SMTP-TLS für Strato
Strato verwaltet die Mailserver-Infrastruktur und TLS-Konfiguration für alle Webhosting-Kunden zentral. Laut Strato-FAQ werden ausschließlich TLS 1.2 und TLS 1.3 unterstützt, unverschlüsselte Verbindungen sind nicht zulässig. Zertifikate werden auf Strato-Hostnamen ausgestellt und automatisch erneuert.
SMTP-TLS bei Strato (Webhosting)
Strato schreibt in der offiziellen FAQ explizit: "Unterstützte TLS-Versionen: TLS 1.2 und TLS 1.3" — ältere Versionen (TLS 1.0, TLS 1.1, SSLv3) wurden deaktiviert. Alle Strato-E-Mail-Mailboxen nutzen ausschließlich verschlüsselte Verbindungen; unverschlüsselte SMTP-/IMAP-/POP3-Verbindungen werden abgelehnt. Das ist ein deutlich strengeres Baseline als bei vielen anderen DACH-Hostern.
Für die Client-Submission (Outlook, Thunderbird, Apple Mail) nutzt Strato smtp.strato.de als zentralen Submission-Server: Port 465 mit Implicit TLS oder Port 587 mit STARTTLS. Für den Server-zu-Server-Empfang (Port 25, MTA-to-MTA) routen MX-Records auf die Strato-interne Mailserver-Infrastruktur — den exakten Hostnamen ermitteln Sie pro Domain mit dig MX ihre-domain.de +short. Der Wolf-Agents Email Security Scanner prüft pro tatsächlichem MX-Host die TLS-Version, die Cipher-Stärke nach BSI TR-02102-2, das Strato-Zertifikat und die Chain-Vollständigkeit zeichengenau — er erkennt sofort, wenn Sie einen MX-Eintrag versehentlich auf einen Nicht-Strato-Host gesetzt haben (typischer Migrations-Fehler).
Für die Compliance-Triple (NIS2 Art. 21 Abs. 2 Buchstabe h zur Kryptografie, BSI TR-03108 zum sicheren E-Mail-Transport, DSGVO Art. 32 Abs. 1 Buchstabe a zur Verschlüsselung) ist die Strato-Pflicht-Verschlüsselung ein klares Plus: Es gibt kein "opportunistic-Klartext-Fallback", den Sie absichern müssten. Strato ist Auftragsverarbeiter nach DSGVO Art. 28 — den AV-Vertrag halten Sie für Audits bereit. Wolf-Agents empfiehlt zusätzlich MTA-STS — damit erzwingen Sie TLS auch gegenüber sendenden Drittservern und schließen den STRIPTLS-Vektor.
MX-Hosts ermitteln und STARTTLS auf Port 25 testen
Strato vergibt MX-Hostnamen pro Domain unterschiedlich, oft im rzone.net-Adressraum (Strato-Rechenzentren). Der einzig zuverlässige Weg ist die DNS-Auflösung Ihrer Domain. Anschließend testen Sie pro Host den STARTTLS-Handshake — bei Strato muss TLS 1.2 oder TLS 1.3 ausgehandelt werden, alles andere ist ein Defekt-Signal.
# MX-Hosts ermitteln
# Hinweis: Strato dokumentiert in der FAQ nur Submission-Hostnamen (smtp.strato.de),
# nicht die konkreten Inbound-MX-Hostnamen pro Domain.
# Den tatsächlichen MX-Hostnamen für Ihre Domain bestimmen Sie per dig.
dig MX ihre-domain.de +short
# Erwartet: ein oder mehrere Hosts aus dem Strato-Cluster (typisch *.rzone.net)
# Den ermittelten Hostnamen ersetzen Sie in den folgenden openssl-Befehlen.
# STARTTLS auf Port 25 testen (eingehende Mail) — <mx-host> durch dig-Ergebnis ersetzen
echo | openssl s_client \
-connect <mx-host-aus-dig>:25 \
-starttls smtp \
-servername <mx-host-aus-dig> \
2>/dev/null | grep -E "Protocol|Cipher|subject|issuer"
# Erwartete Strato-Ausgabe:
# Protocol : TLSv1.3 (oder TLSv1.2 — laut Strato-FAQ "TLS 1.2 und TLS 1.3" supported)
# Cipher : TLS_AES_256_GCM_SHA384
# subject=CN = *.rzone.net (oder ähnlicher Strato-Hostname)
# issuer=C = ..., O = ..., CN = ...
# Implicit TLS auf Port 465 (Submission)
openssl s_client -connect smtp.strato.de:465 -servername smtp.strato.de
# STARTTLS auf Port 587 (Submission)
openssl s_client -connect smtp.strato.de:587 -starttls smtp -servername smtp.strato.deStrato-Zertifikat und Cipher-Stärke validieren
Strato stellt die Zertifikate für die eigenen Mailserver-Hostnamen aus (rzone.net-Cluster oder smtp.strato.de) — Ihre Custom-Domain ist nicht im Zertifikat enthalten. Das ist normal und korrekt für Shared-Hosting-Mailcluster. Bei MTA-STS oder DANE muss die mx-Zeile in der Policy exakt mit dem Strato-MX-Hostnamen übereinstimmen.
Die Cipher-Stärke prüfen Sie gegen BSI TR-02102-2 (Version 2026-01): ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256-GCM-SHA384 und TLS-1.3-AEAD-Suiten sind empfohlen. Der Wolf-Agents Email Security Scanner klassifiziert die Cipher automatisch nach BSI-Empfehlung und meldet Abweichungen — Sie pflegen keine Liste manuell.
Was Wolf-Agents pro Strato-MX-Host prüft
- STARTTLS-Support: Wird
250-STARTTLSnach EHLO angeboten? (2 Punkte) - TLS-Version: Mindestens TLS 1.2 — Strato unterstützt laut FAQ TLS 1.2 und TLS 1.3
- Cipher nach BSI TR-02102-2: ECDHE + AEAD empfohlen — CBC-Cipher abgewertet
- Zertifikat: CN/SAN matcht MX-Hostname, gültig, Chain vollständig (3 Punkte)
- Unverschlüsselter Versuch: Strato lehnt Klartext-Verbindungen ab — Wolf-Agents protokolliert das als positives Compliance-Signal
Bei Auffälligkeiten Strato-Support eskalieren
Wenn der Wolf-Agents Scanner oder Ihre eigene openssl-Prüfung TLS-Abweichungen erkennt (z.B. abgelaufenes Zertifikat, schwacher Cipher), eskalieren Sie an den Strato-Support. Strato hat in der Vergangenheit (Frühjahr 2025) TLS 1.0 und 1.1 zentral abgeschaltet und mit Mailings zur Client-Aktualisierung kommuniziert — die strenge TLS-Politik wird aktiv gepflegt.
Konkrete Eskalations-Trigger bei Strato: Abgelaufenes Zertifikat trotz TLS-Pflicht, MX-Host antwortet mit veraltetem Cipher (3DES, CBC ohne Encrypt-then-MAC), Wolf-Agents zeigt MX-Mismatch zu Strato-Cluster. Dokumentieren Sie pro Ticket den exakten MX-Hostnamen, das Datum des Scans und die Scanner-Bewertung — Strato-Support kann dann die Cluster-Konfiguration direkt prüfen.
Häufige SMTP-TLS-Probleme bei Strato
Die folgenden drei Strato-spezifischen Probleme treten in Kundenprojekten regelmäßig auf — Mail-Client mit TLS-1.0 wird seit der Strato-TLS-Migration abgewiesen, Custom-Domain mit MX-CNAME bricht die Hostname-Validation und Subdomain-Mail-Setups mit fehlendem SSL-Zertifikat.
Alter Mail-Client wird nach Strato-TLS-Migration abgewiesen
Symptom: Mitarbeiter mit Windows 7 + Outlook 2010 oder altem macOS Mail können sich plötzlich nicht mehr am Strato-Mail anmelden. Fehlermeldung: "Server konnte keine sichere Verbindung herstellen" oder "TLS-Handshake fehlgeschlagen".
Ursache: Strato hat TLS 1.0 und 1.1 deaktiviert. Mail-Clients vor 2018 unterstützen oft nur TLS 1.0 — die Verbindung scheitert, weil Strato keine schwächere Version mehr anbietet.
Lösung: Mail-Client auf eine TLS-1.2-fähige Version updaten: Outlook 2019+, Thunderbird 78+, Apple Mail unter macOS 11+. Betriebssystem-Update auf Windows 10/11 oder macOS 11+ kann erforderlich sein. Strato bietet keinen TLS-1.0-Fallback mehr — auch nicht als Übergangslösung.
Strato-Webmail vs. eigener Mailclient: Authentifizierung schlägt fehl
Symptom: Die Anmeldung im Strato-Webmail funktioniert problemlos, aber Outlook/Thunderbird kann sich nicht authentifizieren — "Authentication failed" oder "Connection lost".
Ursache: Strato hat die Challenge-Response-Authentifizierung (CRAM-MD5) abgeschaltet — das wird in der Strato-FAQ explizit erwähnt. Manche Mail-Clients haben CRAM-MD5 als Default eingestellt und scheitern, obwohl die korrekten Zugangsdaten konfiguriert sind.
Lösung: Im Mail-Client die Authentifizierungs-Methode auf "Passwort, normal" oder "AUTH PLAIN" umstellen. In Outlook: Konto-Einstellungen → Weitere Einstellungen → Postausgangsserver → "Server erfordert Authentifizierung" + "Gleiche Einstellungen wie für Posteingangsserver verwenden". In Thunderbird: Konto-Einstellungen → Postausgangsserver → Authentifizierung "Passwort, normal".
Custom-Subdomain für MX — Hostname-Mismatch bei strikten Sendern
Symptom: Sie haben einen MX-Eintrag mail.ihre-domain.de per CNAME auf einen Strato-Cluster gesetzt. Strikte Sender mit MTA-STS enforce oder DANE lehnen die Zustellung ab — TLS-RPT-Reports zeigen certificate-host-mismatch.
Ursache: Das Strato-Zertifikat ist auf *.rzone.net oder einen ähnlichen Strato-Hostnamen ausgestellt, nicht auf Ihre Custom-Subdomain. Wenn ein sendender Server den MX-Hostnamen mail.ihre-domain.de auflöst und das Zertifikat prüft, schlägt der Hostname-Match fehl.
Lösung: Verwenden Sie den Strato-MX-Hostnamen direkt im MX-Record (den exakten Wert per dig MX ihre-domain.de +short oder Strato-Support erfragen — Strato-Doku nennt keine konkrete Inbound-MX-Adresse), nicht eine eigene Subdomain mit CNAME. Bei MTA-STS-Policy setzen Sie ein Wildcard wie mx: *.rzone.net, das mit dem tatsächlichen Strato-Cluster matcht — damit sind beliebige Cluster-Hosts gültig. Der Wolf-Agents Email Security Scanner prüft den Match zwischen DNS-MX und Policy zeichengenau.
NIS2, BSI TR-03108 und DSGVO Art. 32: Strato mit Pflicht-Verschlüsselung
NIS2 Art. 21 Abs. 2 Buchstabe h fordert Kryptografie und Verschlüsselung — Strato erfüllt das standardmäßig mit TLS 1.2/1.3 und der expliziten Pflicht-Verschlüsselung aller Mailbox-Zugriffe (kein Klartext-Fallback). BSI TR-03108 verlangt sicheren E-Mail-Transport mit Perfect Forward Secrecy — die Strato-TLS-Politik mit ECDHE-Cipher deckt das ab. DSGVO Art. 32 Abs. 1 Buchstabe a nennt Verschlüsselung als technische Maßnahme: Strato ist Auftragsverarbeiter (Art. 28), Sie als Strato-Kunde sind Verantwortlicher. Halten Sie den AV-Vertrag bereit und dokumentieren Sie regelmäßige Wolf-Agents-Scans als Eigenkontrolle. Bei Strato besonders relevant: Die Pflicht-Verschlüsselung gilt auch für IMAP/POP3 — Strato-Webmail-Zugriffe sind ebenfalls TLS-verpflichtend. Der Wolf-Agents Email Security Scanner bewertet SMTP-TLS mit 5 von 165 Punkten und prüft pro Strato-MX-Host die TLS-Version, die Cipher nach BSI TR-02102-2 und das Zertifikats-Hostname-Match zeichengenau.
SMTP-TLS-Anleitung auch für:
Wie steht Ihre Domain bei SMTP-TLS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.