MTA-STS für Strato einrichten

DNS-Records im Strato Kundenbereich anlegen, Policy-Datei auf Webspace oder Cloudflare Pages hosten, MX-Record smtpin.rzone.de absichern — mit TLS-RPT für automatische Fehlerberichte.

MTA-STS-Status prüfen Plattform entdecken
Strato · MTA-STS & TLS-RPT
Von Wolf-Agents Security Team · Aktualisiert: 8. April 2026

MTA-STS und TLS-RPT bei Strato

Strato bietet kein integriertes MTA-STS-Hosting — die manuelle Einrichtung erfordert DNS-Records im Kundenbereich und das Hosting der Policy-Datei auf dem Strato-Webspace oder einem externen Dienst. Der MX-Server smtpin.rzone.de muss exakt in der MTA-STS-Policy aufgeführt sein.

Ohne MTA-STS können STRIPTLS-Angriffe die TLS-Verschlüsselung bei der E-Mail-Zustellung an Ihre Strato-Domain entfernen. MTA-STS (RFC 8461) erzwingt, dass sendende Mailserver TLS verwenden und das Zertifikat validieren — ein HSTS-Äquivalent für E-Mail. Der Wolf-Agents Email Security Scanner vergleicht Policy-MX und DNS-MX zeichengenau: Er erkennt die Strato-typische Verwechslung von strato.de oder mail.strato.de mit dem korrekten smtpin.rzone.de, warnt vor Subdomain-Weiterleitungen (HTTP 301/302) statt direktem Policy-Hosting und meldet fehlende SSL-Zertifikate für die mta-sts-Subdomain.

BSI TR-03108 fordert TLS-Erzwingung auch für Strato-gehostete Domains — ohne MTA-STS fehlt die technische Garantie, dass E-Mails verschlüsselt zugestellt werden. Für NIS2-pflichtige Unternehmen ist die Einrichtung nicht optional, sondern eine Pflichtmaßnahme nach Art. 21 Abs. 2 lit. h. DSGVO Art. 32 fordert ergänzend Verschlüsselung personenbezogener Daten bei der Übertragung — MTA-STS enforce ist die technische Umsetzung dieser Anforderung für den E-Mail-Transport.

Falls Sie DMARC für Strato noch nicht konfiguriert haben, starten Sie mit der DMARC-Anleitung für Strato. MTA-STS baut auf einer funktionierenden E-Mail-Authentifizierung auf.

MTA-STS Grundlagen und Policy-Referenz

1 Schritt 1 von 4

MX-Records prüfen

Strato verwendet als MX-Record smtpin.rzone.de — dieser Hostname muss exakt in der MTA-STS-Policy stehen. Bei einigen älteren Strato-Paketen können zusätzliche oder abweichende MX-Records existieren. Prüfen Sie immer die tatsächlichen DNS-Einträge, bevor Sie die Policy-Datei erstellen.

MX-Records im Strato Kundenbereich verifizieren

  1. Kundenbereich öffnen: Melden Sie sich unter www.strato.de/apps/CustomerService an und navigieren Sie zu Domains → Ihre Domain
  2. DNS verwalten: Klicken Sie auf DNS verwalten und prüfen Sie den MX-Record. Bei Standard-Strato-Paketen steht dort smtpin.rzone.de mit Priorität 10
  3. Terminal-Prüfung: Verifizieren Sie per dig mx ihre-domain.de +short — die Ausgabe muss 10 smtpin.rzone.de. zeigen
  4. Mehrere MX-Records: Falls weitere MX-Records existieren (z.B. bei Business-Paketen mit Redundanz), müssen alle in der Policy-Datei aufgelistet werden
2 Schritt 2 von 4

DNS-Records im Strato Kundenbereich anlegen

Im Strato Kundenbereich legen Sie drei DNS-Records an: einen TXT-Record für _mta-sts, einen TXT-Record für _smtp._tls (TLS-RPT) und einen CNAME oder A-Record für die Subdomain mta-sts. Der Strato DNS-Editor unterstützt alle benötigten Record-Typen — beachten Sie die korrekte Notation ohne abschließenden Punkt bei Subdomains.

DNS-Records Schritt für Schritt

  1. Kundenbereich: Navigieren Sie zu Domains → Ihre Domain → DNS verwalten → TXT-Records
  2. _mta-sts TXT-Record: Erstellen Sie einen TXT-Record mit Subdomain _mta-sts und Wert v=STSv1; id=20260408T0001 — die ID muss bei jeder Policy-Änderung aktualisiert werden
  3. _smtp._tls TXT-Record: Erstellen Sie einen TXT-Record mit Subdomain _smtp._tls und Wert v=TLSRPTv1; rua=mailto:tls-reports@ihre-domain.de
  4. mta-sts Subdomain: Bei externem Hosting erstellen Sie einen CNAME-Record mta-stsihre-domain-mta-sts.pages.dev. Bei Strato-Webspace richten Sie die Subdomain über die Subdomain-Verwaltung ein und verweisen sie auf Ihren Webspace
DNS-Records (Strato Kundenbereich) Konfiguration 
# _mta-sts TXT-Record
_mta-sts.ihre-domain.de  TXT  "v=STSv1; id=20260408T0001"

# TLS-RPT TXT-Record
_smtp._tls.ihre-domain.de  TXT  "v=TLSRPTv1; rua=mailto:tls-reports@ihre-domain.de"

# CNAME für Policy-Subdomain (bei Cloudflare Pages)
mta-sts.ihre-domain.de  CNAME  ihre-domain-mta-sts.pages.dev
3 Schritt 3 von 4

Policy-Datei hosten

Die MTA-STS-Policy muss unter https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt per HTTPS erreichbar sein. Bei Strato haben Sie zwei Optionen: Hosting auf dem Strato-Webspace mit Subdomain-SSL oder extern über Cloudflare Pages. Beachten Sie, dass Strato Subdomain-Weiterleitungen anders handhabt als direktes Hosting.

.well-known/mta-sts.txt Policy-Datei 
version: STSv1
mode: testing
mx: smtpin.rzone.de
max_age: 604800

Hosting-Optionen bei Strato

  1. Strato-Webspace: Richten Sie die Subdomain mta-sts.ihre-domain.de im Kundenbereich unter Domains → Subdomain verwalten ein. Erstellen Sie das Verzeichnis .well-known im Root der Subdomain und legen Sie mta-sts.txt darin ab. Aktivieren Sie SSL für die Subdomain
  2. Cloudflare Pages (empfohlen): Erstellen Sie ein Cloudflare-Pages-Projekt mit der Policy-Datei unter /.well-known/mta-sts.txt. Cloudflare stellt automatisch ein SSL-Zertifikat bereit. Richten Sie im Strato Kundenbereich den CNAME-Record ein
  3. Keine Weiterleitung: Verwenden Sie keine Strato-Subdomain-Weiterleitung — sendende Server erwarten einen direkten 200 OK ohne Redirect. Die Datei muss unter der exakten URL erreichbar sein
  4. Testing-Modus: Starten Sie immer mit mode: testing und wechseln Sie erst nach 2-4 fehlerfreien Wochen zu mode: enforce. Bei jedem Moduswechsel aktualisieren Sie die id im DNS-Record
4 Schritt 4 von 4

Konfiguration verifizieren

Prüfen Sie alle drei Komponenten: den _mta-sts DNS-Record, die HTTPS-Erreichbarkeit der Policy-Datei unter mta-sts.ihre-domain.de und den _smtp._tls TLS-RPT-Record. Strato-DNS-Einträge propagieren innerhalb von 15-30 Minuten — testen Sie nach einer kurzen Wartezeit.

Terminal / PowerShell Verifikation 
# Linux / macOS — MX-Records prüfen
dig mx ihre-domain.de +short

# MTA-STS DNS-Record prüfen
dig _mta-sts.ihre-domain.de TXT +short

# TLS-RPT DNS-Record prüfen
dig _smtp._tls.ihre-domain.de TXT +short

# Policy-Datei abrufen
curl -s https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt

# Windows (PowerShell)
Resolve-DnsName -Name _mta-sts.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings
Resolve-DnsName -Name _smtp._tls.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

Checkliste für Strato

  1. DNS-Propagation: Warten Sie 15-30 Minuten nach dem Anlegen der Records im Strato Kundenbereich. Strato DNS-Server haben teilweise längere TTLs als andere Provider
  2. MX-Abgleich: Der MX-Hostname in der Policy-Datei muss exakt smtpin.rzone.de lauten — keine Varianten, kein abschließender Punkt
  3. HTTPS-Zertifikat: Prüfen Sie mit curl -v https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt, dass das Zertifikat gültig ist und kein Redirect erfolgt
  4. Wolf-Agents Scanner: Nutzen Sie den Wolf-Agents Email Security Check für eine vollständige Validierung — er prüft DNS-Record, Policy-Datei, MX-Abgleich und TLS-RPT in einem Durchlauf

Häufige Probleme bei Strato MTA-STS

Die folgenden drei Probleme treten bei der MTA-STS-Einrichtung mit Strato besonders häufig auf. Jedes einzelne kann dazu führen, dass sendende Server Ihre Policy nicht finden oder die Policy-Datei nicht abrufen können — MTA-STS bleibt dann wirkungslos.

SSL-Zertifikat für mta-sts Subdomain fehlt

Symptom: Sendende Server können die Policy-Datei nicht abrufen. curl zeigt SSL certificate problem: unable to get local issuer certificate oder das Zertifikat deckt nur die Hauptdomain ab.

Ursache: Strato stellt bei vielen Paketen kein automatisches SSL-Zertifikat für manuell angelegte Subdomains bereit. Die Subdomain mta-sts.ihre-domain.de wird ohne Zertifikat oder mit dem Zertifikat der Hauptdomain ausgeliefert, das die Subdomain nicht abdeckt.

Lösung: Prüfen Sie im Strato Kundenbereich unter Sicherheit → SSL-Zertifikate, ob ein Zertifikat für die Subdomain existiert. Falls nicht verfügbar, wechseln Sie auf Cloudflare Pages als Hosting-Option — dort ist SSL automatisch inklusive. Alternativ prüfen Sie, ob Ihr Strato-Paket ein Wildcard-Zertifikat unterstützt.

MX-Record smtpin.rzone.de nicht in Policy

Symptom: MTA-STS im Testing-Modus zeigt in TLS-RPT-Reports validation-failure mit dem Hinweis sts-policy-invalid. Sendende Server melden, dass der MX-Hostname nicht in der Policy steht.

Ursache: Die Policy-Datei enthält einen falschen MX-Hostnamen — häufig wird strato.de oder mail.strato.de statt des korrekten smtpin.rzone.de eingetragen. Der MX-Hostname muss exakt dem DNS-MX-Record entsprechen.

Lösung: Prüfen Sie den tatsächlichen MX-Record per dig mx ihre-domain.de +short und übernehmen Sie den exakten Hostnamen in die Policy-Datei. Bei Strato ist der korrekte Hostname smtpin.rzone.de. Nach der Korrektur aktualisieren Sie die id im _mta-sts DNS-Record, damit sendende Server die neue Policy abrufen.

Subdomain-Weiterleitung statt direktem Hosting

Symptom: Die Policy-URL https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt leitet auf eine andere URL weiter (301/302 Redirect). Sendende Server erhalten keinen 200 OK und ignorieren die Policy.

Ursache: Strato bietet Subdomain-Weiterleitungen als komfortable Funktion an — aber MTA-STS-Clients folgen keinen HTTP-Redirects. Die Subdomain mta-sts wurde als Weiterleitung statt als eigenständiger Webspace konfiguriert.

Lösung: Konfigurieren Sie die Subdomain mta-sts.ihre-domain.de als eigenständigen Webspace im Strato Kundenbereich — nicht als Weiterleitung. Alternativ wechseln Sie auf Cloudflare Pages und richten einen CNAME-Record ein. Testen Sie mit curl -I https://mta-sts.ihre-domain.de/.well-known/mta-sts.txt — der Status-Code muss 200 sein, kein 301 oder 302. Der Wolf-Agents Email Security Scanner erkennt Redirects automatisch und meldet sie als Konfigurationsfehler.

DACH-Hosting-Architektur — IONOS/Strato/All-Inkl (Multimodal)

Vergleich der drei größten DACH-Hosting-Provider: IONOS SE (Montabaur), Strato AG (Berlin) und All-Inkl.com — Neue Medien Münnich (Friedersdorf). Die Visualisierung zeigt MX-Setup, Policy-Hosting-Optionen und Konsolen-Workflows für MTA-STS (Cross-File-Reuse in ionos/strato/allinkl, Empirik 85+86).

MTA-STS-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSAll-InklHetznerPostfixEximCloudflare DNSGenerisch

Wie steht Ihre Domain bei MTA-STS?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten