SPF für Strato einrichten

Schritt-für-Schritt-Anleitung: SPF-Record mit redirect=_spf.strato.com im Strato DNS-Editor konfigurieren, korrekt einsetzen und mit DNS-Befehlen verifizieren.

SPF prüfen Plattform entdecken
Strato · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 6. April 2026

SPF für Strato

Strato verwendet statt eines klassischen include: einen redirect=-Mechanismus: v=spf1 redirect=_spf.strato.com — damit gilt die SPF-Policy der Ziel-Domain vollständig und verbraucht nur 1 DNS-Lookup. Ein zusätzliches -all am Ende ist bei redirect= nicht erforderlich und kann sogar zu Konflikten führen. Der Wolf-Agents Email Security Check erkennt korrekte redirect=-Records und bewertet sie entsprechend.

BSI TR-03182 und NIS2 Art. 21 definieren SPF als Pflichtmaßnahme — mit 22 von 165 Punkten ist SPF ein zentraler Faktor im Wolf-Agents Email Security Check. Strato verbraucht mit redirect=_spf.strato.com nur 1 der erlaubten 10 DNS-Lookups — ein Vorteil, wenn Sie weitere E-Mail-Dienste einbinden möchten.

Hardening-Pfad: Nach SPF folgt als nächster Schritt DKIM für STRATO — gemeinsam bilden SPF + DKIM die Grundlage für DMARC.

Ausführliche Einführung in SPF

1 Schritt 1 von 3

SPF-Record im Strato DNS-Editor anlegen

Erstellen Sie einen TXT-Record im Strato-Kundenbereich. Dieser Record delegiert die SPF-Prüfung vollständig an Stratos zentrale SPF-Domain und autorisiert alle Strato-Mailserver.

DNS TXT-Record Strato 
ihre-domain.de.  IN  TXT  "v=spf1 redirect=_spf.strato.com"
Warum kein -all bei redirect=?

Bei redirect= wird die komplette SPF-Policy der Ziel-Domain übernommen — inklusive des dortigen -all. Ein zusätzliches -all in Ihrem Record wird von RFC 7208 ignoriert, wenn redirect= vorhanden ist, kann aber Parser in älteren MTA-Implementierungen verwirren.

Weitere E-Mail-Dienste zusätzlich zu Strato?

Wenn Sie neben Strato weitere Dienste wie einen Newsletter-Versender nutzen, kann redirect= nicht kombiniert werden. Wechseln Sie in diesem Fall auf include::

v=spf1 include:_spf.strato.com include:sendgrid.net -all
2 Schritt 2 von 3

DNS-Einstellungen im Strato-Kundenbereich aufrufen

Strato bietet ausschließlich manuelle DNS-Verwaltung über das Kundenportal — eine DNS-API existiert nicht. Der TXT-Record wird direkt im DNS-Editor eingetragen.

Menüpfad im Strato-Kundenbereich

  1. Melden Sie sich im Strato-Kundenbereich an (mein.strato.de)
  2. Navigieren Sie zu Domains
  3. Wählen Sie Ihre Domain aus und klicken Sie auf DNS-Verwaltung
  4. Scrollen Sie zu TXT-Record hinzufügen
  5. Tragen Sie als Hostname @ (oder leer lassen) und als Wert v=spf1 redirect=_spf.strato.com ein
  6. Speichern Sie den Eintrag — DNS-Propagierung dauert bis zu 24 Stunden
3 Schritt 3 von 3

SPF-Record verifizieren

Nach dem Anlegen des DNS-Records prüfen Sie die korrekte Propagierung. Bei Strato kann die DNS-Propagierung bis zu 24 Stunden dauern — prüfen Sie den Record erst nach einigen Stunden erneut, wenn er noch nicht sichtbar ist.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig TXT ihre-domain.de +short

# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

# Erwartete Ausgabe:
# "v=spf1 redirect=_spf.strato.com"

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft SPF auf 22 Einzelkriterien inklusive redirect=-Auflösung, Lookup-Zählung und Qualifier-Bewertung.

Häufige Fehler bei Strato

Die folgenden drei Fehler treten bei Strato-SPF-Konfigurationen am häufigsten auf. Jeder einzelne kann dazu führen, dass SPF fehlschlägt und E-Mails abgelehnt oder als Spam markiert werden.

redirect= statt include= — Tippfehler im Domain-Wert bricht SPF

Problem: Strato nutzt redirect=_spf.strato.com statt include:. Ein Tippfehler wie redirect=_spf.strato.de oder redirect=spf.strato.com (ohne Unterstrich) führt dazu, dass die aufgelöste Domain keinen gültigen SPF-Record enthält. Im Gegensatz zu include:, das bei fehlgeschlagener Auflösung mit PermError reagiert, liefert ein fehlgeleiteter redirect= je nach Empfangsserver ein None- oder PermError-Ergebnis — beides bedeutet keinen SPF-Schutz.

Lösung: Prüfen Sie den exakten Wert: redirect=_spf.strato.com (mit Unterstrich-Präfix, .com-TLD). Verifizieren Sie die Auflösung mit dig TXT _spf.strato.com +short — der aufgelöste Record muss v=spf1 und IP-Bereiche enthalten.

redirect= und -all kombiniert — unnötig und potenziell problematisch

Problem: Ein Record wie v=spf1 redirect=_spf.strato.com -all enthält ein überflüssiges -all. Laut RFC 7208 wird redirect= erst ausgewertet, wenn kein anderer Mechanismus greift — -all nach redirect= ist nach dem Standard wirkungslos, verwirrt aber ältere MTA-Implementierungen und kann unerwartete Auswertungsreihenfolgen erzeugen.

Lösung: Entfernen Sie das -all — der korrekte Record lautet: v=spf1 redirect=_spf.strato.com. Die Reject-Policy kommt aus der Ziel-Domain _spf.strato.com und muss nicht wiederholt werden.

Automatisierte SPF-Services funktionieren nicht — Strato hat keine DNS-API

Problem: Dienste wie AutoSPF oder andere dynamische SPF-Flattener benötigen eine DNS-API, um SPF-Records automatisch zu aktualisieren. Strato bietet keine DNS-API an — alle Änderungen müssen manuell im Kundenbereich vorgenommen werden. Automatisierte Updates schlagen stillschweigend fehl.

Lösung: Pflegen Sie Ihren SPF-Record bei Strato ausschließlich manuell. Wenn Sie auf automatisierte DNS-Verwaltung angewiesen sind, sollten Sie erwägen, die DNS-Verwaltung Ihrer Domain zu einem API-fähigen Anbieter (z. B. Cloudflare, Hetzner DNS) zu delegieren.

SPF-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSAll-InklHetznerPostfixEximGenerisch

Wie steht Ihre Domain bei SPF?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten