Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung nutzt deine Domain entweder Stratos Standard-DMARC-Regel oder deinen eigenen
_dmarc-Record mit selbst gewählter Policy.
Voraussetzungen
- Ein Strato-Paket mit E-Mail
- SPF und DKIM müssen stehen — bei Strato ist DKIM für Versand über die eigenen Server ohnehin schon aktiv
Was ist DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) verbindet SPF und DKIM zu einer durchsetzbaren Richtlinie. Der empfangende Mailserver erkennt anhand von DKIM-Signatur und SPF, ob eine Mail wirklich von dir stammt — und verfährt mit Fälschungen nach der Policy, die du im _dmarc-TXT-Record hinterlegst. Strato warnt zu Recht: „Immer mehr E-Mail-Dienstleister prüfen DMARC streng und lehnen Nachrichten ab, die die Prüfung nicht bestehen.”
Die Ausgangslage bei Strato
Zwei Besonderheiten machen Strato hier speziell:
DMARC ist bei Strato bereits aktiviert — es gibt eine Standard-DMARC-Regel. Für viele reicht das. Willst du eine eigene Policy (etwa gestaffelt Richtung reject), ersetzt du sie durch einen eigenen Record.
Strato sendet selbst keine DMARC-Reports. Wörtlich: „Der STRATO-Mailserver sendet aufgrund deutscher Datenschutzbestimmungen keine derartigen Reports.” Das heißt aber nicht, dass Reports für dich sinnlos sind: Die großen Empfänger (Gmail, Outlook & Co.) senden weiterhin aggregierte Reports an deine rua-Adresse. Ein DMARC-Monitoring wie MARCo wertet diese aus — du sieht also trotzdem, wer in deinem Namen sendet.
Schritt-für-Schritt-Anleitung
1. Entscheiden: Standard-Regel oder eigene Policy
Für den Einstieg genügt oft Stratos Standard-Regel. Wer den Weg zu p=reject gehen und Reports auswerten will, setzt einen eigenen Record — so geht’s.
2. Eigene DMARC-Regel setzen
Wechsle in den DNS-Einstellungen deiner Domain zum Punkt »Keine STRATO-DMARC-Regel« und lege dann einen TXT-Record an:
- Typ:
TXT - Präfix:
_dmarc - Wert (Start, Beobachtung):
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
Klicke auf »Einstellung übernehmen«.
3. Von none über quarantine nach reject
Beginne mit p=none, lies die Reports der großen Empfänger, und ziehe dann an. Stratos dokumentierter Beispielwert für die mittlere Stufe:
v=DMARC1; p=quarantine; pct=100
Und schließlich die Durchsetzung:
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
Wechsle erst weiter, wenn die Reports zeigen, dass alle legitimen Quellen SPF/DKIM bestehen.
4. Für jede Domain wiederholen
Die Policy gilt pro Domain — richte sie für jede Domain ein, deren Mails so behandelt werden sollen.
Ergebnis prüfen
Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DMARC-Policy, SPF und DKIM auf einen Blick.
Häufige Fehler
Doppelter _dmarc-Record. Willst du von einer eigenen Regel zurück zur Strato-Standardregel, geht das nur, wenn keine TXT-Records mit Präfix _dmarc mehr existieren — vorhandene erst über „Löschen” entfernen.
Sofort auf p=reject. Ohne none-Phase blockierst du legitime Quellen. Erst beobachten, dann anziehen.
Reports für sinnlos gehalten. Zwar sendet Strato selbst keine — Gmail, Outlook und andere aber schon. rua von Anfang an setzen.
DMARC ohne SPF/DKIM-Basis. DMARC wertet nur SPF/DKIM-Ergebnisse aus. Erst SPF und DKIM prüfen.
Weiterführende Links
- Strato FAQ: DMARC bei STRATO aktivieren (abgerufen: 10. Juli 2026)
- RFC 7489 — DMARC
