DNSSEC, DANE & CAA für Strato aktivieren

Strato bietet DNSSEC über die Domain-Guard-Funktion im Kundenbereich — unterstützt eine breite Palette TLDs, mit bekannten Ausnahmen wie .es, .fr, .be. CAA-Records werden über den Strato-DNS-Editor konfiguriert. Diese Anleitung zeigt die NIS2-konforme Absicherung inkl. United-Internet-Konzern-Kontext.

DNS-Sicherheit prüfen Plattform entdecken

Strato · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 16. Mai 2026

DNS-Sicherheit für Strato Webhosting

Strato ist seit April 2017 Teil der United Internet AG (zunächst als eigenständige Marke, seit 2022 in die IONOS Group SE eingegliedert) — mit Rechenzentren in Berlin und Karlsruhe und Fokus auf DACH-Webhosting. Strato unterstützt DNSSEC über die Domain-Guard-Funktion im Kundenbereich; die Aktivierung erfolgt pro Domain, der DS-Record wird zur übergeordneten Zone (DENIC für .de) automatisch übertragen, wenn Strato auch Registrar ist. CAA-Records werden über den Strato-DNS-Editor angelegt.

Bekannte TLD-Einschränkungen: Strato Domain Guard funktioniert mit allen DNSSEC-kompatiblen TLDs — Ausnahmen sind einzelne ccTLDs wie .es, .fr und .be. Prüfen Sie im Kundenbereich, ob DNSSEC für Ihre TLD verfügbar ist. Bei nicht unterstützter TLD empfiehlt sich die Migration der DNS-Verwaltung zu deSEC oder Cloudflare (kostenlos, voller DNSSEC-Support).

Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DNSSEC + CAA (dieser Guide). Bedrohungs-Cluster: DNS-Hijacking-Spoofing und SubdoMailing.

Ausführliche Einführung in DNS-Sicherheit

1 Schritt 1 von 4

TLD-Eignung für Strato Domain Guard prüfen

Strato Domain Guard funktioniert mit allen DNSSEC-kompatiblen TLDs. Bekannte Ausnahmen, bei denen DNSSEC nicht angeboten wird: .es (Spanien), .fr (Frankreich), .be (Belgien). Prüfen Sie im Strato-Kundenbereich, ob DNSSEC für Ihre spezifische TLD verfügbar ist.

Strato TLD-DNSSEC-Check

Im Strato-Kundenbereich anmelden
Navigieren zu Domains
Die Domain auswählen und Domain-Verwaltung öffnen
Sektion Domain Guard / DNSSEC öffnen — wenn dort „nicht verfügbar“ angezeigt wird, ist die TLD nicht unterstützt

2 Schritt 2 von 4

Domain Guard / DNSSEC aktivieren

Im Strato-Kundenbereich unter Domains → Domain Guard / DNSSEC die Funktion aktivieren. Strato erzeugt die DNSKEY-Records und überträgt bei Strato-registrierten Domains den DS-Record automatisch zur Parent-Zone. Bei externer Registrar-Verwaltung muss der DS-Record manuell beim Registrar eingetragen werden — Strato zeigt die DS-Werte im Domain-Guard-Bereich an.

Konzern-Hintergrund Strato

Strato ist seit April 2017 Teil der United Internet AG, seit 2022 in die IONOS Group SE eingegliedert (Strato bleibt als eigene Marke neben IONOS, 1&1, GMX, Web.de, mail.com). Rechenzentren in Berlin (Pankow) und Karlsruhe — beide DSGVO-konform mit deutscher Datensouveränität, ISO-27001-zertifiziert. Konzern-Mehrheits-Eigentümer der IONOS Group SE ist United Internet AG (Stand 31.12.2025: 63,8 %).

TLD-Tabelle Strato Domain Guard (Mehrwert-Recherche 2026-05-18)

Strato Domain Guard unterstützt DNSSEC für die DACH-Standard-TLDs .de (DENIC), .com, .org, .net, .info, .biz, .eu (EURid), .at (nic.at) und .ch (SWITCH) — die Strato-FAQ dokumentiert .es, .fr und .be als bekannte Ausnahmen. Bei Strato-eigener Registrierung erfolgt die DS-Übertragung zur jeweiligen Registry (DENIC, SWITCH, nic.at) automatisch — Strato Kundenbereich → Domains → Domain Guard zeigt den Sync-Status pro TLD. Konzern-Synergien: Da Strato seit 2022 Teil der IONOS Group SE ist, verwenden manche Strato-Setups intern bereits die IONOS-DNS-Infrastruktur — der NS-Pattern-Check (rzone.net vs. ui-dns.*) bleibt das eindeutige Stack-Detection-Merkmal für Wolf-Agents.

3 Schritt 3 von 4

CAA-Records im Strato-DNS-Editor anlegen

CAA-Records (RFC 8659) regeln, welche CAs Zertifikate für Ihre Domain ausstellen dürfen. Strato bietet CAA-Eintragung im DNS-Editor (Bereich Domain-Verwaltung → DNS-Verwaltung → CAA-Eintrag). Wenn Sie Strato-SSL nutzen, muss die Strato-CA (typisch Comodo/Sectigo) autorisiert sein.

; CAA-Records über Strato-DNS-Editor (RFC 8659)
ihre-domain.de.  IN  CAA  0 issue     "comodoca.com"       ; Strato SSL-Standard
ihre-domain.de.  IN  CAA  0 issue     "letsencrypt.org"    ; MTA-STS
ihre-domain.de.  IN  CAA  0 issuewild ";"
ihre-domain.de.  IN  CAA  0 iodef     "mailto:security@ihre-domain.de"

Strato-CA-Pool prüfen

Der CA-Pool für Strato-SSL-Pakete kann sich ändern — vor CAA-Konfiguration im Strato-Kundenbereich die aktuelle CA prüfen (üblich Comodo/Sectigo). Bei Eigenmanagement-Mailserver mit Let's Encrypt (MTA-STS, eigener Postfix) letsencrypt.org als zweiten issue-Tag ergänzen.

4 Schritt 4 von 4

DNSSEC + CAA verifizieren

Nach der Aktivierung prüfen Sie die DNSSEC-Kette und CAA-Records — Strato propagiert DS-Records typisch innerhalb von 1-24 Stunden zur DENIC.

# DNSSEC bei Strato prüfen
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"

# DS-Record beim Registrar
dig DS ihre-domain.de @1.1.1.1 +short

# CAA-Records
dig CAA ihre-domain.de +short

# Strato-Nameserver verifizieren
dig NS ihre-domain.de +short
# Erwartet typisch: docks*.rzone.de oder docks*.zone.id

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt Strato-NS-Pattern automatisch (Stack-Detection), prüft die DNSSEC-Vollständigkeit, validiert CAA und warnt bei TLD-spezifischen Strato-Limitationen (z.B. fehlender DNSSEC-Support für .es/.fr/.be).

Häufige Fehler bei Strato DNSSEC + CAA

DNSSEC für TLD ohne Strato-Support aktiviert

Problem: DNSSEC für .fr/.es/.be-Domain im Strato-Panel nicht aktivierbar. Ursache: Strato Domain Guard unterstützt diese ccTLDs nicht. Lösung: DNS-Verwaltung zu deSEC (kostenlos, DNSSEC by default) oder Cloudflare migrieren — Domain bei Strato-Registrar belassen.

CAA blockiert Strato-SSL-Ausstellung

Problem: CAA nur mit letsencrypt.org gesetzt, Strato-SSL scheitert. Ursache: Strato nutzt eine andere CA (typisch Sectigo/Comodo). Lösung: Strato-CA als zweiten issue-Tag ergänzen oder Subdomain-spezifische CAA-Records anlegen.

DS-Record-Asymmetrie nach NS-Wechsel

Problem: Nach NS-Wechsel weg von Strato bleibt der DS-Record im DENIC — Domain wird BOGUS. Ursache: Falsche Wechsel-Reihenfolge. Lösung: Vor NS-Wechsel: DS-Record im Strato-Kundenbereich entfernen → TTL abwarten → NS umstellen → DNSSEC am neuen DNS-Provider aktivieren und DS-Record dort generieren.

Compliance · NIS2 · BSI · DSGVO

Compliance: NIS2, BSI TR-03108 und DSGVO mit Strato

Strato ist seit April 2017 Teil der United Internet AG, seit 2022 in die IONOS Group SE eingegliedert — mit Rechenzentren in Berlin (Pankow) und Karlsruhe, ISO-27001-zertifiziert, deutsche Datensouveränität. Eine DNSSEC-gesicherte Strato-Domain mit CAA-Records ist der prüfbare Nachweis für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung). Ergänzend lit. b (DMARC-Eingangsfilter seit Juni 2025 als zusätzliche Risiko-Mitigation auf Strato-Seite).

Strato DNS-Compliance-Stack: NIS2 lit. h (DNSSEC via Domain Guard + CAA) + NIS2 lit. c (Strato-Multi-RZ Berlin/Karlsruhe) + BSI TR-03108 (DNS-Sicherung Strato-managed) + DSGVO Art. 32 lit. b (Verfügbarkeit, DE-Rechenzentren). Wolf-Agents-USP: Der Email Security Check erkennt Strato-NS-Pattern (Stack-Detection für rzone.net + zone.id), prüft DNSSEC-Vollständigkeit, validiert CAA und warnt bei TLD-spezifischen Strato-Lücken. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.

DNS-Sicherheits-Anleitung für weitere Provider:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint Infomaniak World4You Proton Mail Postfix Exim Mailcow Cloudflare DNS Hetzner DNS

Wie steht Ihre Domain bei DNS-Sicherheit · Strato?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten