DMARC für STRATO einrichten

Schritt-für-Schritt-Anleitung: DMARC-Record in der STRATO Domainverwaltung anlegen, DKIM-CNAME-Selektor beachten, Alignment verifizieren und Reporting einrichten.

DMARC prüfen Plattform entdecken
STRATO · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 7. April 2026

DMARC für STRATO

STRATO-Kunden pflegen DNS-Records im Kunden-Login unter Domains → Domainverwaltung → DNS-Verwaltung → TXT. Für vollständige TXT-Record-Unterstützung kann die erweiterte DNS-Verwaltung notwendig sein. STRATO rotiert DKIM automatisch über einen CNAME-basierten Selektor (strato-dkim-0002) — das DKIM-Alignment ist bei Nutzung des STRATO-Mailservers damit bereits vorkonfiguriert.

NIS2 Art. 21 und BSI TR-03108 fordern DMARC als Nachweis für Kommunikationssicherheit — STRATO-Kunden konfigurieren den DNS-Record im Kunden-Login, der Wolf-Agents Email Security Check verifiziert die DMARC-Syntax, validiert die rua/ruf-Empfänger per DNS-Authorization (RFC 7489 § 7.1), prüft pct-Wert-Konsistenz und erkennt Policy-Drift zwischen Subdomain und Hauptdomain — als Teil der 165-Punkte-Analyse. DSGVO Art. 32 verlangt zusätzlich den Schutz personenbezogener Daten in der E-Mail-Kommunikation — ein aktiver DMARC-Record dokumentiert diese Maßnahme prüfbar.

Hardening-Pfad: Nach DMARC mit p=none folgt der schrittweise Wechsel zu p=quarantine und p=reject — siehe DMARC-Enforcement für STRATO.

Ausführliche Einführung in DMARC

1Schritt 1 von 4

DMARC-Record im STRATO Kunden-Login anlegen

Erstellen Sie einen TXT-Record in der STRATO DNS-Verwaltung. Geben Sie _dmarc als Subdomain ein — STRATO ergänzt Ihre Domain automatisch.

STRATO DNS-VerwaltungSTRATO
Subdomain: _dmarc
Typ:       TXT
Wert:      v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1
TTL:       1 Stunde (3600)

Menüpfad im STRATO Kunden-Login

  1. Melden Sie sich im STRATO Kunden-Login an
  2. Navigieren Sie zu Domains → Domainverwaltung → DNS-Verwaltung
  3. Wählen Sie den Typ TXT und klicken Sie auf Eintrag hinzufügen
  4. Subdomain: _dmarc (STRATO ergänzt .ihre-domain.de automatisch)
  5. Falls TXT-Records nicht vollständig verfügbar: erweiterte DNS-Verwaltung aktivieren
2Schritt 2 von 4

Alignment sicherstellen

Wenn Sie den STRATO-Mailserver nutzen, ist DKIM-Alignment über den CNAME-Selektor „strato-dkim-0002“ automatisch konfiguriert — STRATO rotiert diesen Schlüssel regelmäßig. SPF-Alignment erfordert den korrekten SPF-Record mit include:smtps.strato.de (Kapitel 02). Drittanbieter-Dienste benötigen jeweils eigene DKIM-Signaturen.

Alignment-Checkliste für STRATO

  1. STRATO-Mailserver: DKIM-Alignment automatisch über CNAME-Selektor „strato-dkim-0002“
  2. SPF: include:smtps.strato.de im SPF-Record erforderlich
  3. DKIM-CNAME aktivieren: Selektor muss vor DMARC-Aktivierung im Kunden-Login aktiv sein
  4. Drittanbieter: Custom-DKIM-Signierung bei jedem externen Dienst separat aktivieren
  5. DMARC-Reports im Monitoring-Modus zeigen Alignment-Fehlschläge pro Dienst
3Schritt 3 von 4

DMARC-Record verifizieren

Nach dem Anlegen prüfen Sie die Propagierung. STRATO DNS-Änderungen sind in der Regel innerhalb von 15–30 Minuten aktiv.

TerminalVerifikation
# Linux / macOS
dig _dmarc.ihre-domain.de TXT +short

# Windows (PowerShell)
Resolve-DnsName -Name _dmarc.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

# Erwartete Ausgabe:
# "v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de; fo=1"

Validieren Sie mit dem Wolf-Agents Email Security Check — 35 DMARC-Punkte inklusive Policy, Reporting und Alignment.

4Schritt 4 von 4

Reporting einrichten und auswerten

Warten Sie mindestens 2-4 Wochen im Monitoring-Modus (p=none). Aggregate Reports zeigen, welche Server E-Mails in Ihrem Namen senden — besonders relevant, wenn neben dem STRATO-Mailserver externe Dienste E-Mails über Ihre Domain versenden.

Monitoring-Phase für STRATO

  1. Richten Sie eine dedizierte Mailbox für dmarc-reports@ihre-domain.de im STRATO Kunden-Login ein
  2. Nutzen Sie dmarcian (kostenlos bis 10.000 Mails/Monat) oder Postmark DMARC zur Auswertung der komprimierten XML-Reports
  3. Identifizieren Sie alle legitimen Absender — prüfen Sie SPF/DKIM für jeden Dienst einzeln
  4. Erst wenn alle Dienste korrekt authentifiziert sind: Policy verschärfen (Kapitel 05)

Häufige Fehler bei STRATO

Diese drei Fehler treten bei STRATO-DMARC-Konfigurationen am häufigsten auf.

Standard-DNS-Editor zu restriktiv

Problem: Im Standard-DNS-Editor von STRATO lassen sich TXT-Records nicht vollständig anlegen oder der Wert wird abgeschnitten. Der DMARC-Record wird nicht korrekt gespeichert.

Lösung: Im Kunden-Login die erweiterte DNS-Verwaltung aktivieren. Diese erlaubt vollständige TXT-Records ohne Einschränkungen beim Wert-Feld.

DKIM-CNAME nicht aktiviert vor DMARC

Problem: DMARC ist konfiguriert, aber der STRATO-DKIM-CNAME-Selektor „strato-dkim-0002“ ist im Kunden-Login noch nicht aktiviert. Der STRATO-Mailserver signiert nicht — DKIM-Alignment schlägt fehl.

Lösung: DKIM im STRATO Kunden-Login aktivieren (DKIM-Anleitung), bevor DMARC auf p=quarantine oder p=reject gesetzt wird.

Subdomain-Feld statt TXT-Name falsch befüllt

Problem: Bei STRATO wird im DNS-Formular zwischen „Subdomain“ und dem vollständigen Record-Namen unterschieden. Wird _dmarc.ihre-domain.de in das Subdomain-Feld eingetragen, entsteht ein doppelter Domain-Suffix — der Record ist ungültig.

Lösung: Nur _dmarc in das Subdomain-Feld eintragen. STRATO ergänzt .ihre-domain.de automatisch. Den fertigen Record mit dig _dmarc.ihre-domain.de TXT verifizieren.

DMARC-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSAll-InklHetznerPostfixEximGenerisch

Wie steht Ihre Domain bei DMARC?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten