaubt, planen Sie entsprechend längere Wartezeiten zwischen den pct-Erhöhungen ein. Eine hohe TTL macht Rollbacks träge: Bei 3600s dauert es bis zu einer Stunde, bis ein Rollback auf p=none vollständig wirksam ist.

Worauf bei Strato besonders achten

  1. TTL zuerst senken: Ändern Sie die TTL des _dmarc-Records auf den Minimalwert, bevor Sie die Policy verschärfen. Warten Sie dann mindestens die alte TTL-Dauer, bevor Sie die nächste Änderung vornehmen
  2. DNS-Propagation beobachten: Strato-DNS kann bis zu 24 Stunden brauchen, bis Änderungen überall propagiert sind. Planen Sie nach jeder pct-Erhöhung mindestens 3-5 Tage Beobachtungszeit ein
  3. DKIM-Status verifizieren: Prüfen Sie im Strato-Kunden-Login, ob der DKIM-CNAME-Record korrekt auf den Strato-DKIM-Key verweist — ein fehlerhafter CNAME führt zu DKIM-Failures unter p=quarantine
  4. Wolf-Agents Monitoring: Nutzen Sie den Wolf-Agents Email Security Scanner nach jeder Policy-Änderung zur Verifikation aller 165 Prüfpunkte
Terminal / PowerShell Verifikation 
# Linux / macOS
dig _dmarc.ihre-domain.de TXT +short

# Windows (PowerShell)
Resolve-DnsName -Name _dmarc.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

# Erwartete Ausgabe nach Phase 3:
# "v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"

Häufige Probleme bei Strato-Enforcement

Die folgenden drei Probleme treten bei Strato-DMARC-Enforcement besonders häufig auf. Alle drei lassen sich durch Vorbereitung vor dem ersten Enforcement-Schritt vermeiden — handeln Sie bevor Sie p=quarantine aktivieren.

Lange DNS-Propagation verzögert Rollback

Symptom: Nach Rollback auf p=none dauert es Stunden, bis die Änderung wirkt. Legitime E-Mails werden in dieser Zeit weiterhin abgelehnt oder in Quarantäne verschoben.

Ursache: Strato-Standard-TTL ist bei einigen Tarifen hoch (3600s oder mehr). Empfangende Server cachen den alten Record für die volle TTL-Dauer, bevor sie den neuen Record abfragen.

Lösung: TTL des _dmarc-Records VOR Enforcement-Start auf den niedrigsten verfügbaren Wert setzen (idealerweise 300s). Erweiterte DNS-Verwaltung im Strato-Kunden-Login aktivieren, um Zugriff auf die TTL-Einstellung zu erhalten. Nach der TTL-Senkung mindestens die alte TTL-Dauer warten, bevor Sie mit der Policy-Verschärfung beginnen.

DKIM-CNAME statt TXT-Record

Symptom: DKIM-Verifikation schlägt fehl trotz korrekt eingerichtetem Record. In DMARC-Reports erscheint DKIM-Alignment als fail, obwohl DKIM im Kunden-Login aktiviert scheint.

Ursache: Strato nutzt für DKIM teilweise CNAME-Records statt TXT. Wenn der CNAME nicht korrekt auf den aktuellen Strato-DKIM-Key verweist — etwa nach einer Server-Migration oder Schlüsselrotation — schlägt die Signaturverifikation fehl.

Lösung: Im Strato-Kunden-Login den DKIM-Status unter E-Mail → DKIM prüfen und sicherstellen, dass der CNAME-Record korrekt auf den Strato-DKIM-Key verweist. Den DKIM-Record mit dig selector._domainkey.ihre-domain.de CNAME +short verifizieren und das Ziel auf Erreichbarkeit prüfen.

Erweiterte DNS-Verwaltung nicht aktiviert

Symptom: Kein Zugriff auf den _dmarc TXT-Record in der Strato-Oberfläche. Die DNS-Verwaltung zeigt nur begrenzte Record-Typen.

Ursache: Standard-DNS-Verwaltung bei Strato erlaubt nur begrenzte Record-Typen und schränkt den Zugriff auf TXT-Records ein. DMARC-Records vom Typ TXT sind ohne erweiterte Verwaltung nicht editierbar.

Lösung: Im Kunden-Login unter Domains → DNS-Verwaltung die "Erweiterte DNS-Verwaltung" aktivieren. Diese Option schaltet den vollen Zugriff auf alle DNS-Record-Typen frei, einschließlich TXT-Records für _dmarc und SPF. Nach Aktivierung steht die erweiterte Verwaltung sofort zur Verfügung.

DMARC Enforcement-Roadmap auch für:

Microsoft 365Google WorkspaceIONOSAll-InklHetznerPostfixEximGenerisch

Wie steht Ihre Domain bei DMARC Enforcement?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten